Topic: Любые вопросы и ответы от гуру - новичкам - page 6. (Read 199267 times)

Я говорил не о прямом сравнении с seed-фразой, а о способах записи.

Такие важные вещи, как пароли, фразы, логины и прочие вообще не должны храниться на компьютере. Исключение, если они зашифрованы в криптоконтейнере.

Вам нужно не удобство, а безопасность. Если неправильно спишите свой ключ, то потом его не сможете востановить в случае чего, но зато было удобно.

Помните, что за все эти удобства и простоту, Вы в будущем заплатите своими деньгами.

Есть две основных проги для 2ФА - Google Authenticator и Authy. Я говорил именно про второй.

Мне кажется, что сравнение с сид-фразой, мягко говоря, некорректно. Если сид-фраза будет известна постороннему, то, зная только одну ее, он сможет увести крипту. Если же злоумышленник увидит ключ к аутентификатору, то он узнает только мое мыло и для какого он сайта. Но он не узнает пароль от почты, пароль от аккаунта и т.д. То есть должно очень много совпасть - злоумышленнику нужно будет еще  и все пароли знать.
Насчет использования в качестве ключа не QR-кода, а набора символов, то тоже вопрос спорный. QR-код тупо удобнее. Для этого же и шифруется набор из символов в QR-код, чтобы было проще. Для сид-фразы же никогда не предлагают QR-код.

Для повышения безопасности на зарубежных сайтах (на российских обычно просто приходит код подтверждения по смс) специалисты советуют пользоваться аутентификатором Authy. Начал им пользоваться на андроиде, вроде норм. Но все равно некоторые вещи неясны.
1. Зачем так быстро меняются пароли в нем? Всего 30 сек и включается новый, приходится торопиться. Почему нельзя сделать смену пароля по желанию пользователя, как это у некоторых капчей реализовано? Что будет, если не успеть ввести пароль?
2. При подключении первого сайта появилось окошко с бекапом. Ввел пароль, записал, сохранил. А как его потом использовать на практике? Допустим, потеряю мобилу, Скачаю новое приложение. Но там же не будет функции ввода пароля с бекапом. В инете пишут, что в случае утери телефона надо будет на сайте анкету заполнять и т.д. Много времени может занять. Зная пароль от бекапа никак оперативно не восстановить что ли?
3. У каждого сервиса при подключении к нему 2ФА используется так называемый ключ - строка с набором символов, зашифрованная также в виде QR-кода. Этот ключ имеет смысл сохранить? Например, в виде скриншота на компе, чтоб потом в случае переустановки Authy легко восстановить подключение?
4. Также в настройках есть Authy ID. Его номер стоит записать? Или пароля от бекапа хватит за глаза?

Вообще как грамотно юзать этот Authy, подскажите пожалуйста. Что стоит сделать точно, что нет.

Всем привет!

Мы команда разработчиков, делаем мобильные игры. Решили создать игру на блокчейне и провессти IDO в идеале, выбрали блокчейн Flow. В технологиях блокчейн - пока опыта нет, выбрали Flow т.к. выяснили, что он заточен конкретно под игры.

Сейчас есть ряд моментов, которые требуют прояснения:

1) Можем ли мы сделать игру на блокчейне Flow, а токен игры, сделать в сети BEP-20 и ERC-20? Или же все строго должно быть в рамках одного блокчейна и токены не получится объеденить с блокчейном Flow?

2) Где хранятся токены? Например, мы решили, что у нас будет 1 000 000 токенов. К нам пришли инвесторы, дали денег в обмен на токены. Откуда мы им перечисляем эти токены? Как сделать так, чтобы эти токены были заблокированы у них определенное время? И как их заблокировать у нас на определенное время, чтобы мы не слили их после IDO? ведь это важно для цены и для инвесторов

3) Какое количество токенов выводится на биржу после IDO? Доступны ли они сразу все к покупке или выводятся на биржу частями? Кто добавляет токены на биржу?

4) По какием правилам определяется самая первая цена токена? Как определяется цена токена при выходе на биржу?

5) Как сделать два токена, для игрового проекта? Один токен проекта, для проведения IDO, второй токен для внутриигровой валюты (по примеру игры Axie Infinity, у них есть основной токен проект - AXS, и токен который добывается в игре - SLP)

6) Какие еще шаги, необходимо выполнить, чтобы выпустить токен?

7) Как определяется количество токенов, которое будет сгенерировано?

8 ) Если мы делаем игру на одном из блокчейнов, необходимо ли нам создавать свой кошелек на этом же блокчейне? Или например можно подключить метамаск?

Буду благодарен за ответы  

"Между рамок" вставляете ссылку на картинку. Причём крайне желательно, чтобы ссылка была именно на файл картинки. Очень хорошо подходит для нашего форума сервис картинок https://imgur.com

Например, ваша ссылка такого формата не будет работать:



А вот такая ссылка будет https://i.imgur.com/SbFoKWL.png

Подскажите пожалуйста как вставлять картинки в сообщения.
Темы на форуме с инструкцией как это делается не нашел    Возможность прикрепить файл к сообщению, как это реализовано на всех форумах, отсутствует. Есть только кнопка "вставить рисунок". Вот скрин https://ibb.co/7t8gwPj
Но если нужно юзать эту кнопку, то что вставлять между рамок?

Да, вероятность есть. Но на практике отбрасывается то, что за пределами погрешности. Если на Земле будет жить 10 миллиардов человек, и каждый из них, включая новорожденных младенцев, заведёт себе по миллиону кошельков с каким-то содержимым, то и тогда для того, чтобы найти какой-то непустой адрес, надо будет перебрать, если я ничего не напутал, 10^31 адресов, а это очень много. И при этом да, большинство непустых адресов будет содержать ничтожно малое количество биткойна. Соответственно, вариант с простым перебором не очень перспективен.


Биткойн не стоит на месте, и если на каком-то этапе вычислительные мощности станут нести реальную угрозу безопасности приватников, то просто произойдёт очередной апдейт, причём сильно заблаговременно ИМХО. И тогда риски будут только по «потерянным биткойнам», но в рамках темы беспокойства новичков за сохранность их сбережений из-за возможного перебора, это малозначимо, потому что все активные владельцы успеют за многие годы всё сделать заранее.

Шансы никогда не бывают нулевые, потому что нет даже теоретически невзламываемых систем. Всегда есть вероятность найти что-то даже среди огромного множества, а если она есть, то это может случиться. Возможно, что сейчас это и кажется невероятным, но с ростом адопшена биткоина и роста его цены, будут создаваться все больше и больше адресов с положительным балансом, что будет все дальше и дальше повышать вероятность нахождения приватных ключей. Нас же никто не останавливает в этом плане (кроме размера блока), генерация новых публичных ключей и адресов - это довольно простой и быстрый процесс. С ростом автоматических систем оплаты, к примеру, генерация и пополнение новых адресов будет совершаться непрерывно и рано или поздно их уже станет значительное количество.

Прелесть здесь в том, что система устроена таким образом, что защищать биткоин будет всегда выгоднее, чем его атаковать или пытаться отыскать приватные ключи. Даже вот в моем примере: суммы на адресах будут со временем уменьшаться и даже нахождение рандомного приватного ключа с балансом может не привести к желаемому богаству. Представляю разочарование хакера, который потратит всю жизнь на поиск ключа и найдет доступ к адресу с балансом в пару баксов.

Логически — да, практически — нет. Потому что это не пример с иголками в стоге сена, а пример с десятью нужными и идентифицируемыми песчинками с пляжа Копакабана. Пока будешь перебирать песчинки на пляже в поиске нужной, пройдёт много миллиардов жизней, а к тому времени это уже перестанет быть актуальным. Поэтому с точки зрения логики найти конкретную из этих 10 песчинок сложнее, но практически нереально найти хоть какую-то, поэтому не имеет значения, нужно ли искать конкретную или любую, — всё равно шансы нулевые. А вот если кто-то для простоты вдруг сделает все свои песчинки содержащими только высокое количество, скажем, железа, то тут сильно упрощается процедура, потому что можно искать уже направленно только магнитящиеся песчинки, которые на множество порядков окажется меньше, и тогда найти станет реальнее.

Если бы у машин "успешно получалось перебирать приватники", то никто бы не инвестировал в криптовалюту и она не имела бы ценности вовсе и никто бы не занимался перебором. Заколдованный круг получается. Самая главная идея как раз и состоит в том, что ваши средства криптографически защищены. Что касается мультиподписи, то хотя это один из самых надежных вариантов хранения, но он вряд ли подходит для новичков ввиду своей специфики. В идеале для каждого приватного ключа нужно использовать аппаратные кошельки разных производителей, чтобы минимизировать векторы атаки. Если один из ваших ключей будет украден или скомпрометирован, то это не поможет хакеру добраться до ваших средств.  Я не учитываю нереалистичный вариант, где хакер крадет один из ключей, а второй пытается подобрать "перебором." Важно понимать, что любая хакерская или физическая атака всегда будет дешевле и выгоднее, чем пустая трата время на угадывание.

Получается получилось.

Ответьте на два вопроса:
1. Какой длины обычно бывают приватные ключи, сгенерированные при помощи хорошего генератора случайных чисел?
2. Какой длины приватные ключи выложены на странице трофеев LBC (https://lbc.cryptoguru.org/trophies)?

Сделайте выводы.

(Строго говоря, длина приватного ключа всегда 256 бит. В данном случае, под длиной я подразумеваю длину до старшего значащего бита.)

Эта тема хорошо раскрыта в одном старом анекдоте,...

