Проблема Coinbase: удобство или безопасность? - page 2.

tee-rex

hero member

Activity: 742

Merit: 526

Quote from: Arvicco on July 06, 2014, 12:44:49 PM

Quote from: tee-rex on July 06, 2014, 11:35:30 AM

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

Quote from: tee-rex on July 06, 2014, 11:35:30 AM

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

tee-rex

hero member

Activity: 742

Merit: 526

Quote from: Arvicco on July 05, 2014, 05:04:41 AM

Quote from: tee-rex on July 04, 2014, 01:50:07 PM

Quote from: Arvicco on July 04, 2014, 01:24:30 PM

Quote from: tee-rex on July 04, 2014, 12:28:14 PM

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

DeQuade

hero member

Activity: 798

Merit: 1009

Quote from: Pinka42 on July 05, 2014, 07:10:19 AM

странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно Grin

в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц

Кто сказал сложно? Я лично такого не говорил. А нецелесообразно потому, что аренда этих ячеек не бесплатна!

Pinka42

newbie

Activity: 19

Merit: 0

Quote from: DeQuade on July 05, 2014, 06:23:04 AM

Quote from: Arvicco on July 05, 2014, 05:38:26 AM

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...

странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно Grin

в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц

DeQuade

hero member

Activity: 798

Merit: 1009

Quote from: Arvicco on July 05, 2014, 05:38:26 AM

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

Quote from: DeQuade on July 05, 2014, 05:28:18 AM

А мне казалось банки тоже грабят...

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

DeQuade

hero member

Activity: 798

Merit: 1009

Quote from: Arvicco on July 05, 2014, 05:04:41 AM

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

А мне казалось банки тоже грабят...

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

Quote from: tee-rex on July 04, 2014, 01:50:07 PM

Quote from: Arvicco on July 04, 2014, 01:24:30 PM

Quote from: tee-rex on July 04, 2014, 12:28:14 PM

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

tee-rex

hero member

Activity: 742

Merit: 526

Quote from: Arvicco on July 04, 2014, 01:24:30 PM

Quote from: tee-rex on July 04, 2014, 12:28:14 PM

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

icreator

legendary

Activity: 1554

Merit: 1008

Quote from: tee-rex on July 04, 2014, 07:35:39 AM

Quote from: Pinka42 on July 03, 2014, 07:55:01 PM

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

все это было и на mtgox - не спасло ))
а старожилы говорят и до этого биткоины много раз уходили от владельцев на других "крутых" веб-проектах

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

Quote from: tee-rex on July 04, 2014, 12:28:14 PM

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

tee-rex

hero member

Activity: 742

Merit: 526

Quote from: Arvicco on July 04, 2014, 10:50:33 AM

Quote from: tee-rex on July 04, 2014, 07:35:39 AM

Quote from: Pinka42 on July 03, 2014, 07:55:01 PM

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

Quote from: tee-rex on July 04, 2014, 07:35:39 AM

Quote from: Pinka42 on July 03, 2014, 07:55:01 PM

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

tee-rex

hero member

Activity: 742

Merit: 526

Quote from: Pinka42 on July 03, 2014, 07:55:01 PM

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

icreator

legendary

Activity: 1554

Merit: 1008

да пора бы уже всем новичкам понять - что централизация = обман или рабство

MaD!CaT

newbie

Activity: 30

Merit: 0

Quote from: Pinka42 on July 03, 2014, 07:55:01 PM

кто нибудь пользовался коинбэйс?) я все никак не попробую

А оно вам нужно? Зачем, если есть старый, добрый, проверенный временем Bitcoin-qt

Pinka42

newbie

Activity: 19

Merit: 0

кто нибудь пользовался коинбэйс?) я все никак не попробую

Arvicco

hero member

Activity: 574

Merit: 501

Please bear with me

http://bitnovosti.com/2014/07/03/problema-coinbase/

Quote

Программист из Канады сообщил о выявлении существенной уязвимости в приложении Coinbasе, используя которую, злоумышленники могут получить полный доступ к аккаунту пользователя. Это далеко не первая проблема безопасности, выявленная для данной платформы. В широком смысле, возникает вопрос: какую цену приходится платить пользователям за кажущееся удобство сервиса Coinbase?

...

Возможно, использование Coinbase-aккаунта и удобно для повседневных биткойн-расходов (хотя не очень понятно, что в нем есть такого, чего бы не было в сервисе Blockchain.info). Однако, держать на этом счете остаток в биткойнах, который превышает сумму, которую вы в любой момент готовы потерять, однозначно не стоит. Как показывает нам история, все централизованные сервисы подобного рода рушатся, неизбежно погребая под своими обломками средства излишне доверчивых пользователей.

Topic: Проблема Coinbase: удобство или безопасность? - page 2. (Read 3308 times)