Pages:
Author

Topic: [up to 2.7GH/s] ltcmine.ru PPS 3.3% fee, GBT & Stratum/LTC, floating diff - page 8. (Read 34088 times)

hero member
Activity: 505
Merit: 512
El sueño de la razón produce monstruos
JAuth Gui (последний изображен на скриншоте).
- Вы это пишете второй раз, а на скриншоте изображена просто виртуальная клавиатура. JAuth Gui выглядит совсем не так. Но перебивать секретный код из пула в JAuth Gui, и затем там генерить код - какой смысл, всё это происходит в интернете. Что ли на другом компьютере (на работе) под этим  JAuth-account name я смогу войти? Вряд ли, иначе и кто-то другой сможет войти..  Значит, снова придётся вводить секретный код..  А пул его мне покажет снова (чтобы я смог перенести в  JAuth Gui)?  Если покажет - то и хакеру тоже покажет...  если не покажет - то тогда  печалька - кроме логина/пароля на пул нужно ещё секретный код помнить... может, его можно будет на себе на мэйл заказать? Или всё, один раз показали, и досвидос?    Вот странно - PayPal, где у людей крутятся большие деньги, сделал логин по почтовому адресу (как и бтс-е, кстати), и не принуждают к 2FA ..  хочешь 2FA - включи у себя в почте.
legendary
Activity: 3108
Merit: 1359
Кстати, на тему брутфорса:

Quote
miguel (20:00:15 26/04/2013)
give-me-ltc.com was attacked
 miguel (20:00:31 26/04/2013)
brute force login attempts

С нас на Мигеля переключились. Он тоже скоро введет OTP аутентификацию.
legendary
Activity: 3108
Merit: 1359
Это потому что вводить надо не секретный ключ (его вообще по-хорошему поменьше "светить" нужно), а временные коды авторизации, создаваемые генератором:

http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png

Список поддерживающих RFC 2289 приложений доступен здесь:

https://bitcointalksearch.org/topic/m.1936772

Лично я в зависимости от обстановки пользуюсь Google Authenticator и JAuth Gui (последний изображен на скриншоте).

P.S. Сегодня буду писать справку.
newbie
Activity: 27
Merit: 0
legendary
Activity: 3108
Merit: 1359
Это намного лучше почты, но все еще есть изъян - владение адресом в профиле никак не доказывает владение профилем. Адрес очень легко персонифицируется и может почти всегда будет принадлежать бирже или онлайн-кошельку, например. И один бог знает, что в таком случае сделает очередная биткоиника, получив возможность управлять профилями своих юзеров на ресурсах третьей стороны. А такое обязательно случится, т.к. многие игнорируют рекомендации и используют совпадающие пароли.

В противоположность этому, гугл не знает, какой из секретных ключей какому пользователю соответствует (и узнать не может, если только пользователь сам не раскроет свой ключ, но тогда будут уже другие вопросы). Без этой информации у него нет возможностей для подобного злоупотребления, да и доверия к нему больше.
member
Activity: 112
Merit: 10
А нельзя ли эту двуфакторную авторизацию организовать встроенным в кошельки "подписать сообщение"?
Сервер выдаёт запрос-строку, пользователь подписывает его адресом указанным на вывод средств; отсылает полученную сигнатуру серверу, тот её проверяет и все довольны.
legendary
Activity: 3108
Merit: 1359

Вот это
Quote
1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
- вы считатете проще?  
Сюрприз, но да.

но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля")
Баны по IP от брута были и есть. Но это ничем не поможет от ботнета.

Или открыть письмо, и ткнуть ссылку - это всё же проще?
Вы сравниваете несравнимое. Ссылки на почту - это костыль, а не аутентификация.

как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)?
От галлюцинаций хорошо помогает изучение матчасти. Кстати, из нее вам также может стать понятно, что использование стороннего валидатора не является обязательным для функционирования OTP систем.

то теперь нужно устанавливать какие-то левые программки...
Если для вас реализации RFC 2289 - это левые программки, то продолжать разговор нет смысла. Вы не понимаете, что сделано, почему и зачем. Поэтому нет смысла спорить.

Одно я скажу точно-если вы предложите какому-нибудь банку (к примеру), слать ссылки на почту, в ответ на такое предложение покрутят пальцем у виска. Но конечно, вы вольны идти на пул, на котором все замечательно подтверждается на почту.
hero member
Activity: 505
Merit: 512
El sueño de la razón produce monstruos
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
- ничего себе упрощение. Устанавливать какие-то дополнительные программки, и им доверять свои деньги (генерацию кодов) - это упрощение? и вот это "будет сгенерирован ключ для двухфакторной аутентификации. Не забудьте сохранить его!" - теперь ещё ключ нужно хранить. Явное нарушение принципа Оккамы. А почта есть у всех. И при чём здесь почта гугла - разве на бтс-е запрос подтверждения отправляется только на гуглопочту? - нет, на любой ящик.
Вот это
Quote
1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
- вы считатете проще?  Или открыть письмо, и ткнуть ссылку - это всё же проще?
Понятно, что это ваш пул, вы можете делать на нём что захотите, но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля"), и даже никаких PIN кодов для смены адреса кошелька (как на других пулах), то теперь нужно устанавливать какие-то левые программки...  А если опять кому-то покажется, что у него увели деньги, и он начнёт кричать, что это у вас только видимость 2FA, и что это вы позволили увести деньги - как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)?  По крайней мере почтовые ссылки - это привычная и осязаемая вещь.
full member
Activity: 238
Merit: 100
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.

Плюс есть много людей, которые почтой гугла не пользуются принципиально.

Интересно какие могут быть принципы, чтоб не пользоваться почтой гугл? Smiley Чем она хуже других бесплатных почтовых сервисов? Я например больше не знаю почты, где применяется двойная авторизация, с подтверждением через смс код. Как по мне, так вполне надежная защита почты, на сегодняшний момент.

Сервера гугла стоят в Америке, а по их законодательству, по любому запросу (ФБР, АНБ, ЦРУ и т.п.) америкосы обязаны предоставлять все данные аккаунта  Grin. Поэтому гугл для Diablo, а для всего остального хватит и Яндекса  Roll Eyes
legendary
Activity: 3108
Merit: 1359
Там все просто. Установил Google Authenticator на мобилку, нажал ссылку генерации кода, отсканировал QR код аутентификатором и на этом все.

Текстовый ключ нужен в случае, если у устройства нет камеры, или используется другая реализация программного токена. Например, под виндой. Кстати, пример JAuth, работающего под Windows:

http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png

Позже добавлю раздел в фак.
hero member
Activity: 888
Merit: 500
Ну, в общем, согласен Smiley

ЗЫ А можно подробную инструкцию для англонепонимающих юзеров Sad
legendary
Activity: 3108
Merit: 1359
Не знаю, но я насчитал на пуле уже по крайней мере 20 человек, которые не пользуются сервисами гугла по религиозным соображениям. При этом они уже настроили OTP авторизацию и вполне довольны ей.

P.S. Ваш вариант плох тем, что слишком много промежуточных звеньев. Залогиниться на пул, отправка письма, залогиниться и подтвердиться на почте, открыть письмо и т.д. - это ерунда настоящая, многократное усложнение простой вещи. Я уж не говорю о том, что письмо задержаться может и вообще сам по себе факт передачи ссылок по сети - это потенциальный риск.

Кроме того, сам по себе ящик гугла ничего не значит, т.к. может быть не защищенным. Мы же напрямую форсируем использование OTP для юзеров.

Резюмируя, OTP лучше, потому что:

  • Отсутствует передача приватной информации по каналам связи;
  • Нужно одно действие (ввод кода из токена) вместо кучи;
  • Нет зависимости от почты, почтового ящика можно вообще не иметь;
  • В случае потери или поломки телефона можно использовать любую другую программу.
hero member
Activity: 888
Merit: 500
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.

Плюс есть много людей, которые почтой гугла не пользуются принципиально.

Интересно какие могут быть принципы, чтоб не пользоваться почтой гугл? Smiley Чем она хуже других бесплатных почтовых сервисов? Я например больше не знаю почты, где применяется двойная авторизация, с подтверждением через смс код. Как по мне, так вполне надежная защита почты, на сегодняшний момент.
sr. member
Activity: 290
Merit: 251
У меня 20 CPU-майнеров работают на одном логине, процент режектов около 10-15, это нормально?
А если в "топ майнеров" смотреть, там, видимо, статистика за раунд, показывает 20%!


Как это можно пролечить? Проблема в одном логине, в проксе, в том, что каждый майнер работает в 24 потока (по числу ядер)?
legendary
Activity: 3108
Merit: 1359
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.

Плюс есть много людей, которые почтой гугла не пользуются принципиально.
hero member
Activity: 888
Merit: 500
Зачем так все усложнять. Сделали бы как на бтц-е. При запросе вывода, отправляется сылка подтверждение на почту. Все ставят гугловскую почту, включают двойную авторизацию. И все, никаких проблем.
legendary
Activity: 3108
Merit: 1359
Одноразовый код запрашивается при переходе на страницы наград и настроек.

Обращаю внимание, что вводить в форму следует одноразовые пароли, а не секретный ключ. Секретный ключ никому и ни при каких условиях нельзя передавать, в том числе и пулу. Если у вас его просит что-то помимо генератора паролей, не позволяйте себя обмануть.

Для получения одноразовых паролей вам понадобится одна из этих программ:

 https://bitcointalksearch.org/topic/m.1936772

и секретный ключ.

Завтра для авторизующихся через 2FA пользователей будет разрешена произвольная смена адреса для вывода.
hero member
Activity: 742
Merit: 500
Balthazar
можно по русски в этой ветке писать новости?
не всегда переводчики понятно переводят
я вот не уверен, что понял точно по поводу: 2FA affects rewards and settings pages only.
переводчик перевёл как 2-х факторная авторизация влияет на награды и страницу настроек. Или на страницы авторизации и настроек. Или вообще не так всё. Поэтому лучше уточните пожалуйста.
legendary
Activity: 1876
Merit: 1000
А по моему очень даже смешная шутка...

Потому как любое предложенное кол-во процентов всегда должно быть еще заманчивей и привлекательней!

Вот, что может быть вкуснее мороженого? Правильно, только два мороженых!

Надо смирится, что человек будет всегда руководствоваться данным принципом. На то они и человеки Smiley
Pages:
Jump to: