JAuth Gui (последний изображен на скриншоте).
- Вы это пишете второй раз, а на скриншоте изображена просто виртуальная клавиатура. JAuth Gui выглядит совсем не так. Но перебивать секретный код из пула в JAuth Gui, и затем там генерить код - какой смысл, всё это происходит в интернете. Что ли на другом компьютере (на работе) под этим JAuth-account name я смогу войти? Вряд ли, иначе и кто-то другой сможет войти.. Значит, снова придётся вводить секретный код.. А пул его мне покажет снова (чтобы я смог перенести в JAuth Gui)? Если покажет - то и хакеру тоже покажет... если не покажет - то тогда печалька - кроме логина/пароля на пул нужно ещё секретный код помнить... может, его можно будет на себе на мэйл заказать? Или всё, один раз показали, и досвидос? Вот странно - PayPal, где у людей крутятся большие деньги, сделал логин по почтовому адресу (как и бтс-е, кстати), и не принуждают к 2FA .. хочешь 2FA - включи у себя в почте. 
Topic: [up to 2.7GH/s] ltcmine.ru PPS 3.3% fee, GBT & Stratum/LTC, floating diff - page 8. (Read 34088 times)
April 26, 2013, 12:46:55 PM
April 26, 2013, 12:02:34 PM
Кстати, на тему брутфорса:
С нас на Мигеля переключились. Он тоже скоро введет OTP аутентификацию.
Quote
miguel (20:00:15 26/04/2013)
give-me-ltc.com was attacked
miguel (20:00:31 26/04/2013)
brute force login attempts
give-me-ltc.com was attacked
miguel (20:00:31 26/04/2013)
brute force login attempts
С нас на Мигеля переключились. Он тоже скоро введет OTP аутентификацию.
April 26, 2013, 12:00:12 PM
Это потому что вводить надо не секретный ключ (его вообще по-хорошему поменьше "светить" нужно), а временные коды авторизации, создаваемые генератором:
http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png
Список поддерживающих RFC 2289 приложений доступен здесь:
https://bitcointalksearch.org/topic/m.1936772
Лично я в зависимости от обстановки пользуюсь Google Authenticator и JAuth Gui (последний изображен на скриншоте).
P.S. Сегодня буду писать справку.
http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png
Список поддерживающих RFC 2289 приложений доступен здесь:
https://bitcointalksearch.org/topic/m.1936772
Лично я в зависимости от обстановки пользуюсь Google Authenticator и JAuth Gui (последний изображен на скриншоте).
P.S. Сегодня буду писать справку.
April 26, 2013, 11:48:22 AM
April 26, 2013, 11:20:01 AM
Это намного лучше почты, но все еще есть изъян - владение адресом в профиле никак не доказывает владение профилем. Адрес очень легко персонифицируется и может почти всегда будет принадлежать бирже или онлайн-кошельку, например. И один бог знает, что в таком случае сделает очередная биткоиника, получив возможность управлять профилями своих юзеров на ресурсах третьей стороны. А такое обязательно случится, т.к. многие игнорируют рекомендации и используют совпадающие пароли.
В противоположность этому, гугл не знает, какой из секретных ключей какому пользователю соответствует (и узнать не может, если только пользователь сам не раскроет свой ключ, но тогда будут уже другие вопросы). Без этой информации у него нет возможностей для подобного злоупотребления, да и доверия к нему больше.
В противоположность этому, гугл не знает, какой из секретных ключей какому пользователю соответствует (и узнать не может, если только пользователь сам не раскроет свой ключ, но тогда будут уже другие вопросы). Без этой информации у него нет возможностей для подобного злоупотребления, да и доверия к нему больше.
April 26, 2013, 11:13:30 AM
А нельзя ли эту двуфакторную авторизацию организовать встроенным в кошельки "подписать сообщение"?
