[ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа

[Siroc-co]

Вобщем-то да. Можно потихонечку годами сидеть и делать сопоставление pass фраз номерам кошелька. Купить отдельный SSD для хранения. Конечно пасс фразы в 100 символов и с иероглифами\юникодами не охватить, но циферные и с латиницей из ~30 символов можно вполне (не забываем стремительное развитие техники). А потом регулярно сверять аакаунты по наличию средств. Практика показала, угоны есть. И, учитывая, что все хотят полагаться на свою память, пасс фразы сложными и длинными не станут, всегда будут те, кто сможет накормить брутфорсеров.

[ImmortAlex]

Вобщем-то да. Можно потихонечку годами сидеть и делать сопоставление pass фраз номерам кошелька. Купить отдельный SSD для хранения. Конечно пасс фразы в 100 символов и с иероглифами\юникодами не охватить, но циферные и с латиницей из ~30 символов можно вполне (не забываем стремительное развитие техники). А потом регулярно сверять аакаунты по наличию средств. Практика показала, угоны есть. И, учитывая, что все хотят полагаться на свою память, пасс фразы сложными и длинными не станут, всегда будут те, кто сможет накормить брутфорсеров.

Вполне возможно, что такие базы уже начали вести.
Пришел блок - проверил всех получаетелей из транзакций. Ждём следующий. Параллельно генератор базу неспешно набивает...

[fehen]

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?

Можно, вот для биткоина уже сделали такую таблицу http://directory.io/  
Возможно кто-то и для NXT сделает  
P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО  

Ну, почему сразу много, вот она последняя страница   http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675


Вот пароль - 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw, а вот биткоины - https://blockchain.info/address/1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m (последняя строчка с последней странички http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675#5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw)

Разница в том, что у биткоина есть wallet, как гарантия что пароля самого не достатточно - нужен еще и файл.

А для NXT......


Если бы это был NXT, сейчас этот кошелек был бы уже пустым  

Дайте народу такую страничку для NXT!!!   Ща мы устроим харкордерам равномерное распределение 

[ImmortAlex]

Вот пароль - 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw, а вот биткоины - https://blockchain.info/address/1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m (последняя строчка с последней странички http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675#5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw)

Разница в том, что у биткоина есть wallet, как гарантия что пароля самого не достатточно - нужен еще и файл.

А для NXT......


Если бы это был NXT, сейчас этот кошелек был бы уже пустым  

Дайте народу такую страничку для NXT!!!  

Берешь любой клиент btc, импортируешь приватный ключ (который ты назвал паролем), пользуешься.
А на этом аккаунте ноль с 27-го декабря, не знаю где ты там монетки разглядел.

Извини, но ты вот прям сейчас показал свою некомпетентность.

[fehen]

Вот пароль - 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw, а вот биткоины - https://blockchain.info/address/1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m (последняя строчка с последней странички http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675#5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw)

Разница в том, что у биткоина есть wallet, как гарантия что пароля самого не достатточно - нужен еще и файл.

А для NXT......


Если бы это был NXT, сейчас этот кошелек был бы уже пустым  

Дайте народу такую страничку для NXT!!!  

Берешь любой клиент btc, импортируешь приватный ключ (который ты назвал паролем), пользуешься.
А на этом аккаунте ноль с 27-го декабря, не знаю где ты там монетки разглядел.

Извини, но ты вот прям сейчас показал свою некомпетентность.

Ты не извиняйся,  я себя гуру не называл.

Какая разница, они там были и найти их смог человек тупо открыв страницу. А что может сделать программа?
Даже к клиенту не надо включаться, сверяйся с http://87.230.14.1/nxt/nxt.cgi?action=100 по списку и все. Нашел - автоматом перевелось и пошла дальше форсить.

Посмотри сколько битков было переведено в декабре. Не исключено что именно благодаря этому сервису и его данным.


$ 55,249.71 - это около 1 700 000 в рублях.

Вот как хранить такие бабки в таких системах.  Разочарование.

[ImmortAlex]

Вот как хранить такие бабки в таких системах.  Разочарование.

Так не храни, зачем разочаровываться?

[fehen]

Вот как хранить такие бабки в таких системах.  Разочарование.

Так не храни, зачем разочаровываться?

Ага, ты это бизнесу объясни который в крипту завлекают. Магазины интегрировать, включать во взаиморасчеты. Ну ну, давай давай.

Короче ясно. Будущим поколениям криптвалют работы еще много, жаль если NXT забьет на это Иначе забьют на него. Это не серьезно.
 

[abctc]

для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. ...

abctc, я понимаю твою позицию. Но эти размышления не в том русле идут. ...
Надо об этом думать заранее, нефиг успокаиватся!!!!