Очень пожилой пациент на приёме врача-сексолога:
- Доктор, мой сосед старше меня, но говорит, что у него секс почти каждый день, а у меня раз в неделю, то то не всегда,...
врач:
- Так в чём дело? И Вы говорите,...

То, что кто то, где то говорит или пишет о подборе приватного ключа - это только слова, которые могут быть правдой только в теории...

1) Признаю, что я не силен в математике и в теориии вероятности, но если логически подумать, то искать что-то конкретное будет все же намного сложнее. Представим, что приватный ключ - это иголка в стоге сена и вам нужно ее найти. Стог сена в данном случае просто огромнейших размеров и на поиск иголки вам потребуется очень много времени. Теперь представим, что таких иголок в этом стоге миллионы и миллиарды. Это все еще ничтожное количество по сравнению со стогом, но есть один нюанс. Что будет проще с точки зрения поиска - найти конкретную иголку или просто случайную иголку? Учитывая количество иголок поднять именно нужную будет шансом один на миллиард. И этот шанс еще разбавляется шансом найти эти иголки вообще.

2) Когда вы ищете что-то конретное, то  вы отбрасываете все лишние варианты, в том числе и нужные приватные ключи. Для каждого приватника нужно повторять процесс сначала, что делает ситуацию еще сложней: практически бесконечное количество вариантов помноженное на огромное число приватных ключей, то есть попыток. Почему бы не искать все за одну попытку?

Про brainwallet ничего больше сказать не могу, возможно, что уголовное законодательство разных стран будет смотреть по-разному на попытку украсть кошелек методом перебора. В любом случае, для долгосрочного хранения эти кошельки не подходят.

А при возможном количестве приватников это не настолько сильно важно, ищете ли что-то конкретное или безадресно. Кажется, что разница большая, но вероятность получения результата всё равно ничтожна. Здесь попытались другую модель перебора использовать: в расчёте на то, что какое-то количество людей будет использовать приватники, которые придумают сами (в статье вообще речь шла об осмысленных сид-фразах). Вот человекопридумываемые модели нередко в чём-то осмысленных приватников могут уже поддаваться математическому моделированию и большей вероятностью подпадания под перебор. Отсюда и постоянные рекомендации не придумывать приватники из головы самостоятельно, а доверить это машинной случайности.

Насколько я понял они и не подбирают приватники к адресам. Вместо этого они генерируют приватники, потом публичные ключи, потом адреса и только после этого сверяют полученные адрес с некой базой утерянных и спящих кошельков. А генерировать приватник к конкретному адресу займет бесконечное количество времени, и следовательно не имеет смысла. Если они найдут когда-нибудь приватник к утерянным биткоинам, они могут поступить тремя способами: либо вернуть средства законному владельцу полностью, либо частично с вознаграждением, либо забрать их себе. Все варианты вполне логичны и законны, так как стоит помнить, что этого всего лишь случайные числа, контроль над которыми был потерян. А то что вы предлагаете называется откровенным воровстовом, так как контроль над этими ключами мог быть и не потерян. Если brain кошельки уязвимы для атак, это не будет оправдывать хакера, который украдет с них средства.

Пример из реальной жизни:

Человек потерял деньги, а другой их нашел: это законно и нашедший может поступать с ними как хочет, в том числе оставить себе или отдать назад. Это не относится к банковским картам, так как счет все еще принадлежит потерявшему.

Человек идет по улице с полуоткрытой сумкой, из которой торчат купюры. Второй засовывает руку и крадет средства. Кража.

По теме генерации приватников ещё стоило бы вспомнить про https://secretscan.org/
Там можно присоединиться к некому пулу "перебираторов", где сейчас 55 видеокарт. При этом пул существует уже далеко не первый год, но статистики о том, что им таки удалось с какого-то адреса забрать битки там нет. Довольно показательно по моему.

Тема про этот сервис: Сканер privkey

Перебирать приватные ключи занятие неблагородное, малопродуктивное, низкопрофитное и практически бессмысленное. Лучше направить свою энергию и оборудование на майнинг криптовалюты, чем на ее взлом. Количество приватных  ключей настолько огромно и непостижимо, что многие до сих пор не осознают насколько трудно кому-нибудь найти именно ваш приватный ключ. Представтье себе бесконечную Вселенную и все атомы в ней, потом загадайте абсолютно любой возможный атом в этой Вселенной. Потом спросите других, какой атом вы загадали получите ответ "Ты издеваешься? Атомов во Вселенной примерно 10⁸², так что даже на перебор возможных вариантов уйдет больше времени, чем существует Вселенная.

Но если вы все же боитесь за свои биткоины, то вот пара советов:

1) используйте только TRNG для генерации ваших ключей, никогда не пытайтесь "зарандомить" с помощью своего мозга.
2) не храните все средства на одном адресе или на одном кошельке, распределяйте их по нескольким приватным ключам.
3) изучайте методы защиты против более реалистичных угроз, чем случайное угадывание приватников.