Topic: Как обезопасить приватную инфу (Derk-метод). (Read 393 times)

В таком случае, используйте только первый метод, он самый простой. То есть добавляйте только яд к своей приватной инфе, которую вы хотите запутать. Если вы хотите сокрыть приватные ключи - вставляйте яд в середину приватного ключа. Если сид (seed) - то добавляйте яд спереди и сзади. Ну или уточните, что конкретно вам непонятно. По-моему, я достаточно подробно описал метод.

Могу сказать только, что метод максимально рабочий и его, к счастью, мало кто знает, что хорошо для конспирации и безопасности, кстати. Причём метод оригинальный, мой авторский, а не копипаст какой-нибудь или калька-рерайт с доступного в гугле. Я вообще считаю, что этот метод мастхэв для тех, кто знает и понимает. Плюс этого метода в том, что он хорошо сочетается с другими методами защиты и сильно укрепляет их. И если у вас есть средств более, чем на 100 баксов, то нужно хорошо защищать свою секретную инфу. Глупо это не применять. Ведь это бесплатно и высокоэффективно. Я сам защищаю им свои сиды, пароли и приватники. У меня, правда, нет таких больших средств, чтобы применять метод в комплексе, с витаминами, например. Но яд я всегда ввожу в свою секретную инфу.

Сегодня попробуем с помощью Derk - метода запутать номера приватных телефонов, которые по какой-то причине вам не хочется выдавать злоумышленнику. Есть 2 варианта: номер телефона не очень важный (но, тем не менее, лучше эту информацию запутать) и второй вариант - номер важный.
В первом случае просто к номеру добавляем яд (от слабого до сильного), во втором случае - убираем витамин и только после этого добавляем яд (витамин храним отдельно в другом файле и можно на другой флешке. Вообще этот номер телефона можно хранить в памяти, а к секретному файлу обращаться только в том случае, если номер забылся).
Допустим, наш номер телефона - 8 927 238 59 73 (это случайный номер, который пришёл мне в голову).
1-й метод: бревно + яд. Вообще, яд я рекомендую добавлять в любую приватную инфу. В качестве яда я советую брать какие-то известные или малоизвестные числовые последовательности. В простых случаях это может быть последовательность числа пи. То есть числа дробной части. После запятой они идут в таком порядке:
1415926535897932384626433832… Необязательно брать числа с начала, оттуда, где они воспринимаются «на глаз». Можно взять с 7-й цифры, например:
5358979323846. Эту последовательность с числом пи уже сможет сопоставить либо знающий человек, либо программа. Но для сокрытия простых незначимых телефонов вполне можно использовать. Можно эту последовательность разбить на 2 части – 535897 и  9323846. Первую часть вставляем сразу после кода 927, другую в конце номера.
Получилось вот что:
8 927 535897238 59 739323846
Для постороннего этот номер будет выглядеть так:
8 927535897238 59739323846. Минус этого метода только в том, что номер выглядит неестественно, как одна большая ошибка. Но в чём именно здесь ошибка и является ли номер валидным хотя бы в какой-то его части – большой вопрос для постороннего.

Другой метод: бревно минус витамин плюс яд.
Из изначального номера 8 927 238 59 73 убираем часть последовательности, например, первые 5 цифр после кода - 238 59. Это будет наш «витамин, прячем его в отдельный файл на другой флешке. Вместо него вставляем некую постороннюю последовательность цифр. Например, из упоминавшейся ранее последовательности числа пи: 53589. Вместе это будет выглядеть так:
8 927 5358973.
Для постороннего наблюдателя это будет естественно выглядящий, но невалидный номер:
8 9275358973. Если естественность не важна, то количество яда и здесь можно увеличить (например, важный, приватный телефон). Просто в таком случае нужно использовать яд из менее известных последовательностей, чем число пи или, ещё более хардкорный вариант, длинную рандомную последовательность.
Допустим, такую:
4964920652645396276796974296796759
Получится вот что:
8 927 496492065264539627679697429679675973.
В этом последнем номере из изначального остались только первые 4 и последние  две. Остальное – рандомный блок цифр. Недостающая часть изначального номера (витамина) - скрыта. В общем, в теории метод выглядит заморочено, но на практике всё проще, достаточно немного потренироваться.