- я не говорил, что нужно успокаиваться, и что разработчикам не нужно усиливать защиту и протокола, и клиентов Nxt.  Я написал рекомендации - что можно и нужно сделать пользователям прямо сейчас, не дожидаясь усиленного клиента.
На самом деле достаточно безопасное окружение для работы с любыми  криптовалютами необходимо в любом случае. Как минимум нужен файервол и антивирус. Если винда - то постоянные обновления (ими закрываются дыры). И уже можно работать с "расходным" аккаунтом. А cold storage (и NXT, и BTC) уже организовать в чистой виртуалке. Иначе, как писал ImmortAlex, кейлоггеры одновременно будут тырить ещё и wallet.dat, благо BTC пока подороже NXT.

Поясните почему ?
Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз

- в FAQ-е написано почему:

вероятность случайно сгенерить чужой приватный ключ (если он создан длинной сложной фразой) - 1 на 2²⁵⁶ (для сравнения - число атомов во Вселенной ~2²⁶⁵).

- то есть "облом накроет" гораздо, гораздо раньше, чем asci(N) наткнётся хотя бы на первый из аккаунтов.  Сейчас Nxt-аккаунтов примерно 10 тыс. Даже пусть 100 тыс. Крипто-хэш функции, например, sha256, или Curve25519 характерны тем, что из паролей на входе дают на выходе числа, супер-равномерно распределённые между 1 и 2²⁵⁶. То есть ты хочешь, чтобы очередной asci(N) попал в один из 100 тыс. аккаунтов, равномерно распределённых среди всех атомов Вселенной. О ничтожности такого шанса говорит следующее сравнение - в голове у человека ~100 миллиардов нейронов. Каждый из них состоит из огромного числа атомов. А уж сколько атомов во всех головах.. во всей Земле.. Солнечной системе..  Сколько не генерируй asci(N), даже близко не подберёшься ни к одному аккаунту. Нужно только, чтобы секретная фраза не была слишком короткой и простой, тогда и её стойкость будет 2²⁵⁶.

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

[ImmortAlex]

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

Вот ты говоришь - снизил планку вхождения.
А у буржуёв стон - дайте нам ван-клик клиент, нельзя NRS людям давать, хрен запустишь, ничего не понятно.

Взаимоисключение!

[ImmortAlex]

Короче ясно. Будущим поколениям криптвалют работы еще много, жаль если NXT забьет на это Иначе забьют на него. Это не серьезно.

Давай, раз уж пошла такая пьянка, по пунктам: как по-твоему должно быть серьёзно. Не как не должно быть, а именно как должно.

[mthcl]

Честно говоря, сомневаюсь я, что реально работающие квантовые компьютеры появятся при нашей жизни...

Вы ещё живы? А то так-то Гугл уже давненько купил квантовый комп D-Wave и потихоньку тестирует. Да, он слабоват для простых арифметических операций, но как пишут в работе со случайными данными он не превзойдён. Да и не забываем темп развития современной техники. Глядишь лет через пять уже домашним станет.

Жив. Про D-Wave слышал, но чего они там действительно сделали - совершенно неясно. Я сам немного не из той области, но всё-же читал, что специалисты пока настроены скорее скептически по отношению к нему.

А вообще чо гадать, поживём - увидим. Или не увидим.

[DrBeer]

- то есть "облом накроет" гораздо, гораздо раньше, чем asci(N) наткнётся хотя бы на первый из аккаунтов.  Сейчас Nxt-аккаунтов примерно 10 тыс. Даже пусть 100 тыс. Крипто-хэш функции, например, sha256, или Curve25519 характерны тем, что из паролей на входе дают на выходе числа, супер-равномерно распределённые между 1 и 2²⁵⁶. То есть ты хочешь, чтобы очередной asci(N) попал в один из 100 тыс. аккаунтов, равномерно распределённых среди всех атомов Вселенной. О ничтожности такого шанса говорит следующее сравнение - в голове у человека ~100 миллиардов нейронов. Каждый из них состоит из огромного числа атомов. А уж сколько атомов во всех головах.. во всей Земле.. Солнечной системе..  Сколько не генерируй asci(N), даже близко не подберёшься ни к одному аккаунту. Нужно только, чтобы секретная фраза не была слишком короткой и простой, тогда и её стойкость будет 2²⁵⁶.

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

Это хорошо что есть люди которые поясняют
Но я опять не совсем понял..или не верно сформировал вопрос проблему. Давайте я подробнее распишу Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

[abctc]

я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе !

- гмм.. значит плохо объяснил.. или кто-то плохо прочитал :-))
Пароль со входа подаётся в Curve25519, на выходе получается приватный ключ.
То есть пароль и есть приватный ключ.
Единственное, что требуется - это сделать пароль неподбираемым по словарю.
Даже 30-ти символьный пароль из букв и цифр (не из осмысленных слов) "почти" так же безопасен, как приватный ключ. "Почти" - это потому, что если он даже в миллиард раз менее стоек, чем приватный ключ - это ничего не меняет, по сравнению с 2²⁵⁶ меркнет всё.

