Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 652. (Read 1750060 times)

Стадам кулхацкеров ничего не достанется.
Профессионалы заранее сгенерят базы с тупыми паролями и будут просто раз в минуту проверять пришедший из сети блок на предмет нахождения в базе аккаунтов из этого блока.
Особенно удобно, когда по обещаниям C-f-B у нас блоки будут приходить ровно раз в минуту - можно будет даже в промежутке гарантированно электричество экономить. Фуле, Nxt - "зеленая" монета, во всём - даже при взломе аккаунтов!

2ФА в привычном виде - никак. Бальтазар в этой теме называл какие-то варианты, но там я ничего не понял. Факт в том, что привычная 2ФА (через SMS, почту, Google Auth) работать не будет, ибо требует сервера и централизации.

Второй пароль на вывод денег? А первый на что? Чтоб состояние аккаунта посмотреть - пароль не нужен.

Я лично знаю на данный момент только один вариант, когда нужен второй пароль - это если разделить пароли на форжинг и на транзакции. Но прикол в том, что в таком случае публичный ключ от пароля на транзакции опять же надо вначале отправить в сеть. Ну и мы приходим практически к тому, откуда начинали, только замороченно. Старик Оккам плачет по нам.

А я и не спорю ! Для ПРО уровня - это вполне логично, и этого я не отрицаю.  А вот стада кулц-хацкеров, бродящих в интренетах, с бродящими мозгами - эти могут и тупо пытаться "ходить по кошелькам"   Да и опять же самое главное - большая часть пользователей NXT не будут соблюдать меры предосторожности при генерации пароля, чем будут "кормить" кулцхакеров

Меня вобщемто и сегодняшняя ситуация устраивает, но страховочный вариант не помешал бы Кошелек врят ли, а 2х факторная авторизация, либо необходимость "подписания" транзакции вторым паролем на вывод денег - да

Понимаете, взломщик, который с этого живет, не будет вручную вбивать пароли и даже не будет писать "сложный" скрипт на php + js, имитирующий ввод данных в поля формы, а сделает именно так, как сказал ImmortAlex, для него это будет даже проще.

Если речь идёт об NRS и брейнваллете Nxt - попаду. Только назову это другими словами
Аналогично, если вы мне экспортнёте приватный ключ из биткоина.

Повторяю вопрос: вариант с генерацией пароля и складыванием его в wallet.dat - устроит?

Т.е. если я вам сейчас дам пароль от моего кошелька, вы хотите сказать вы туда не  попадете ? Понимаете в чем отличие - я описал метод самый простой и тупой, вы же предлагаете метод из области где перемешивается криптография и проктология Извините за сравнение, но именно так. Я к примеру не буду колупать блоки, выколупывать приваты, сравнивать, раскладывать в ряды и шифровать в кривых. Я буду тупо в web клиенте набирать какието пароли. А может напишу скрипт, который бед их генерить и вставлять в окно браузера и нажимать княпку, и смотреть что написанно в правов верхнем углу... Учитывая что более 50% юзеров ВСЕГДА будут иметь простые пароли*, в системе должен быть механизм который их дурь нивелирует И тогда NXT будет на горе, и людям купивших NXT его хранение не добавит седых волос
* - когда то проводил интересный эксперимент. Давным давно работал админом в одной конторе. Более 3000 голов. До этого работали в одноранговой сети, без доменной аутентификации и прочих радостей высоких технологий. Когда ввел в работу AD, у юзеров начался шок - знаете какой ? Отвечаю - НАДО ПОМНИТЬ СЛОЖНЫЙ ПАРОЛЬ ! Во, понятно дело кипишь, "хотим все в зад", зачем такие сложности и прочее. Владелец само собой меня на разговор (это те времена когда  CIO в компаниях не было ) - мол что такое, народ лютует, тебе зла желает ! Я ему говорю - а вы понимате, что информация должна быть безопасной, что вход на комп буха который рулит платежами через КБ - должен быть жестко ограничен, что вероятность того что после работы ктото сядет за ей ПК и перечислит в Зимбабве ВСЕ ВАШИ ДЕНЬГИ очень велик. Как только вопрос зашел за деньги - у него сразу появилось понимание Но какбы кипиш есть, говорит - а мол давай попроще сделаем пароли ? Я говорю - так в них смысланет никакого. Короче чтобы долго не рассказывать - в итоге, мы провели "анонимный опрос" со сбором и анализом информации. Суть вопроса в опросе - какой пароль вы хотите себе поставить 3000 человек. Разные отделы. Разные люди. Разные возраста. Но более 60% были пароли типа  "пароль", "12345", "qwerty", дата рождения цифрами и т.п. еще почти 35% были сложнее чтото типа "qwe123", остальные были именами/фамилиями юзеров  И единицы накреативили чтото похожее на пароль. С тех времен прошло очень много лет. Многие технологии изменились, появились новые, умерли старые. Но, поверьте, люди не изменились

Ну т.е. другой клиент, который будет генерить пароль и складывать его в wallet.dat, немедленно повысит безопасность сети?

Это ты сейчас рассказал один из способов ввода пароля для зашифрованного валлета в битке

Давай пока на этом остановимся.
Я попробую объяснить. Не про Nxt, и не про биток, а просто про идею криптовалют, как она есть. Ну, просто мне не нравится используемая тобой терминология.

Давай сначала договоримся: речь идёт о децентрализованной сети. Т.е. серверов нет и быть не может. Это очень важно, иначе мы говорим не о криптовалютах, а обычном государственном скаме, и нам здесь делать нечего.

В отсутствии серверов все узлы сети равны. Но это пол-дела. В отсутствие серверов каждый узел сети знает про все транзакции. Иначе никак. Никак от слова "вообще". Т.е. каждая сраная софтинка скачав весь блокчейн знает всю историю транзакций всех адресов. Вот берем любой адрес - и хоп! Всё про него знаем. Ну, кроме того, кому он принадлежит в реале, но это нам в данном случае неважно.
Но вот беда: даже зная, сколько бабок лежит на конкретном адресе, мы не можем вывести с него деньги, если у нас нет его приватного ключа. Ну, думаю, это ты знаешь, и дальше вдаваться в теорию передачи транзакций не к чему.

Так вот о чём я.
Мне не надо "логиниться" на твой "кошелек" чтобы узнать что там у тебя. Мне вообще пофиг, есть ли у тебя кошелек и поддерживает ли он какие-то логины и авторизации.
Мне нужен лишь твой приватный ключ. Получив этот ключ, я выведу бабки с твоего аккаунта пользуясь любым клиентом с любого компа. Просто потому что я смогу сформировать транзакцию и подписать её этим ключом, и сеть её примет и никаких других "паролей" не спросит. И ты постфактум только узнаешь, куда и в какое время монеты ушли.

Твой "кошелек" - это просто хранилище приватных ключей. Высчитывая с них адреса, он просто показывает баланс этих адресов. Ну, вроде как баланс хозяина, хотя точно так же он мог бы показывать баланс любых других адресов.
Ты можешь скопировать приватные ключи на другой компьютер, в другую программу - и она будет показывать их баланс точно так же, меняя его одновременно с той, первой программой. И не надо никуда логиниться. Вернее, не так: логиниться в децентрализованной системе просто некуда.

"Единственное, что требуется - это сделать пароль неподбираемым по словарю" - Единственное, оно же первое, оно же и последнее условие Т.е. невыполнение этого условия в теории дает возможность брута. Это все понятно, Но разработчики  и авторы должны понимать что 90% не шибко внимательны, это если очень мягко описать их состояние Так наверное надо сделать хоть чтото, что не сделает глупость и невнимательность одних доходом других. И тут как по мне главное даже не защита личных накоплений а статус системы как вполне безопасной! Достаточно безопасной даже в случае криворуких энд-юзеров

Вероятности, вероятности... надо верить в чудеса! ;-)

И в очередной раз говорю: нет такого понятия как "вход в чужой кошелёк". Даже если в NRS это выглядит так.
И не нужен для перебора даже клиент, ни свой, ни чужой.

Перебор осуществляется следующим образом.
1. Грузим в память весь блокчейн. Блокчейн можно взять из NRS (blocks.nxt и transactions.nxt), а можно скачать из сети, изображая из себя узел.
2. Из блокчейна собираем аккаунты, на которых есть деньги. С технической точки зрения, нам нужен номер аккаунта (64 бита) и если есть - его публичный ключ (256 бит).
3. Перебираем пароли. Любые варианты, какие захочется. Можно тупо начать с однобуквенных и одноцифирьных, можно по словарю - не важно.
4. Для каждого пароля алгоритмом, который заложен даже не в клиента, а в самому методику работы и существования сети, получаем приватный и публичные ключи, ну и номер аккаунта.
5. Пробиваем по ранее собранной базе аккаунтов: если такой аккаунт есть, и либо у него отсутствует публичный ключ, либо и он подошел - выводим монеты.

Если владелец аккаунта хоть немного постарался - его пароль хрен подберешь.
Ну да, если с аккаунта не был выведен публичный ключ (т.е. не было транзакций и не было форжинга) - с вероятностью в 1/2⁶⁴ на него может попасть какой-то произвольный пароль, не обязательно заданный хозяином. Но если что - это очень маленькая вероятность.

- гмм.. значит плохо объяснил.. или кто-то плохо прочитал :-))
Пароль со входа подаётся в Curve25519, на выходе получается приватный ключ.
То есть пароль и есть приватный ключ.
Единственное, что требуется - это сделать пароль неподбираемым по словарю.
Даже 30-ти символьный пароль из букв и цифр (не из осмысленных слов) "почти" так же безопасен, как приватный ключ. "Почти" - это потому, что если он даже в миллиард раз менее стоек, чем приватный ключ - это ничего не меняет, по сравнению с 2²⁵⁶ меркнет всё.

Это хорошо что есть люди которые поясняют
Но я опять не совсем понял..или не верно сформировал вопрос проблему. Давайте я подробнее распишу Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

Жив. Про D-Wave слышал, но чего они там действительно сделали - совершенно неясно. Я сам немного не из той области, но всё-же читал, что специалисты пока настроены скорее скептически по отношению к нему.

А вообще чо гадать, поживём - увидим. Или не увидим.

Давай, раз уж пошла такая пьянка, по пунктам: как по-твоему должно быть серьёзно. Не как не должно быть, а именно как должно.

Вот ты говоришь - снизил планку вхождения.
А у буржуёв стон - дайте нам ван-клик клиент, нельзя NRS людям давать, хрен запустишь, ничего не понятно.

Взаимоисключение!

- я не говорил, что нужно успокаиваться, и что разработчикам не нужно усиливать защиту и протокола, и клиентов Nxt.  Я написал рекомендации - что можно и нужно сделать пользователям прямо сейчас, не дожидаясь усиленного клиента.
На самом деле достаточно безопасное окружение для работы с любыми  криптовалютами необходимо в любом случае. Как минимум нужен файервол и антивирус. Если винда - то постоянные обновления (ими закрываются дыры). И уже можно работать с "расходным" аккаунтом. А cold storage (и NXT, и BTC) уже организовать в чистой виртуалке. Иначе, как писал ImmortAlex, кейлоггеры одновременно будут тырить ещё и wallet.dat, благо BTC пока подороже NXT.

- в FAQ-е написано почему:
- то есть "облом накроет" гораздо, гораздо раньше, чем asci(N) наткнётся хотя бы на первый из аккаунтов.  Сейчас Nxt-аккаунтов примерно 10 тыс. Даже пусть 100 тыс. Крипто-хэш функции, например, sha256, или Curve25519 характерны тем, что из паролей на входе дают на выходе числа, супер-равномерно распределённые между 1 и 2²⁵⁶. То есть ты хочешь, чтобы очередной asci(N) попал в один из 100 тыс. аккаунтов, равномерно распределённых среди всех атомов Вселенной. О ничтожности такого шанса говорит следующее сравнение - в голове у человека ~100 миллиардов нейронов. Каждый из них состоит из огромного числа атомов. А уж сколько атомов во всех головах.. во всей Земле.. Солнечной системе..  Сколько не генерируй asci(N), даже близко не подберёшься ни к одному аккаунту. Нужно только, чтобы секретная фраза не была слишком короткой и простой, тогда и её стойкость будет 2²⁵⁶.

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

Ага, ты это бизнесу объясни который в крипту завлекают. Магазины интегрировать, включать во взаиморасчеты. Ну ну, давай давай.

Короче ясно. Будущим поколениям криптвалют работы еще много, жаль если NXT забьет на это Иначе забьют на него. Это не серьезно.