Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 652. (Read 1749583 times)

Давай пока на этом остановимся.
Я попробую объяснить. Не про Nxt, и не про биток, а просто про идею криптовалют, как она есть. Ну, просто мне не нравится используемая тобой терминология.

Давай сначала договоримся: речь идёт о децентрализованной сети. Т.е. серверов нет и быть не может. Это очень важно, иначе мы говорим не о криптовалютах, а обычном государственном скаме, и нам здесь делать нечего.

В отсутствии серверов все узлы сети равны. Но это пол-дела. В отсутствие серверов каждый узел сети знает про все транзакции. Иначе никак. Никак от слова "вообще". Т.е. каждая сраная софтинка скачав весь блокчейн знает всю историю транзакций всех адресов. Вот берем любой адрес - и хоп! Всё про него знаем. Ну, кроме того, кому он принадлежит в реале, но это нам в данном случае неважно.
Но вот беда: даже зная, сколько бабок лежит на конкретном адресе, мы не можем вывести с него деньги, если у нас нет его приватного ключа. Ну, думаю, это ты знаешь, и дальше вдаваться в теорию передачи транзакций не к чему.

Так вот о чём я.
Мне не надо "логиниться" на твой "кошелек" чтобы узнать что там у тебя. Мне вообще пофиг, есть ли у тебя кошелек и поддерживает ли он какие-то логины и авторизации.
Мне нужен лишь твой приватный ключ. Получив этот ключ, я выведу бабки с твоего аккаунта пользуясь любым клиентом с любого компа. Просто потому что я смогу сформировать транзакцию и подписать её этим ключом, и сеть её примет и никаких других "паролей" не спросит. И ты постфактум только узнаешь, куда и в какое время монеты ушли.

Твой "кошелек" - это просто хранилище приватных ключей. Высчитывая с них адреса, он просто показывает баланс этих адресов. Ну, вроде как баланс хозяина, хотя точно так же он мог бы показывать баланс любых других адресов.
Ты можешь скопировать приватные ключи на другой компьютер, в другую программу - и она будет показывать их баланс точно так же, меняя его одновременно с той, первой программой. И не надо никуда логиниться. Вернее, не так: логиниться в децентрализованной системе просто некуда.

"Единственное, что требуется - это сделать пароль неподбираемым по словарю" - Единственное, оно же первое, оно же и последнее условие Т.е. невыполнение этого условия в теории дает возможность брута. Это все понятно, Но разработчики  и авторы должны понимать что 90% не шибко внимательны, это если очень мягко описать их состояние Так наверное надо сделать хоть чтото, что не сделает глупость и невнимательность одних доходом других. И тут как по мне главное даже не защита личных накоплений а статус системы как вполне безопасной! Достаточно безопасной даже в случае криворуких энд-юзеров

Вероятности, вероятности... надо верить в чудеса! ;-)

И в очередной раз говорю: нет такого понятия как "вход в чужой кошелёк". Даже если в NRS это выглядит так.
И не нужен для перебора даже клиент, ни свой, ни чужой.

Перебор осуществляется следующим образом.
1. Грузим в память весь блокчейн. Блокчейн можно взять из NRS (blocks.nxt и transactions.nxt), а можно скачать из сети, изображая из себя узел.
2. Из блокчейна собираем аккаунты, на которых есть деньги. С технической точки зрения, нам нужен номер аккаунта (64 бита) и если есть - его публичный ключ (256 бит).
3. Перебираем пароли. Любые варианты, какие захочется. Можно тупо начать с однобуквенных и одноцифирьных, можно по словарю - не важно.
4. Для каждого пароля алгоритмом, который заложен даже не в клиента, а в самому методику работы и существования сети, получаем приватный и публичные ключи, ну и номер аккаунта.
5. Пробиваем по ранее собранной базе аккаунтов: если такой аккаунт есть, и либо у него отсутствует публичный ключ, либо и он подошел - выводим монеты.

Если владелец аккаунта хоть немного постарался - его пароль хрен подберешь.
Ну да, если с аккаунта не был выведен публичный ключ (т.е. не было транзакций и не было форжинга) - с вероятностью в 1/2⁶⁴ на него может попасть какой-то произвольный пароль, не обязательно заданный хозяином. Но если что - это очень маленькая вероятность.

- гмм.. значит плохо объяснил.. или кто-то плохо прочитал :-))
Пароль со входа подаётся в Curve25519, на выходе получается приватный ключ.
То есть пароль и есть приватный ключ.
Единственное, что требуется - это сделать пароль неподбираемым по словарю.
Даже 30-ти символьный пароль из букв и цифр (не из осмысленных слов) "почти" так же безопасен, как приватный ключ. "Почти" - это потому, что если он даже в миллиард раз менее стоек, чем приватный ключ - это ничего не меняет, по сравнению с 2²⁵⁶ меркнет всё.

Это хорошо что есть люди которые поясняют
Но я опять не совсем понял..или не верно сформировал вопрос проблему. Давайте я подробнее распишу Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

Жив. Про D-Wave слышал, но чего они там действительно сделали - совершенно неясно. Я сам немного не из той области, но всё-же читал, что специалисты пока настроены скорее скептически по отношению к нему.

А вообще чо гадать, поживём - увидим. Или не увидим.

Давай, раз уж пошла такая пьянка, по пунктам: как по-твоему должно быть серьёзно. Не как не должно быть, а именно как должно.

Вот ты говоришь - снизил планку вхождения.
А у буржуёв стон - дайте нам ван-клик клиент, нельзя NRS людям давать, хрен запустишь, ничего не понятно.

Взаимоисключение!

- я не говорил, что нужно успокаиваться, и что разработчикам не нужно усиливать защиту и протокола, и клиентов Nxt.  Я написал рекомендации - что можно и нужно сделать пользователям прямо сейчас, не дожидаясь усиленного клиента.
На самом деле достаточно безопасное окружение для работы с любыми  криптовалютами необходимо в любом случае. Как минимум нужен файервол и антивирус. Если винда - то постоянные обновления (ими закрываются дыры). И уже можно работать с "расходным" аккаунтом. А cold storage (и NXT, и BTC) уже организовать в чистой виртуалке. Иначе, как писал ImmortAlex, кейлоггеры одновременно будут тырить ещё и wallet.dat, благо BTC пока подороже NXT.

- в FAQ-е написано почему:
- то есть "облом накроет" гораздо, гораздо раньше, чем asci(N) наткнётся хотя бы на первый из аккаунтов.  Сейчас Nxt-аккаунтов примерно 10 тыс. Даже пусть 100 тыс. Крипто-хэш функции, например, sha256, или Curve25519 характерны тем, что из паролей на входе дают на выходе числа, супер-равномерно распределённые между 1 и 2²⁵⁶. То есть ты хочешь, чтобы очередной asci(N) попал в один из 100 тыс. аккаунтов, равномерно распределённых среди всех атомов Вселенной. О ничтожности такого шанса говорит следующее сравнение - в голове у человека ~100 миллиардов нейронов. Каждый из них состоит из огромного числа атомов. А уж сколько атомов во всех головах.. во всей Земле.. Солнечной системе..  Сколько не генерируй asci(N), даже близко не подберёшься ни к одному аккаунту. Нужно только, чтобы секретная фраза не была слишком короткой и простой, тогда и её стойкость будет 2²⁵⁶.

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

Ага, ты это бизнесу объясни который в крипту завлекают. Магазины интегрировать, включать во взаиморасчеты. Ну ну, давай давай.

Короче ясно. Будущим поколениям криптвалют работы еще много, жаль если NXT забьет на это Иначе забьют на него. Это не серьезно.
 

Так не храни, зачем разочаровываться?

Ты не извиняйся,  я себя гуру не называл.

Какая разница, они там были и найти их смог человек тупо открыв страницу. А что может сделать программа?
Даже к клиенту не надо включаться, сверяйся с http://87.230.14.1/nxt/nxt.cgi?action=100 по списку и все. Нашел - автоматом перевелось и пошла дальше форсить.

Посмотри сколько битков было переведено в декабре. Не исключено что именно благодаря этому сервису и его данным.


$ 55,249.71 - это около 1 700 000 в рублях.

Вот как хранить такие бабки в таких системах.  Разочарование.

Берешь любой клиент btc, импортируешь приватный ключ (который ты назвал паролем), пользуешься.
А на этом аккаунте ноль с 27-го декабря, не знаю где ты там монетки разглядел.

Извини, но ты вот прям сейчас показал свою некомпетентность.

Ну, почему сразу много, вот она последняя страница   http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675


Вот пароль - 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw, а вот биткоины - https://blockchain.info/address/1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m (последняя строчка с последней странички http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675#5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw)

Разница в том, что у биткоина есть wallet, как гарантия что пароля самого не достатточно - нужен еще и файл.

А для NXT......


Если бы это был NXT, сейчас этот кошелек был бы уже пустым  

Дайте народу такую страничку для NXT!!!   Ща мы устроим харкордерам равномерное распределение 

Вполне возможно, что такие базы уже начали вести.
Пришел блок - проверил всех получаетелей из транзакций. Ждём следующий. Параллельно генератор базу неспешно набивает...

Вобщем-то да. Можно потихонечку годами сидеть и делать сопоставление pass фраз номерам кошелька. Купить отдельный SSD для хранения. Конечно пасс фразы в 100 символов и с иероглифами\юникодами не охватить, но циферные и с латиницей из ~30 символов можно вполне (не забываем стремительное развитие техники). А потом регулярно сверять аакаунты по наличию средств. Практика показала, угоны есть. И, учитывая, что все хотят полагаться на свою память, пасс фразы сложными и длинными не станут, всегда будут те, кто сможет накормить брутфорсеров.

Можно, вот для биткоина уже сделали такую таблицу http://directory.io/ 
Возможно кто-то и для NXT сделает 
P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО 

Вполне прокатит. Если у вас есть место и время для хранения 2⁶⁴ пар. Это 18'446'744'073'709'551'616, если что. Можете попытаться написать это число словами, чтоб понять его массивность Если считаете, что набить такую базу не проблема - вперёд!

А на самом деле, такое количество даже перебрать не сохраняя - надо прорву времени. Причём любой аккаунт, с которого отправлена хоть одна транзакция, автоматически выпадает из этого множества и переходит во множество 2²⁵⁶.
Т.о. в данный момент подобрать можно только те аккаунты, пароли к которым подбираются по словарю, либо слишком короткие.

ЗЫ: для md5 вроде бы коллизии находили, и составляли таблицы для облегчения нахождения коллизий. Хотя могу ошибаться, давно не интересовался.

"Невозможно" имеется ввиду невозможно в том виде, как это все предлагают, т.е. в виде централизованной 2ФА.

Я за крипто наблюдаю давно, но такую истерию по паролям вижу впервые.
Вот у догов вообще всё как у всех, воруй-не хочу, однако пока доги "тудамун" - хоть бы кто сказал, что "wallet.dat воруется на раз, дайте мне гугль аутентификатор!"