[ImmortAlex]

Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

И в очередной раз говорю: нет такого понятия как "вход в чужой кошелёк". Даже если в NRS это выглядит так.
И не нужен для перебора даже клиент, ни свой, ни чужой.

Перебор осуществляется следующим образом.
1. Грузим в память весь блокчейн. Блокчейн можно взять из NRS (blocks.nxt и transactions.nxt), а можно скачать из сети, изображая из себя узел.
2. Из блокчейна собираем аккаунты, на которых есть деньги. С технической точки зрения, нам нужен номер аккаунта (64 бита) и если есть - его публичный ключ (256 бит).
3. Перебираем пароли. Любые варианты, какие захочется. Можно тупо начать с однобуквенных и одноцифирьных, можно по словарю - не важно.
4. Для каждого пароля алгоритмом, который заложен даже не в клиента, а в самому методику работы и существования сети, получаем приватный и публичные ключи, ну и номер аккаунта.
5. Пробиваем по ранее собранной базе аккаунтов: если такой аккаунт есть, и либо у него отсутствует публичный ключ, либо и он подошел - выводим монеты.

Если владелец аккаунта хоть немного постарался - его пароль хрен подберешь.
Ну да, если с аккаунта не был выведен публичный ключ (т.е. не было транзакций и не было форжинга) - с вероятностью в 1/2⁶⁴ на него может попасть какой-то произвольный пароль, не обязательно заданный хозяином. Но если что - это очень маленькая вероятность.

[miasik]

Вероятности, вероятности... надо верить в чудеса! ;-)

[DrBeer]

я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе !

- гмм.. значит плохо объяснил.. или кто-то плохо прочитал :-))
Пароль со входа подаётся в Curve25519, на выходе получается приватный ключ.
То есть пароль и есть приватный ключ.
Единственное, что требуется - это сделать пароль неподбираемым по словарю.
Даже 30-ти символьный пароль из букв и цифр (не из осмысленных слов) "почти" так же безопасен, как приватный ключ. "Почти" - это потому, что если он даже в миллиард раз менее стоек, чем приватный ключ - это ничего не меняет, по сравнению с 2²⁵⁶ меркнет всё.

"Единственное, что требуется - это сделать пароль неподбираемым по словарю" - Единственное, оно же первое, оно же и последнее условие Т.е. невыполнение этого условия в теории дает возможность брута. Это все понятно, Но разработчики  и авторы должны понимать что 90% не шибко внимательны, это если очень мягко описать их состояние Так наверное надо сделать хоть чтото, что не сделает глупость и невнимательность одних доходом других. И тут как по мне главное даже не защита личных накоплений а статус системы как вполне безопасной! Достаточно безопасной даже в случае криворуких энд-юзеров

[ImmortAlex]

Должно быть так, чтобы миллионы (миллиарды) спали себе спокойно и думали: - все хорошо, у меня есть доступ к своему кошельку и есть вторая защита для переводов. Даже если кто-то зайдет, он не сможет перевести мои средства. А я могу завтра встать, пройти в тапочках  и за чашкой молока, чая, водки посмотреть, а не заходил ли кто по времени в кой кашелек пока меня небыло, мне не нужны айпи, я просто хочу посмотреть время.

Давай пока на этом остановимся.
Я попробую объяснить. Не про Nxt, и не про биток, а просто про идею криптовалют, как она есть. Ну, просто мне не нравится используемая тобой терминология.

Давай сначала договоримся: речь идёт о децентрализованной сети. Т.е. серверов нет и быть не может. Это очень важно, иначе мы говорим не о криптовалютах, а обычном государственном скаме, и нам здесь делать нечего.

В отсутствии серверов все узлы сети равны. Но это пол-дела. В отсутствие серверов каждый узел сети знает про все транзакции. Иначе никак. Никак от слова "вообще". Т.е. каждая сраная софтинка скачав весь блокчейн знает всю историю транзакций всех адресов. Вот берем любой адрес - и хоп! Всё про него знаем. Ну, кроме того, кому он принадлежит в реале, но это нам в данном случае неважно.
Но вот беда: даже зная, сколько бабок лежит на конкретном адресе, мы не можем вывести с него деньги, если у нас нет его приватного ключа. Ну, думаю, это ты знаешь, и дальше вдаваться в теорию передачи транзакций не к чему.

