Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 652. (Read 1749738 times)

Если речь идёт об NRS и брейнваллете Nxt - попаду. Только назову это другими словами
Аналогично, если вы мне экспортнёте приватный ключ из биткоина.

Повторяю вопрос: вариант с генерацией пароля и складыванием его в wallet.dat - устроит?

Т.е. если я вам сейчас дам пароль от моего кошелька, вы хотите сказать вы туда не  попадете ? Понимаете в чем отличие - я описал метод самый простой и тупой, вы же предлагаете метод из области где перемешивается криптография и проктология Извините за сравнение, но именно так. Я к примеру не буду колупать блоки, выколупывать приваты, сравнивать, раскладывать в ряды и шифровать в кривых. Я буду тупо в web клиенте набирать какието пароли. А может напишу скрипт, который бед их генерить и вставлять в окно браузера и нажимать княпку, и смотреть что написанно в правов верхнем углу... Учитывая что более 50% юзеров ВСЕГДА будут иметь простые пароли*, в системе должен быть механизм который их дурь нивелирует И тогда NXT будет на горе, и людям купивших NXT его хранение не добавит седых волос
* - когда то проводил интересный эксперимент. Давным давно работал админом в одной конторе. Более 3000 голов. До этого работали в одноранговой сети, без доменной аутентификации и прочих радостей высоких технологий. Когда ввел в работу AD, у юзеров начался шок - знаете какой ? Отвечаю - НАДО ПОМНИТЬ СЛОЖНЫЙ ПАРОЛЬ ! Во, понятно дело кипишь, "хотим все в зад", зачем такие сложности и прочее. Владелец само собой меня на разговор (это те времена когда  CIO в компаниях не было ) - мол что такое, народ лютует, тебе зла желает ! Я ему говорю - а вы понимате, что информация должна быть безопасной, что вход на комп буха который рулит платежами через КБ - должен быть жестко ограничен, что вероятность того что после работы ктото сядет за ей ПК и перечислит в Зимбабве ВСЕ ВАШИ ДЕНЬГИ очень велик. Как только вопрос зашел за деньги - у него сразу появилось понимание Но какбы кипиш есть, говорит - а мол давай попроще сделаем пароли ? Я говорю - так в них смысланет никакого. Короче чтобы долго не рассказывать - в итоге, мы провели "анонимный опрос" со сбором и анализом информации. Суть вопроса в опросе - какой пароль вы хотите себе поставить 3000 человек. Разные отделы. Разные люди. Разные возраста. Но более 60% были пароли типа  "пароль", "12345", "qwerty", дата рождения цифрами и т.п. еще почти 35% были сложнее чтото типа "qwe123", остальные были именами/фамилиями юзеров  И единицы накреативили чтото похожее на пароль. С тех времен прошло очень много лет. Многие технологии изменились, появились новые, умерли старые. Но, поверьте, люди не изменились

Ну т.е. другой клиент, который будет генерить пароль и складывать его в wallet.dat, немедленно повысит безопасность сети?

Это ты сейчас рассказал один из способов ввода пароля для зашифрованного валлета в битке

Давай пока на этом остановимся.
Я попробую объяснить. Не про Nxt, и не про биток, а просто про идею криптовалют, как она есть. Ну, просто мне не нравится используемая тобой терминология.

Давай сначала договоримся: речь идёт о децентрализованной сети. Т.е. серверов нет и быть не может. Это очень важно, иначе мы говорим не о криптовалютах, а обычном государственном скаме, и нам здесь делать нечего.

В отсутствии серверов все узлы сети равны. Но это пол-дела. В отсутствие серверов каждый узел сети знает про все транзакции. Иначе никак. Никак от слова "вообще". Т.е. каждая сраная софтинка скачав весь блокчейн знает всю историю транзакций всех адресов. Вот берем любой адрес - и хоп! Всё про него знаем. Ну, кроме того, кому он принадлежит в реале, но это нам в данном случае неважно.
Но вот беда: даже зная, сколько бабок лежит на конкретном адресе, мы не можем вывести с него деньги, если у нас нет его приватного ключа. Ну, думаю, это ты знаешь, и дальше вдаваться в теорию передачи транзакций не к чему.

Так вот о чём я.
Мне не надо "логиниться" на твой "кошелек" чтобы узнать что там у тебя. Мне вообще пофиг, есть ли у тебя кошелек и поддерживает ли он какие-то логины и авторизации.
Мне нужен лишь твой приватный ключ. Получив этот ключ, я выведу бабки с твоего аккаунта пользуясь любым клиентом с любого компа. Просто потому что я смогу сформировать транзакцию и подписать её этим ключом, и сеть её примет и никаких других "паролей" не спросит. И ты постфактум только узнаешь, куда и в какое время монеты ушли.

Твой "кошелек" - это просто хранилище приватных ключей. Высчитывая с них адреса, он просто показывает баланс этих адресов. Ну, вроде как баланс хозяина, хотя точно так же он мог бы показывать баланс любых других адресов.
Ты можешь скопировать приватные ключи на другой компьютер, в другую программу - и она будет показывать их баланс точно так же, меняя его одновременно с той, первой программой. И не надо никуда логиниться. Вернее, не так: логиниться в децентрализованной системе просто некуда.

"Единственное, что требуется - это сделать пароль неподбираемым по словарю" - Единственное, оно же первое, оно же и последнее условие Т.е. невыполнение этого условия в теории дает возможность брута. Это все понятно, Но разработчики  и авторы должны понимать что 90% не шибко внимательны, это если очень мягко описать их состояние Так наверное надо сделать хоть чтото, что не сделает глупость и невнимательность одних доходом других. И тут как по мне главное даже не защита личных накоплений а статус системы как вполне безопасной! Достаточно безопасной даже в случае криворуких энд-юзеров

Вероятности, вероятности... надо верить в чудеса! ;-)

И в очередной раз говорю: нет такого понятия как "вход в чужой кошелёк". Даже если в NRS это выглядит так.
И не нужен для перебора даже клиент, ни свой, ни чужой.

Перебор осуществляется следующим образом.
1. Грузим в память весь блокчейн. Блокчейн можно взять из NRS (blocks.nxt и transactions.nxt), а можно скачать из сети, изображая из себя узел.
2. Из блокчейна собираем аккаунты, на которых есть деньги. С технической точки зрения, нам нужен номер аккаунта (64 бита) и если есть - его публичный ключ (256 бит).
3. Перебираем пароли. Любые варианты, какие захочется. Можно тупо начать с однобуквенных и одноцифирьных, можно по словарю - не важно.
4. Для каждого пароля алгоритмом, который заложен даже не в клиента, а в самому методику работы и существования сети, получаем приватный и публичные ключи, ну и номер аккаунта.
5. Пробиваем по ранее собранной базе аккаунтов: если такой аккаунт есть, и либо у него отсутствует публичный ключ, либо и он подошел - выводим монеты.

Если владелец аккаунта хоть немного постарался - его пароль хрен подберешь.
Ну да, если с аккаунта не был выведен публичный ключ (т.е. не было транзакций и не было форжинга) - с вероятностью в 1/2⁶⁴ на него может попасть какой-то произвольный пароль, не обязательно заданный хозяином. Но если что - это очень маленькая вероятность.

- гмм.. значит плохо объяснил.. или кто-то плохо прочитал :-))
Пароль со входа подаётся в Curve25519, на выходе получается приватный ключ.
То есть пароль и есть приватный ключ.
Единственное, что требуется - это сделать пароль неподбираемым по словарю.
Даже 30-ти символьный пароль из букв и цифр (не из осмысленных слов) "почти" так же безопасен, как приватный ключ. "Почти" - это потому, что если он даже в миллиард раз менее стоек, чем приватный ключ - это ничего не меняет, по сравнению с 2²⁵⁶ меркнет всё.

Это хорошо что есть люди которые поясняют
Но я опять не совсем понял..или не верно сформировал вопрос проблему. Давайте я подробнее распишу Давайте рассмотрим вариант: садится некое туловище, запускает у себя локального клиента, запускает браузер, заходит в NXt и начинает с руки набивать пароли Т.е. я говорил не о варианте подбора приватного ключа - его абсолютно понятно - упрееш ловить, а о тривиально попытке захода через клиент в "чужие" кошельки, просто перебирая пароль на входе ! Я так понимаю, из того что было написано о исходных кодах - заложили "проблемы" для тех кто хочет клонировать NXT. Но заложены ли такие же "проблемы" в коде, который может позволить автоматизировать перебор пароля для входа в чужой кошелек и вывод денег через web браузер ? Я вот к какой проблеме вел... Гдето так

Жив. Про D-Wave слышал, но чего они там действительно сделали - совершенно неясно. Я сам немного не из той области, но всё-же читал, что специалисты пока настроены скорее скептически по отношению к нему.

А вообще чо гадать, поживём - увидим. Или не увидим.

Давай, раз уж пошла такая пьянка, по пунктам: как по-твоему должно быть серьёзно. Не как не должно быть, а именно как должно.

Вот ты говоришь - снизил планку вхождения.
А у буржуёв стон - дайте нам ван-клик клиент, нельзя NRS людям давать, хрен запустишь, ничего не понятно.

Взаимоисключение!

- я не говорил, что нужно успокаиваться, и что разработчикам не нужно усиливать защиту и протокола, и клиентов Nxt.  Я написал рекомендации - что можно и нужно сделать пользователям прямо сейчас, не дожидаясь усиленного клиента.
На самом деле достаточно безопасное окружение для работы с любыми  криптовалютами необходимо в любом случае. Как минимум нужен файервол и антивирус. Если винда - то постоянные обновления (ими закрываются дыры). И уже можно работать с "расходным" аккаунтом. А cold storage (и NXT, и BTC) уже организовать в чистой виртуалке. Иначе, как писал ImmortAlex, кейлоггеры одновременно будут тырить ещё и wallet.dat, благо BTC пока подороже NXT.

- в FAQ-е написано почему:
- то есть "облом накроет" гораздо, гораздо раньше, чем asci(N) наткнётся хотя бы на первый из аккаунтов.  Сейчас Nxt-аккаунтов примерно 10 тыс. Даже пусть 100 тыс. Крипто-хэш функции, например, sha256, или Curve25519 характерны тем, что из паролей на входе дают на выходе числа, супер-равномерно распределённые между 1 и 2²⁵⁶. То есть ты хочешь, чтобы очередной asci(N) попал в один из 100 тыс. аккаунтов, равномерно распределённых среди всех атомов Вселенной. О ничтожности такого шанса говорит следующее сравнение - в голове у человека ~100 миллиардов нейронов. Каждый из них состоит из огромного числа атомов. А уж сколько атомов во всех головах.. во всей Земле.. Солнечной системе..  Сколько не генерируй asci(N), даже близко не подберёшься ни к одному аккаунту. Нужно только, чтобы секретная фраза не была слишком короткой и простой, тогда и её стойкость будет 2²⁵⁶.

Это хорошо, что Nxt позволил сильно снизить планку вхождения для новичков. Те, кто не боятся задавать вопросы (и читают FAQ-и :-)) , быстрее освоятся с крипто.

Ага, ты это бизнесу объясни который в крипту завлекают. Магазины интегрировать, включать во взаиморасчеты. Ну ну, давай давай.

Короче ясно. Будущим поколениям криптвалют работы еще много, жаль если NXT забьет на это Иначе забьют на него. Это не серьезно.
 

Так не храни, зачем разочаровываться?

Ты не извиняйся,  я себя гуру не называл.

Какая разница, они там были и найти их смог человек тупо открыв страницу. А что может сделать программа?
Даже к клиенту не надо включаться, сверяйся с http://87.230.14.1/nxt/nxt.cgi?action=100 по списку и все. Нашел - автоматом перевелось и пошла дальше форсить.

Посмотри сколько битков было переведено в декабре. Не исключено что именно благодаря этому сервису и его данным.


$ 55,249.71 - это около 1 700 000 в рублях.

Вот как хранить такие бабки в таких системах.  Разочарование.

Берешь любой клиент btc, импортируешь приватный ключ (который ты назвал паролем), пользуешься.
А на этом аккаунте ноль с 27-го декабря, не знаю где ты там монетки разглядел.

Извини, но ты вот прям сейчас показал свою некомпетентность.

Ну, почему сразу много, вот она последняя страница   http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675


Вот пароль - 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw, а вот биткоины - https://blockchain.info/address/1JPbzbsAx1HyaDQoLMapWGoqf9pD5uha5m (последняя строчка с последней странички http://directory.io/904625697166532776746648320380374280100293470930272690489102837043110636675#5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqetqj84qw)

Разница в том, что у биткоина есть wallet, как гарантия что пароля самого не достатточно - нужен еще и файл.

А для NXT......


Если бы это был NXT, сейчас этот кошелек был бы уже пустым  

Дайте народу такую страничку для NXT!!!   Ща мы устроим харкордерам равномерное распределение 

Вполне возможно, что такие базы уже начали вести.
Пришел блок - проверил всех получаетелей из транзакций. Ждём следующий. Параллельно генератор базу неспешно набивает...