Думаю, что вы неправы. То есть для своих целей шифрование со скрытым контейнером может быть неплохим, но в целом, у него есть существенные недостатки перед Derk - методом (эркографией).
1.Оговорюсь, что я не против шифрования, но шифрования совместно с данным методом лишь. Шифрование в виде монометода, на мой взгляд, малоприемлемо для серьёзных сумм и вот почему. Основной трабл: вы должны на 101% доверять программному обеспечению, используемому для шифрования. Вы уверены, что прога, которая шифрует ваши данные - не зловред? Можно было бы ещё доверять проге, которую ты сам наваял и которую ты сам апгрейдишь. Это - идеал. Но, думаю, что 99% посетителей данного форума этого сделать не смогут. Можно чисто случайно скачать прогу, которая будет сканировать ваши носители на предмет наличия искомой инфы.
2. Опять-таки, от зашифрованного контейнера пароль нужно где-то хранить в незашифрованном виде. И в чём тогда смысл от шифрования? Всё всё равно не зашифруешь. Можно, конечно, хранить инфу в виде QR - кода. Но это значит опять взаимодействовать с программным обеспечением, нуждающимся в доверии. + риски устаревания кода, неудобство работы с ним, необходимость вводить код в разные носители и т.д. Можно запоминать пароль от зашифрованного контейнера и нигде его не записывать. Но если вы забудете этот пароль, то можете сказать своим средствам "давай до свидания!".
Читаете мои мысли). Добавлю, что чел, который уважает себя и свои средства никогда не будет использовать шифрование в качестве монометода защиты. Это не по тру-криптански, не по шифропанковски.) Тот, кто готов к путешествию к битку на 100 000, должен использовать тру-методики, хардкор. Хотя, на самом деле, эркография не так сложна и не так неудобна, как может показаться на первый взгляд. Более того, по соотношению надёжность/удобство  - это лучшая методика из известных мне. Пытаюсь узнать хоть какую-то приемлемую альтернативу, но ничего не вижу.

В том -то и дело что в случае если мы пользуемся каким-то пароль менеджером мы все равно используем третье лицо. Опасность в том что при взломе программы злоумышленник получает доступ ко всем нашим паролям. Таким образом мы полагаемся не на себя, а на добросовестность разработчиков, а это уже уязвимость в нашей безопасности.

Но задумайтесь, даже если кто то получит доступ к вашим приватным ключам, он не сможет ими воспользоваться если вы заранее добавите в них, то чего там быть не должно. При этом знать что является лишним в ключе можете только вы. Таким образом это уменьшит уровень централизации в вашей безопасности чем в разы ее усилит .

Ну есть же множество разнообразных менеджеров паролей, например LastPass. Вот на хабре подетальнее инфа https://habr.com/ru/post/357192/ это правда список топовых, но там о каждом хорошо расписано

В области безопасности хранения информации есть одно золотое правило: «Чем сложнее - тем безопаснее»
На первы взгляд метод действительно не прост в освоении, но это самое оно для тех кто хочет железобетонную безопасность.

Не видел еще такого извращенного извращения, извините за выражение. Не проще ли использовать шифрование со скрытым контейнером и безопасно и надежно и точно так же надо хранить в голове два пароля. Да и потом не стоит забывать что таких паролей и сервисов куда потребуется вводить пароль сотни.

Так я выше уже писал об этом. Яд для сида как раз-таки и составляется из валидных слов из аутентичного списка. Как злоумышленник узнает, какая часть из найденного им сида - "основная"? (а какая - "ядовитая"?)А какая - недостающая? ("витамин"). Он просто будет располагать невалидным сидом (разной возможной формы). Но как сделать так, чтобы этот конкретный невалидный сид сделать валидным - сказать невозможно.
Моя тема довольно сильно отличается от этого. БТ не позволяет делать длинные названия в связи с чем тема названа не совсем правильно. Я пишу о сокрытии любой приватной инфы, не только паролей и притом одним оригинальным методом. Попробую изменить названия топика, чтобы не сбивать с толку людей.

надежный пароль должен быть достаточно длинным и содержать цифры, символы и специальные символы

Я в курсе. Еще знаю что есть 2048 слов, которые там используются, и там может не оказаться твоих. А еще в курсе что если есть основная часть сида, то остаток можно подобрать, и вообще сид фраза имеет свойство преобразовываться.

Чем натуральнее будет выглядеть пароль, тем сложнее его будет взломать. Имхо.