Так вот о чём я.
Мне не надо "логиниться" на твой "кошелек" чтобы узнать что там у тебя. Мне вообще пофиг, есть ли у тебя кошелек и поддерживает ли он какие-то логины и авторизации.
Мне нужен лишь твой приватный ключ. Получив этот ключ, я выведу бабки с твоего аккаунта пользуясь любым клиентом с любого компа. Просто потому что я смогу сформировать транзакцию и подписать её этим ключом, и сеть её примет и никаких других "паролей" не спросит. И ты постфактум только узнаешь, куда и в какое время монеты ушли.

Твой "кошелек" - это просто хранилище приватных ключей. Высчитывая с них адреса, он просто показывает баланс этих адресов. Ну, вроде как баланс хозяина, хотя точно так же он мог бы показывать баланс любых других адресов.
Ты можешь скопировать приватные ключи на другой компьютер, в другую программу - и она будет показывать их баланс точно так же, меняя его одновременно с той, первой программой. И не надо никуда логиниться. Вернее, не так: логиниться в децентрализованной системе просто некуда.

[ImmortAlex]

1. человек набивает татуху с QR-кодом у себя на руке
2. человек подносит свою руку к специальному считывающему устройству
3. при расшифровке QR-кода появляется некая последовательность символов
4. устройство смотрит эти символы и сравнивает со своими символами, которые находятся у него в памяти

Это ты сейчас рассказал один из способов ввода пароля для зашифрованного валлета в битке

[ImmortAlex]

"Единственное, что требуется - это сделать пароль неподбираемым по словарю" - Единственное, оно же первое, оно же и последнее условие Т.е. невыполнение этого условия в теории дает возможность брута. Это все понятно, Но разработчики  и авторы должны понимать что 90% не шибко внимательны, это если очень мягко описать их состояние Так наверное надо сделать хоть чтото, что не сделает глупость и невнимательность одних доходом других. И тут как по мне главное даже не защита личных накоплений а статус системы как вполне безопасной! Достаточно безопасной даже в случае криворуких энд-юзеров

Ну т.е. другой клиент, который будет генерить пароль и складывать его в wallet.dat, немедленно повысит безопасность сети?

[DrBeer]

Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

И в очередной раз говорю: нет такого понятия как "вход в чужой кошелёк". Даже если в NRS это выглядит так.
И не нужен для перебора даже клиент, ни свой, ни чужой.
....

Т.е. если я вам сейчас дам пароль от моего кошелька, вы хотите сказать вы туда не  попадете ? Понимаете в чем отличие - я описал метод самый простой и тупой, вы же предлагаете метод из области где перемешивается криптография и проктология Извините за сравнение, но именно так. Я к примеру не буду колупать блоки, выколупывать приваты, сравнивать, раскладывать в ряды и шифровать в кривых. Я буду тупо в web клиенте набирать какието пароли. А может напишу скрипт, который бед их генерить и вставлять в окно браузера и нажимать княпку, и смотреть что написанно в правов верхнем углу... Учитывая что более 50% юзеров ВСЕГДА будут иметь простые пароли*, в системе должен быть механизм который их дурь нивелирует И тогда NXT будет на горе, и людям купивших NXT его хранение не добавит седых волос
* - когда то проводил интересный эксперимент. Давным давно работал админом в одной конторе. Более 3000 голов. До этого работали в одноранговой сети, без доменной аутентификации и прочих радостей высоких технологий. Когда ввел в работу AD, у юзеров начался шок - знаете какой ? Отвечаю - НАДО ПОМНИТЬ СЛОЖНЫЙ ПАРОЛЬ ! Во, понятно дело кипишь, "хотим все в зад", зачем такие сложности и прочее. Владелец само собой меня на разговор (это те времена когда  CIO в компаниях не было ) - мол что такое, народ лютует, тебе зла желает ! Я ему говорю - а вы понимате, что информация должна быть безопасной, что вход на комп буха который рулит платежами через КБ - должен быть жестко ограничен, что вероятность того что после работы ктото сядет за ей ПК и перечислит в Зимбабве ВСЕ ВАШИ ДЕНЬГИ очень велик. Как только вопрос зашел за деньги - у него сразу появилось понимание Но какбы кипиш есть, говорит - а мол давай попроще сделаем пароли ? Я говорю - так в них смысланет никакого. Короче чтобы долго не рассказывать - в итоге, мы провели "анонимный опрос" со сбором и анализом информации. Суть вопроса в опросе - какой пароль вы хотите себе поставить 3000 человек. Разные отделы. Разные люди. Разные возраста. Но более 60% были пароли типа  "пароль", "12345", "qwerty", дата рождения цифрами и т.п. еще почти 35% были сложнее чтото типа "qwe123", остальные были именами/фамилиями юзеров  И единицы накреативили чтото похожее на пароль. С тех времен прошло очень много лет. Многие технологии изменились, появились новые, умерли старые. Но, поверьте, люди не изменились