Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 653. (Read 1749738 times)
Вобщем-то да. Можно потихонечку годами сидеть и делать сопоставление pass фраз номерам кошелька. Купить отдельный SSD для хранения. Конечно пасс фразы в 100 символов и с иероглифами\юникодами не охватить, но циферные и с латиницей из ~30 символов можно вполне (не забываем стремительное развитие техники). А потом регулярно сверять аакаунты по наличию средств. Практика показала, угоны есть. И, учитывая, что все хотят полагаться на свою память, пасс фразы сложными и длинными не станут, всегда будут те, кто сможет накормить брутфорсеров.
Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз 
Может вы, как знающий, поясните почему нет ?
Можно, вот для биткоина уже сделали такую таблицу http://directory.io/ Может вы, как знающий, поясните почему нет ? 
Возможно кто-то и для NXT сделает
P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО
Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?
Вполне прокатит. Если у вас есть место и время для хранения 264 пар. Это 18'446'744'073'709'551'616, если что. Можете попытаться написать это число словами, чтоб понять его массивность Может вы, как знающий, поясните почему нет ? Если считаете, что набить такую базу не проблема - вперёд!А на самом деле, такое количество даже перебрать не сохраняя - надо прорву времени. Причём любой аккаунт, с которого отправлена хоть одна транзакция, автоматически выпадает из этого множества и переходит во множество 2256.
Т.о. в данный момент подобрать можно только те аккаунты, пароли к которым подбираются по словарю, либо слишком короткие.
ЗЫ: для md5 вроде бы коллизии находили, и составляли таблицы для облегчения нахождения коллизий. Хотя могу ошибаться, давно не интересовался.
Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?Я за крипто наблюдаю давно, но такую истерию по паролям вижу впервые.
Вот у догов вообще всё как у всех, воруй-не хочу, однако пока доги "тудамун" - хоть бы кто сказал, что "wallet.dat воруется на раз, дайте мне гугль аутентификатор!"
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Так брутфорс не требует обращения к сети.Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?!
Если б BCNext был мёртв, его гроб бы уже разнесло в щепки.
Вот мне к примеру абсолютно не стыдно признаться что мало чего знаю и понимаю в криптовалютах, просвятите ? Поясните почему ? Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз
Может вы, как знающий, поясните почему нет ? Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно.
Ну, у нас у руля гений, гений может все. Или не сможет, тогда он не гений.
Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?Сразу предупреждаю: авторизация а-ля 2ФА от гугла технически невозможна в децентрализованной системе, ибо подразумевает наличие центра, выполняющего проверку.
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Ну вот если MAC это чем то спасает?
Если MAC или Linux то спасет существенно
Firewall для винды надо иметь обязательно. Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.
А что если курс "пиууу и вверх" никому не нужен? А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Ну вот если MAC это чем то спасает?
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше всего внешнее устройство. Не надо делать его обязательным. Пусть это будет опция.
Мне на данный момент видится вариант у BTC-у как самый лучший, я о гугл приложении с кваркодом.
Распечатал этот код и все, сохранил ключ.
Еще раззз повторюсь, я уверен что это можно сделать. Остальное лень и нежелание решать проблему.
Кстати, эта проблема станет в свое время сопротивление к росту некста (возможно уже). А решение этой проблемой - новым драйвером для роста.
Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Не боюсь посыпавшегося винта, не надо заморачиваться с бэкапами.Могу на любом компе поднять NRS и воспользоваться своими монетами.
Ну т.е. для меня именно брейнваллет удобнее "классического" wallet.dat.
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове.
Аналогично. И хотя пароль от аккаунта Nxt у меня немаленький, я уверен, что даже сокращенный втрое он был бы вполне годным.При этом я всегда могу его ввести "из головы", без бумажки и файла.
И это гораздо надёжнее, чем всякие генераторы.
Хотя, если стукнуть меня по голове... [одевает каску]
Что бы разбавить топик и немного увести тему от брутфорса кошельков, хотел сказать про Arbitrary Message System
Все (вроде) знаю что это такое, но как отправить сообщение - знают единицы Да. Есть API, но, как показала практика, использовать его могут единицы. Да, есть сторонние клиенты - но это страшно (да, да, опять страшно) - так как нет доверия к тому, кто его написал
Есть выход Все знаю про интерфейс для создания альясов - alias.html, но мало кто знает, что запрос на создания альяса и отправки сообщения практически одинаков. Я взял этот файлик и создал на его основе новый - am.html Изменились название полей, немного дописал для конвертации строк в HEX формат (требования протокола). Больше ничего не изменял.
Проверить этот файл на отправку данных в "левые" адреса - проще простого, нужна банальная логика (проверить сторонний клиент, даже при наличии исходников, дело довольно сложное и требует определенных знаний).
В общем, как-то так. Положил его сюда: https://github.com/scor2k/am
Если хотите - пользуйтесь
Все (вроде) знаю что это такое, но как отправить сообщение - знают единицы
Да. Есть API, но, как показала практика, использовать его могут единицы. Да, есть сторонние клиенты - но это страшно (да, да, опять страшно) - так как нет доверия к тому, кто его написал Есть выход
Все знаю про интерфейс для создания альясов - alias.html, но мало кто знает, что запрос на создания альяса и отправки сообщения практически одинаков. Я взял этот файлик и создал на его основе новый - am.html Изменились название полей, немного дописал для конвертации строк в HEX формат (требования протокола). Больше ничего не изменял.Проверить этот файл на отправку данных в "левые" адреса - проще простого, нужна банальная логика (проверить сторонний клиент, даже при наличии исходников, дело довольно сложное и требует определенных знаний).
В общем, как-то так. Положил его сюда: https://github.com/scor2k/am
Если хотите - пользуйтесь
sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字
Кстати, это номер кошелька будет: 275928551880202224
Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове. Вопрос был просто о влиянии раскладки на сложность и всё.Кстати, это номер кошелька будет: 275928551880202224
Nxt дает возможность выбрать между запоминаемым паролем без файла (по умолчанию) или написатьсвою реализацию пароля и ключа в файле(как биток).
Не надо равняться и сравниваться с биткоином. Если бы Стив Джобс равнялся на ПС, знал бы мир тонкий как лезвие макбук? Айфоны? А?
Зри в корень и проблему и не уговаривай себя что ее нет.
Вот вы как будто в вакууме живете, за вами уже конкуренты по пятам идут (не обязательно создатели некста 2), а вы - да нет никаких конкурентов, нет никаких черных пиарщиков, нет никаких рисков репутационных если сотни простых юзеров начнут вой в сети.
Первым корнем зла является то, что система - децентрализованная. В ней некому делать подтверждение. Нет логина, нет пароля, есть только твой приватный ключ.Зри в корень и проблему и не уговаривай себя что ее нет.
Вот вы как будто в вакууме живете, за вами уже конкуренты по пятам идут (не обязательно создатели некста 2), а вы - да нет никаких конкурентов, нет никаких черных пиарщиков, нет никаких рисков репутационных если сотни простых юзеров начнут вой в сети.
И не надо просить сделать иначе. Знаешь как сделать - сделай сам, бабла подымешь
Я, например, даже не представляю.Вторым корнем зла является сам NRS.
Если бы в самом начале был сделан wallet.dat, я уверен, подобных разговоров бы не было. А теперь все считают, что вводят там какой-то пароль и требуют сделать подтверждение к нему. Даже когда вводят его на локалхосте.
И если б в самом начале это не был бы HTML, то никто б и не думал, что он куда-то логинится.
А интерфейс NRS внезапно смешался с тем, как выглядит типичный логин на какой-то сервер. И всё, и теперь хрен переубедишь.
Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:
Ох ё... Да поймите Вы уже, надёжнее тот, который не предсказуемее. Хотите пример надёжных? Нате:Code:
Мама мыла раму
илиCode:
Vfvf vskf hfve
sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字
Кстати, это номер кошелька будет: 275928551880202224
Можете пользоваться, мне не жалко. Пароль надёжный, инфа 146% )))
Nxt ничем не отличается от биткоина.
Ввел пароль, ввел подтверждение
Кому и что ты подтверждать будешь в децентрализованной системе?Ещё раз: Nxt ничем не отличается от биткоина. Щас кто-нибудь в альтернативном клиенте сделает автогенерацию привкея и сохранение его в wallet.dat - и будет как в биткоине. И этот валлет будут пиздить так же, как в биткоине - вирусами. А если поверх валлета сделать шифрование, как в биткоине - то будут пиздить вирусами со встроенным кейлоггером.
Ну т.е. вообще ничего не изменится. Будет как уже пять лет есть у биткоина. Причём добавится проблема: "бля я отформатировал диск цэ где мой валлет!!1111"
Представь себе людей которые запарены в своих делах.
Я обожаю таких людей, они приносят деньги и платят. Всегда. Правда, почему-то это не уменьшает их запаренности. Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:
Ещё раз: если кто-то будет искать пароли по русскому словарю с учетом раскладки - пароль совершенно небезопасен.Code:
Мама мыла раму
илиCode:
Vfvf vskf hfve
Но если взломщик - пиндос, знать не знающий про русскую раскладку, то пароль подобного вида (только подлиннее) более-менее ещё ничё так.
Но я бы так делать не стал.
Кстати, простая замена букв похожими цифрами (E -> 3, S -> 5) - тоже может не помочь. Та же PCL имеет для таких замен правила.
Jump to: