Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 655. (Read 1749738 times)

Мне стало интересно и я посмотрел список транзакций кошелька который обвиняют в уводе денег
Интересная тенденция
Вчера на него пришло 12.500 и через 3 минуты 500
Сегодня на него пришло 105.693 и через 3 минуты 319
время между вчера и сегодня ~ 8 часов
Вывод - то что ворует это вроде да причем хорошо ворует примерно 10 штук зелени меньше чем за 8 часов
Вопрос в другом что для брутфорса времени как то маловато поэтому это жутко напоминает увод пароля с помощью логгера или иной заразы на локальной машине
И в первую очередь надо трясти ее антивирусом или руками смотреть что куда посылалось (это к Касперскому, к Доктор Вебу, и прочим подобным.)
Тут ни какой безопасный пароль не поможет, но это мое личное мнение

Прекратите называть приватный ключ паролем - и всё станет немного понятней
Ну, точнее, из пароля однозначным алгоритмом генерится публичный и приватный ключ, из публичного потом однозначным алгоритмом вытягивается номер аккаунта.

Несколько недель назад предлагался такой более-менее конструктивный и реализуемый вариант:
- по умолчанию всё работает как есть
- аккаунт может отправить в сеть специальную транзакцию с ещё одним публичным ключом (ака "юзер ввёл ещё один пароль")
- после этого первый ключ используется только для форжинга, а второй ключ - для подписывания транзакций на отправку.

Второй пункт обязателен, сеть должна знать публичный ключ.
Второй пункт не отменит перебор паролей злоумышленниками, но позволит разделить форжинг и отправку денег.

Так брутфорс не требует обращения к сети.
Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?!
Если б BCNext был мёртв, его гроб бы уже разнесло в щепки.

Ну так поставь себе альтернативный клиент, который показывает состояние произвольного аккаунта без ввода пароля. Стремаешься альтернативы - пользуйся публичным эксплорером.

Парни, вы никак не поймёте, что Nxt в плане устройства ключей ничем не отличается от биткоина. Вообще ничем. Просто дефолтный клиент битка хранит ваш пароль в файле и придумывает его сам, а дефолтный клиент Nxt ничего не придумывает и просит ввести.

https://bitcointalk.org/index.php?topic=429884.new#new какой то говнюк с номером 10411181763421717624 тырит монеты перебором паролей, плакали мои монетки, увели 52 :/

Сегодня черная пятница, у пользователей один за другим кто-то форжит по крупному их кошельки.
Поэтому, сегодня грустные частушки и черный юмор.


— Ватсон, вот я смотрю на вас и думаю. . . Это же вы спиз***ли мои Нексты?
— Но. . . но как вы узнали, Холмс?
— Узнал? Я просто спросил.


Встречаются два майнера. У одного новый асик.
— Слышь, откуда асик то?
— Да вчера пришел к знакомой, она тоже майнит,
а она вдруг срывает с себя одежду и говорит:
— Бери если нравится то, что ты видишь!
Ну я и взял. Клевый асик, да?
 — Клевый. Правильный выбор сделал, на кой тебе бабские шмотки.


Идет экзамен в универе на повышение квалификации - тест с вопросами, на которые надо отвечать "да" или "нет".
Один из студентов-трейдеров подбрасывает монетку и записывает результаты.
Препод думает: "Ну, этот первым закончит."
Экзамен закончился, остальные студенты уже написали и ушли, а трейдер студент все сидит и монетку подбрасывает.
Преподу это надоело, он подходит и спрашивает: - Ну что. ответил на вопросы?
- Да.
- А чего тогда делаешь?
- Проверяю.


Голод дошел до российской глубинки.
Бедная мама взялась за дубинку.
Детям теперь гарантирован ужин...
Папочка майнер был не особенно нужен.


Будущий майнер (совсем еще маленький мальчик )
Сунул в розетку свой тоненький пальчик.
Очень довольна им бабушка Вера:
Майнер теперь светит вместо торшера.


Малелький мальчик купил пару Некстов,
Теперь у него вся деревня в невестах.


Мальчик Алеша квантовый асик нашел - с этой игрушкой в школу пришел
Преподы глянули на мальчика косо - где Асик, где Леша... а не было Леши!


Папа на биржу всю зарплату завел,
В среду завод, в субботу развод.


Сидит майнер вечерком дома за компом, на асик смотрит, радуется вовсю. Вдруг стук в дверь... Открывает, а за дверью смерть с косой.
- Как, мне ж еще жить, да жить!
- Не к тебе я - к асику твоему...


Но, все равно, немного позитива:

Сидит психиатр (П) у себя в кабинете - скучает... пациенты не идут.
Тут тихонько так приоткрывается дверь и к нему на карачках заползает человек (Ч) сжимая что-то в зубах, руках и т. д. плюс что-то еще волочится сзади.
П: - Ой кто это к нам тут ползет!!! Это наверное маленькая змейка. Заползай змейка, заползай маленькая, доктор тебе поможет.
Человек отрицательно машет головой.
: - А-А-А. это наверное черепашка к нам в гости пожаловала. Заползай черепашка в кресло и расскажи дяде доктору что с тобой случилось...
Человек отрицательно машет головой.
П: Так кто же это у нас - наверное маленький червячок?
Ч: ДОКТОР, ИДИТЕ НАХ, Я СИСАДМИН, ВАМ СЕТЬ ПРОКЛАДЫВАЮ!

Один компьютерщик – другому:
- Мне тут одна девчонка роман Достоевского на «мыло» прислала, вчера читать начал.
- Ну и как?
- Интересно, только мрачный он какой-то. Прикинь: пять с лишним мегов текста, и ни одного смайлика!


Умирает старый трейдер. Вся семья собирается у смертного одра. Доктор вынимает градусник и печально объявляет:
- 39.
Умирающий открывает один глаз и хрипит:
- Будет 40 - про...давай...те!


Пароль взломанного аккаунта: КакЖеЯЗае***сяПодбиратьВашиПароли


Моя шляпа перед вами - NXT 15679894295041202226.

Ставил, он вроде с окрытым кодом. Версия 0.0.2 так что еще есть глюки. Есть еще как минимум два сторонних клиента, а будет еще больше. Пока они тестируются, использовать в них пароли к основным кошелькам вряд ли разумно. К тому ж запускать лучше в отдельной виртуалке чтобы еще чего плохого не вышло.
Также следует знать, что "официальный" клиент (это то, что видно в браузере) давно "официально" не поддерживается (в отличие от Java сервера)

Отличная идея для второго кошелька!

А всё же, покажите что за пароль то был? Ну и наверное нужно сначала 100% исключить вариант с кейлоггером, а то купите сейчас ещё монет, а они опять уйдут. По поводу как сделать пароль устойчивый к брутфорсу, вот мой вариант например https://bitcointalksearch.org/topic/m.4734588

Здорово, что не сдаёшься. Ведь м...ки, обворовывающие новичков как раз на то и надеются, что отобьют у них всяких интерес к КОНКУРИРУЮЩЕЙ платформе 2-го поколения.



Значит ты не на локальном, а на ЧУЖОМ СЕРВЕРЕ открывал свой кошелёк? Наверное, даже без ssl? Жаль. Ведь тебя новичком назвать сложно. Человек, зарегистрировавшийся в июле 2011 года (бум BTC, рост "аж" до 35$), наверное, хорошо разбирается в тонкостях криптовалют?..


Жаль, что ты не публикуешь здесь свою секретную фразу. Теперь-то какая разница?.. Может быть удалось бы разобраться в ситуации и продвинуться дальше в наших поисках. А то ведь некоторые спят и видят, с какого бы боку посеять среди NXT-ров СТРАХ И УЖАС.

А правила создания нового аккаунта достаточно просты. Никаких фраз (на мой взгляд), побольше специальных символов, лучше вообще 100 символов. Вот вам и обезьяны с бананами...

Можно создать кошелёк-сейф: сложный пароль, описанный выше и кошелёк с небольшой суммой для тестирования, спонсорства итд.
Второй кошелёк с фразой под 50 символов, парой намеренных ошибок и заменой символов типа 2=к, 4=для, @=у или как угодно. Рассматривать этот кошелёк как портмоне в заднем кармане брюк, он как бы и не совсем твой, а общий

Пока вот так. Позже, видимо, у NXT появятся другие возможности для идентификации а также user-friendly Hardware Keys, как, допусти, вот этот для BTC.

Полезная информация с нашей основной страницы:
http://wiki.nxtcrypto.org/wiki/How-To:GenerateStrongPassword
http://wiki.nxtcrypto.org/wiki/Account_Security

Я думаю, необходимо просто придерживаться этих достаточно простых правил, ведь это всего лишь временные неудобства. Ну и помнить ПОЧЕМУ нападают. Зачем нужны эти "зомби", DDos, кражи. Scam-коины не DDos'ят, их не крадут, они никому не нужны. Боятся только сильных конкурентов, способных оставить в прошлом всех тех, кто за него так цепляется.

Скорее всего, наоборот. "Чёрная дыра": майнинг будет гнать валюту до такой цены, которая окупает его. А гонка вооружений (чтобы хотя бы удержать свою долю прибыли, нужно всё время наращивать мощность, дилемма заключённого не позволяет остановить гонку ни одному из участников) ограничена лишь немгновенной печатью спецчипов.

Разумеется, одной этой компонентой окончательная цена валюты не ограничивается.

Если это был кейлоггер/компромизация, сложность пароля значения не имеет.
Если ты думаешь на брутфорс, то покажи нам взломанный пароль.

Никто и не перекладывает ответственность на систему. Просто самое обидное во всём этом то, что мой кошелёк был разлочен и форжил практически без перерыва последние несколько суток, тем самым, поддерживая сеть. А несколько дней назад мне даже удалось подписать блок. И после этого я получаю от какой-то падлы удар ниже пояса.

Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.

Тоже доверия как то не вызывает, желающих поживиться на халяву хватает
Хотя прогнал только что через Вирус тотал...чистенько https://www.virustotal.com/ru/file/b78d52504104d2e89b8f103180a91aafc9548df755fa511054e498fa64d12f06/analysis/1390688757/
но всё равно терзают смутные сомнения

Ставить не ставил, не доверяю чёт. Но интерфейс мне у него понравился, и ссылки все есть, на алиас и др. судя по скринам.

какая последняя версия официальная 0.5.10, да ?
а это что за творение ? кошелек Wallet GUI как у всех койнов https://bitcointalksearch.org/topic/m.4724449
Кто такой этот fmiboy ? Он имеет какое то отношение к команде разработчиков Некста или так, его собственное творение ? Кто-нибудь ставил ?

все может гораздо проще - кейлоггер и не надо ничего брутить

Ну и немного приятного - сегодня DGEX как то быстро отрабатывает, вывод буквально за пару часов ! К чему бы это ?

Да это все понятно !
Но факт остается фактом, что, как миниму по заявлению, весьмиа длинный и качественный пароль, брутанулся же както ?

Кстати -  а человек у которого угнали пароль, может его здесь опубликовать ? Врят ли он еще раз пригодится, а другим будет наука какие пароли не стоит делать, раз примитивный брут его длинного такого перебрал

Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам NXT, это к Касперскому, к Доктор Вебу, и прочим подобным.
А криптовалютные прогеры пусть не о вашей безолаберности думают, а о том как развить своё детище в массы.

Както все "безвыходно" прям звучит ! Не должно такого быть - код запАсный должен быть !

Хотя...а чем страшен бан прокси, и почему должен баниться пул ?  Я думаю можно подобрать такой набор показателей блокировки, что этот риск может быть также минимальным