Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа - page 656. (Read 1750060 times)

все может гораздо проще - кейлоггер и не надо ничего брутить

Ну и немного приятного - сегодня DGEX как то быстро отрабатывает, вывод буквально за пару часов ! К чему бы это ?

Да это все понятно !
Но факт остается фактом, что, как миниму по заявлению, весьмиа длинный и качественный пароль, брутанулся же както ?

Кстати -  а человек у которого угнали пароль, может его здесь опубликовать ? Врят ли он еще раз пригодится, а другим будет наука какие пароли не стоит делать, раз примитивный брут его длинного такого перебрал

Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам NXT, это к Касперскому, к Доктор Вебу, и прочим подобным.
А криптовалютные прогеры пусть не о вашей безолаберности думают, а о том как развить своё детище в массы.

Както все "безвыходно" прям звучит ! Не должно такого быть - код запАсный должен быть !

Хотя...а чем страшен бан прокси, и почему должен баниться пул ?  Я думаю можно подобрать такой набор показателей блокировки, что этот риск может быть также минимальным

Это бан прокси. И, возможно, отсутствующих пока пулов.

Кошелек не катит, так как испарится одно из абалденных преимуществ "кошелек в голове"... Да и кое где за нераскрытие кошелька можно срок схлопотать. А  с Nxt - фантазируй что хочеш, с вероятностью 99,99999999% покажешь пустой кошелек

Где-то в первом посте ветки было дано разъяснение про Англию и отсутствие валлета.

Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?

Похоже пора делать аналог http://directory.io/ для NXT 

Размышлял на эту тему последнее время (ещё до взломов). Выводы получились такие:
Пока мало аккаунтов в сети - брутфорс бессмысленен, но когда аккаунтов станет много, соответственно станет много паролей разной сложности - случайному взлому будут подвержены все. Взламывается же не конкретный аккаунт. Подбираются вероятные пароли всей сети. Или даже с проверкой по активным кошелькам через блокэксплорер (думаю этот метод был использован для описанных ситуаций со взломами аккаунтов). Чем больше аккаунтов - тем выше вероятность взлома, достаточно запустить словарь или генератор случайных символов (включая alt+xxx, почему бы нет?). Взломщику без разницы чей аккаунт взломается первым, а чей пятым. Возможностью сохранения финансов станет вывод их в другую валюту (других вариантов не вижу). => непрерывное падение обменного курса NXT.
ИМХО, в сети останутся только гики. Даже хомяков с паролями "sex, alex, lion..... " не будет по понятным причинам.

Приблизительное Итого: нужен второй пароль в самом локальном клиенте.
Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту).
В этом случае вероятность взлома уменьшается, т.к. нужно взламывать конкретный аккаунт (ключевая фраза уже взломана брутфорсом сети) заново (для манипуляций с кошельком). Ну и алярм поставить, чтоб было видно количество попыток ввода пароля и блокировкой окна ввода пароля на "10 минут". Локально.

Остальные варианты угона финансов считаю недостаточной защитой компьютера (телефона, ноутбука, утюга...) от несанкционированного доступа. Аккаунт и клиент тут не виноваты.

Upd: Это не инструкция по взлому.
Upd2: возможно я многого не знаю

Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно.
З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы

Есть промежуточные варианты. Берём например длинную цитату какую-то на русском которая запомнится легко (стихи например и тп), и вводим её в английской раскладке, смотря на русские буквы. В результате получится что-то типа t.fysqcnslwbnfnf;tcnm например, добавить туда ещё букв в разном реестре, ощибок намеренно допущенных и т, и по моему вообще анриал будет такой пароль подобрать. Ну а копировать-хранить-вставлять не придётся



Было бы супер, конечно, но вот думаю что это разве что в стороннем wallet сервисе можно реализовать.

Я же сказал - идея черновая но думаю допилить как то можно... Сама идея вобщемто "живая"
З.Ы.  Скрытую привязку удаляем Может быть шифрованная, а может и открытая - все одно - замарачиваться на подбор пароля к номеру приватного ящика на порядки усложнит угон
З.Ы.Ы. Или через арбитражи просто блокировать вывод со счета куда были переведены "нечестные" деньги - тогда смысла воровать не будет.
З.Ы.Ы.Ы. Или используя рейтинги кошельков... На кошелек с рейтингом "голубой воришка", перевод запрещен

Как узел или сеть узнают о привязке, если публикации о ней нигде нет? Смысл P2P - "знает узел = знает сеть" и "знает сеть = знает узел"

В продолжении истории о угнанных накоплениях, у меня есть предложение к разработчикам - поскольку человеку свойственно ошибаться и быть невнимательным, а кому то просто может не повезти с выбором секретной фразы, что в итоге приводит к воровству средств, а также учитывая что децентрализация самой системы исключает методы централизованной аутентификации, есть такая идея:
А почему бы не использовать следующий механизм: (черновая идея, думаю можно допилить до качественного решения):

0. Имеется "открытый" кошелек (как сейчас у всех, которые и бомбят иногда)
1. Вводится "приватный кошелек"
2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная. Т.е. так, чтобы даже если подобрали пароль к "приватному" - было не понятно какие "открытые" кошельки к нему привязаны.

Т.е. даже при использовании фотонных и прочих инопланетных компутиров, подбор секретной фразы к открытому кошельку - бесполезное времяпрепровождение

(с) я, готов принять массу финансовых благодарностей за идею

У пула есть кошелёк, который форжит. Номер кошелька есть в первом сообщении темы про пул.
С помощью BlockExplorer'а легко проследить все транзакции, вознаграждения и найденные блоки.

Ни на одном ресурсе сети я НЕ использовал этот пароль.

- извини, но тебе хорошо бы пока ещё почитать, поразбираться с криптовалютами (биткоином, форками, вообще с крипто).. прежде, чем делать безапелляционные заявления.
Децентрализованные валюты не могут быть привязаны к централизованным вещам типа почты - с чем, по твоему, Nxt-клиент должен сверять отклик с почты или с аутентификатора? С чем-то,  что хранится в блокчейне? Но тогда "это" доступно всем. Капча как защита от брутфорса - неужели ты думаешь, что в системе с отрытым кодом пароли подбирают при помощи оригинального клиента??

- гмм, мне казалось, что без регистрации на пуле не увидеть статистику найденных им блоков ..
Также остаётся вероятность того, что на каком-то другом ресурсе была использована эта же фраза в виде пароля, и админ или хакер того ресурса решил проверить Nxt кошелёк ..