Мне кажется вот соответствующая тема для обсуждения: https://bitcointalksearch.org/topic/m.51028912

В целом верно. Но ни яд, ни витамин не обязательно должен быть равен по длине чему бы то ни было. Их длину можно делать любой.
Можно записывать. Я уже писал выше, но недостаточно подробно, видимо. Писать можно и нужно, иначе, действительно, это можно потерять. Но этот файл нужно хорошенько спрятать на отдельной флешке среди большого количества мусорных файлов. Озаглавить каким-нибудь непримечательным названием. И в сам текст в файле набирать иносказательно, замаскировав его под какой-нибудь отчёт, например. Но, конечно, в самом тексте файла должны быть намёки, то есть подсказки, понятные вам, но непонятные непосвящённому.
Этот метод подходит для запутывания любой секретной инфы, в том числе и для сида. Вы в курсе, что сиды могут состоять из разного количества слов? Из 12, 15, ... 24. Да даже если бы это было не так, то это всё равно ничего не меняет. То есть вы можете взять сид из 12 слов и залить его ядом из 50 слов. Конечно, теоретически злоумышленник поймёт, что этот гигантский сид недействителен. Вот только какая его часть недействительна, а какая действительна? А может часть этого пароля (витамин) вообще скрыта? Как он об этом узнает? Скорее всего, он подумает, что это один большой артефакт. То же самое касается приватных ключей. Они имеют более-менее фиксированную длину, но это не значит, что запутывая его, вам обязательно нужно делать его стандартной длины. Уберите из него витамин и или залейте сколь угодно большим ядом. Хоть на 1000 символов. Главное, сами потом не забудьте где яд, а где не яд.

Простыми словами получается:
1. Добавление известной только тебе уникальной комбинации в пароль.
2. Убавление известной только тебе уникальной комбинации из пароля.
3. Хранение 2 частей пароля в 2 разных местах с одним и тем же количеством символов.

Все хорошо, но если уж мы говорим, что лист или файл могут быть украдены, то и «яд» этот тоже никуда записывать нельзя. Только в голове, на свой страх и риск забыть. Плюс добавление/удаление годится только для паролей, в которых может изначально использоваться любое количество символов(т.е. не для сида) и должно иметь 100 процентную уникальность, чтобы избежать возможной комбинации в изначально сгенерированном пароле.

Если бы это еще многочисленными + отзывами проверено было,я бы начала это применять.Пока только рекламу вижу..

Я думаю, что мы стоим на пороге долгого бычьего рынка внутри которого стоимость крипты даже у новичков будет расти. В связи с этим важно не потерять свои запасы. Даже если у новичка есть 0.1 битка - кто знает, сколько эта сумма будет стоить через пять лет? Многие новички психологически не готовы к тому, что в их руках будет постепенно концентрироваться стоимость. Возможно даже, что к своим выросшим в цене активам они будут относиться также небрежно, как и сейчас, когда их активы стоят не так уж и много. Просто поймите, что в Америке началась программа количественного смягчения, которая продлится ещё достаточно долго и которая будет заливать мировой рынок долларовой ликвидностью. В этих условиях стоимость национальных валют также будет снижаться и , скорее всего, опережающими темпами. К чему я? Даже у новичков сейчас есть шанс. Но будет обидно потерять свои средства из-за недостаточных мер безопасности, не правда ли? Я считаю, что меры безопасности в отношении своей приватной инфы должны быть настолько железобетонными, чтобы вы всегда были уверены в сохранности своих средств. В идеале, даже если потеряете флешку с паролями.

Вау, все конечно круто маестро, разве, что только  у новичка взорвется мозг от такого потока инфы. С другой стороны и топик не для них (вряд ли кому-то из них придется настолько парится с хранением своей информации) .

3 лишние цифры и буквы - это и есть "яд". То есть то, что нужно убрать из модифицированного пароля (приватника, сида, пин-кода и т.д.), чтобы он стал валидным. Витамин - это то, что нужно добавить к паролю, чтобы он стал валидным. Всё просто. Если у вас на приватнике 0.001 битка, то, конечно, не стоит особо заморачиваться. Можно вообще ничего не шифровать и не прятать. Начиная с суммы в 0.1 битка следует, по-моему, уже заставить себя заморочиться. Что вы подразумеваете под "простым хранилищем паролей"?

Почему бы просто не использовать простые хранилища паролей, пусть даже с минимальными шифрованиями типа добавления 3х лишних цыфр и буквы к каждому паролю ? Я пока про эти палки яды и витамины перечитал все перемешалось, как вам удается держать это все в голове ?

Поделитесь с более простыми схемами). Будет интересно сравнить. Может быть, я что-то для себя полезное почерпну. В конце концов, мы все заинтересованы в удобных схемах безопасности для защиты своих персональных приватных данных.

Согласен с вами. Я немного не верно выразился. Заморачиваться, я считаю, стоит в любом случае, сколько бы не великими были ваши ценности. Однако по соотношению затрат времени к результату, есть более простые схемы предоставляющие удовлетворительный уровень безопасности. В любом случае спасибо за проделанную работу.
Возможно я как нибудь опробую вашу методику. А пока подождем отзывов от комьюнити.