Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 654. (Read 1749583 times)

Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:
или

Кто-то давно показывал, но это, кажется, ещё была история с поддельным клиентом.
А так - да, вполне может быть, что стесняются.

От алгоритма зависит. В былые годы доводилось пытаться пароли к архивам ломать, дык ARJ на несколько порядков быстрее перебирался, чем RAR. Но тупые цифирьные и короткие пароли нынче, конечно, не спасут.

Естественно сложнее. Вам правильно сказали, что это разные символы, точнее это разные коды символов.

Вы ещё живы? А то так-то Гугл уже давненько купил квантовый комп D-Wave и потихоньку тестирует. Да, он слабоват для простых арифметических операций, но как пишут в работе со случайными данными он не превзойдён. Да и не забываем темп развития современной техники. Глядишь лет через пять уже домашним станет.
Мгновенно он может быть взломан. По сути нет никакого взлома. Пишем скрипт, и проверяем сумму на кошельках тупым перебором. Берём пароли "мудаков" из 10 символов, например. Берём свежие блоки (всё делается offline) и начинаем перебирать...
0000000001 - смотрим скок денежек, есть переводим, нет дальше идём
0000000002 - смотрим скок денежек, есть переводим, нет дальше идём
.....
9999яЯZZZ - смотрим скок денежек, есть переводим, нет дальше идём

Идея понятна же? А практика показала что таких наивных с паролем в десять-пятнадцать символов - много. И, кстати, все взломанные утверждали о сложности пароля, но ни один так и не показал свой пароль. Подозреваю паролем был или номер мобильника, или дата какая-то, или что-то просто циферное.
Я давно не занимался взломами, но ещё мой старый интеловский проц мог подбирать пароль к sam файлу на скорости более 100 тыс в сек при длинне пароля 8 символов. Говорите каждые восемь часов деньги уводят? Сколько кошельков можно пролистать на современном проце за восемь часов? Думаю не мало, при учёте того, сколько есть лёгких и коротких паролей. А перлесть ещё в том, что всё офлайн можно провернуть.
Это круче майнинга, и доходнее. Просто тупо перебираешь, и всё. Пока есть новички, будешь с постоянным доходом.

Это, скорее всего, dotNXT клиент.

А ещё старина Жан-Люк отметился: NRS (0.6.0) @ NCC-1701-D

у меня среди Active peers [1321] примерно половина 0.5.10
Среди остальных вижу 0.4.8 и даже вот такое .NXT (0.0.3) @ ?

Номер ванитигеном подбирал, или тебе сопутствовала дьявольская удача?

Кстати, господа, напоминаю, что после блока 51000 тампакс превратится в тыкву клиенты старее 0.5.10 отвалятся от основной цепочки. Это примерно завтра (смотря кто в каком часовом поясе).

Всё зависит от того, кто и как ищет.
Есть, допустим, вот такая древнючая библиотека для построения брутфорс-ломалок. Насколько я помню, у нее даже в документации был пример такой настройки, чтоб подбирать по английскому словарю в русской раскладке и наоборот.
Если кулхакер не нацеливается специально на аудиторию с русской раскладкой, то такая замена надёжна, а если нацеливается - то совершенно не поможет.

В принципе, пароль по словарю может быть надежным, если слова толково портить.

Пока ничем. У разработчиков свои приоритеты, не всегда совпадающие с чьими-то пожеланиями.

Спасибо, Кэп! ;-)
Уточню - есть разница в сложности подбора между паролями в разных раскладках?
Я понимаю, что один пароль, набранный в смешанных раскладках будет сложнее.

Конечно есть, это же совершенно разные символы.

Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках?

Опередили буквально на пол часа =))

В дополнении хотел сказать, что еще более безопасным (читать *параноидальным*) было бы использовать самосозданный LiveCD/LiveUSB для работы с кошельком. Берем самый дешевый нетбук, грузим его с флешки, качаем последнюю версию кошелька (ссылка фиксированная), сверяем хэш, запускаем, ждем закачки блоков, проводим транзакцию и выключаем машину, убираем флешку

Все же виртуалка на машине где есть (теоретически) троян - это уже уязвимость. Кейлогеры, бывает, пишут не только нажатия клавиш клавиатуры, а еще координаты кликов мыши ))))

Ну вот, как-то так Все остальное abctc правильно сказал

Очень интеренсо, хочу! Чем закончилось обсуждение?

- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только  Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру.

О стойком пароле за последние дни писали уже много раз. Пароль обязательно должен содержать спецсимволы, а также буквы разного регистра. Если пароль сгенерирован спец. программой, то нет смысла в его длине более 32-х символов, т.к. он потом всё равно превращается в приватный ключ длиной 32 байта. Если пароль несколько осмысленный (для возможности ввода по памяти), то лучше его сделать несколько больше 32-х символов. Если на виртуальной клавиатуре есть и русские и английские буквы, то можно подобрать русскую фразу, и вводить её в английском регистре, обязательно заменяя по своему алгоритму некоторые буквы на спецсимволы, например, i -> !, a -> _, e -> ~, j - ^, и т.д.

Пример: берём фразу "И опыт, сын ошибок трудных" пишем без пробелов в английском регистре, последнюю букву каждого слова делаем заглавной, получаем "bjgsN,csYjib,jRnhelys{". В момент ввода заменяем буквы по нашему алгоритму, получается: "b^gsN,csY^!b,^Rnh~lys{" . Это позволяет никогда не копи-пастить пароли, а вбивать их через виртуальую клавиатуру - это важно, потому, что клавиатурные шпионы перехватывают не только нажатия клавиш, но и буфер обмена. При этом у вас в виртуальной машине может и не быть шпиона, он он может сидеть и перехватывать клавиши в хостовой машине, где вы по-прежнему сёрфите интернет, запускаете разные программы..

Продолжил перевод nxt wiki на русский:
http://wiki.nxtcrypto.org/wiki/Special:Contributions/Basil

Что я перевел:
http://wiki.nxtcrypto.org/wiki/FAQ/ru (частично): 1.5, 2.1, 2.2, 2.3, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 4.8, 4.9
+
http://wiki.nxtcrypto.org/wiki/Nxt_History/ru (было начато до меня)
http://wiki.nxtcrypto.org/wiki/Nxt_Software/ru
http://wiki.nxtcrypto.org/wiki/Android/ru
http://wiki.nxtcrypto.org/wiki/How-To:UninstallNRSClient/ru
http://wiki.nxtcrypto.org/wiki/Exchanges/ru
http://wiki.nxtcrypto.org/wiki/Faucets/ru
http://wiki.nxtcrypto.org/wiki/Block_Explorers/ru
http://wiki.nxtcrypto.org/wiki/Vanity_Account_Generators/ru

Если кто-то захочет поддержать, номер счета доступен в подписи. Спасибо.

Мне стало интересно и я посмотрел список транзакций кошелька который обвиняют в уводе денег
Интересная тенденция
Вчера на него пришло 12.500 и через 3 минуты 500
Сегодня на него пришло 105.693 и через 3 минуты 319
время между вчера и сегодня ~ 8 часов
Вывод - то что ворует это вроде да причем хорошо ворует примерно 10 штук зелени меньше чем за 8 часов
Вопрос в другом что для брутфорса времени как то маловато поэтому это жутко напоминает увод пароля с помощью логгера или иной заразы на локальной машине
И в первую очередь надо трясти ее антивирусом или руками смотреть что куда посылалось (это к Касперскому, к Доктор Вебу, и прочим подобным.)
Тут ни какой безопасный пароль не поможет, но это мое личное мнение

Прекратите называть приватный ключ паролем - и всё станет немного понятней
Ну, точнее, из пароля однозначным алгоритмом генерится публичный и приватный ключ, из публичного потом однозначным алгоритмом вытягивается номер аккаунта.

Несколько недель назад предлагался такой более-менее конструктивный и реализуемый вариант:
- по умолчанию всё работает как есть
- аккаунт может отправить в сеть специальную транзакцию с ещё одним публичным ключом (ака "юзер ввёл ещё один пароль")
- после этого первый ключ используется только для форжинга, а второй ключ - для подписывания транзакций на отправку.

Второй пункт обязателен, сеть должна знать публичный ключ.
Второй пункт не отменит перебор паролей злоумышленниками, но позволит разделить форжинг и отправку денег.

Так брутфорс не требует обращения к сети.
Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?!
Если б BCNext был мёртв, его гроб бы уже разнесло в щепки.

Ну так поставь себе альтернативный клиент, который показывает состояние произвольного аккаунта без ввода пароля. Стремаешься альтернативы - пользуйся публичным эксплорером.

Парни, вы никак не поймёте, что Nxt в плане устройства ключей ничем не отличается от биткоина. Вообще ничем. Просто дефолтный клиент битка хранит ваш пароль в файле и придумывает его сам, а дефолтный клиент Nxt ничего не придумывает и просит ввести.