Сервер выдаёт запрос-строку, пользователь подписывает его адресом указанным на вывод средств; отсылает полученную сигнатуру серверу, тот её проверяет и все довольны.
Сервер выдаёт запрос-строку, пользователь подписывает его адресом указанным на вывод средств; отсылает полученную сигнатуру серверу, тот её проверяет и все довольны.
April 26, 2013, 11:00:49 AM
Вот это
Quote
1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
- вы считатете проще? 2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля")
Баны по IP от брута были и есть. Но это ничем не поможет от ботнета.Или открыть письмо, и ткнуть ссылку - это всё же проще?
Вы сравниваете несравнимое. Ссылки на почту - это костыль, а не аутентификация. как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)?
От галлюцинаций хорошо помогает изучение матчасти. Кстати, из нее вам также может стать понятно, что использование стороннего валидатора не является обязательным для функционирования OTP систем.то теперь нужно устанавливать какие-то левые программки...
Если для вас реализации RFC 2289 - это левые программки, то продолжать разговор нет смысла. Вы не понимаете, что сделано, почему и зачем. Поэтому нет смысла спорить. Одно я скажу точно-если вы предложите какому-нибудь банку (к примеру), слать ссылки на почту, в ответ на такое предложение покрутят пальцем у виска. Но конечно, вы вольны идти на пул, на котором все замечательно подтверждается на почту.
April 26, 2013, 09:24:25 AM
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
- ничего себе упрощение. Устанавливать какие-то дополнительные программки, и им доверять свои деньги (генерацию кодов) - это упрощение? и вот это "будет сгенерирован ключ для двухфакторной аутентификации. Не забудьте сохранить его!" - теперь ещё ключ нужно хранить. Явное нарушение принципа Оккамы. А почта есть у всех. И при чём здесь почта гугла - разве на бтс-е запрос подтверждения отправляется только на гуглопочту? - нет, на любой ящик.Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Вот это
Quote
1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
- вы считатете проще? Или открыть письмо, и ткнуть ссылку - это всё же проще?2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.
Понятно, что это ваш пул, вы можете делать на нём что захотите, но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля"), и даже никаких PIN кодов для смены адреса кошелька (как на других пулах), то теперь нужно устанавливать какие-то левые программки... А если опять кому-то покажется, что у него увели деньги, и он начнёт кричать, что это у вас только видимость 2FA, и что это вы позволили увести деньги - как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)? По крайней мере почтовые ссылки - это привычная и осязаемая вещь.
April 26, 2013, 08:00:43 AM
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Интересно какие могут быть принципы, чтоб не пользоваться почтой гугл?
Чем она хуже других бесплатных почтовых сервисов? Я например больше не знаю почты, где применяется двойная авторизация, с подтверждением через смс код. Как по мне, так вполне надежная защита почты, на сегодняшний момент. Сервера гугла стоят в Америке, а по их законодательству, по любому запросу (ФБР, АНБ, ЦРУ и т.п.) америкосы обязаны предоставлять все данные аккаунта
. Поэтому гугл для Diablo, а для всего остального хватит и Яндекса 
April 26, 2013, 07:12:07 AM
Там все просто. Установил Google Authenticator на мобилку, нажал ссылку генерации кода, отсканировал QR код аутентификатором и на этом все.
Текстовый ключ нужен в случае, если у устройства нет камеры, или используется другая реализация программного токена. Например, под виндой. Кстати, пример JAuth, работающего под Windows:
http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png
Позже добавлю раздел в фак.
Текстовый ключ нужен в случае, если у устройства нет камеры, или используется другая реализация программного токена. Например, под виндой. Кстати, пример JAuth, работающего под Windows:
http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png
Позже добавлю раздел в фак.
April 26, 2013, 06:52:19 AM
Ну, в общем, согласен
ЗЫ А можно подробную инструкцию для англонепонимающих юзеров
ЗЫ А можно подробную инструкцию для англонепонимающих юзеров
April 26, 2013, 05:33:01 AM
Не знаю, но я насчитал на пуле уже по крайней мере 20 человек, которые не пользуются сервисами гугла по религиозным соображениям. При этом они уже настроили OTP авторизацию и вполне довольны ей.
P.S. Ваш вариант плох тем, что слишком много промежуточных звеньев. Залогиниться на пул, отправка письма, залогиниться и подтвердиться на почте, открыть письмо и т.д. - это ерунда настоящая, многократное усложнение простой вещи. Я уж не говорю о том, что письмо задержаться может и вообще сам по себе факт передачи ссылок по сети - это потенциальный риск.
Кроме того, сам по себе ящик гугла ничего не значит, т.к. может быть не защищенным. Мы же напрямую форсируем использование OTP для юзеров.
Резюмируя, OTP лучше, потому что:
P.S. Ваш вариант плох тем, что слишком много промежуточных звеньев. Залогиниться на пул, отправка письма, залогиниться и подтвердиться на почте, открыть письмо и т.д. - это ерунда настоящая, многократное усложнение простой вещи. Я уж не говорю о том, что письмо задержаться может и вообще сам по себе факт передачи ссылок по сети - это потенциальный риск.
Кроме того, сам по себе ящик гугла ничего не значит, т.к. может быть не защищенным. Мы же напрямую форсируем использование OTP для юзеров.
Резюмируя, OTP лучше, потому что:
- Отсутствует передача приватной информации по каналам связи;
- Нужно одно действие (ввод кода из токена) вместо кучи;
- Нет зависимости от почты, почтового ящика можно вообще не иметь;
- В случае потери или поломки телефона можно использовать любую другую программу.
April 26, 2013, 05:25:29 AM
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Интересно какие могут быть принципы, чтоб не пользоваться почтой гугл?
Чем она хуже других бесплатных почтовых сервисов? Я например больше не знаю почты, где применяется двойная авторизация, с подтверждением через смс код. Как по мне, так вполне надежная защита почты, на сегодняшний момент. April 26, 2013, 04:54:11 AM
У меня 20 CPU-майнеров работают на одном логине, процент режектов около 10-15, это нормально?
А если в "топ майнеров" смотреть, там, видимо, статистика за раунд, показывает 20%!
Как это можно пролечить? Проблема в одном логине, в проксе, в том, что каждый майнер работает в 24 потока (по числу ядер)?
А если в "топ майнеров" смотреть, там, видимо, статистика за раунд, показывает 20%!
Как это можно пролечить? Проблема в одном логине, в проксе, в том, что каждый майнер работает в 24 потока (по числу ядер)?
April 26, 2013, 04:11:59 AM
Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.
April 26, 2013, 03:55:32 AM
Зачем так все усложнять. Сделали бы как на бтц-е. При запросе вывода, отправляется сылка подтверждение на почту. Все ставят гугловскую почту, включают двойную авторизацию. И все, никаких проблем.
April 25, 2013, 12:28:52 PM
Одноразовый код запрашивается при переходе на страницы наград и настроек.
Обращаю внимание, что вводить в форму следует одноразовые пароли, а не секретный ключ. Секретный ключ никому и ни при каких условиях нельзя передавать, в том числе и пулу. Если у вас его просит что-то помимо генератора паролей, не позволяйте себя обмануть.
Для получения одноразовых паролей вам понадобится одна из этих программ:
https://bitcointalksearch.org/topic/m.1936772
и секретный ключ.
Завтра для авторизующихся через 2FA пользователей будет разрешена произвольная смена адреса для вывода.
Обращаю внимание, что вводить в форму следует одноразовые пароли, а не секретный ключ. Секретный ключ никому и ни при каких условиях нельзя передавать, в том числе и пулу. Если у вас его просит что-то помимо генератора паролей, не позволяйте себя обмануть.
Для получения одноразовых паролей вам понадобится одна из этих программ:
https://bitcointalksearch.org/topic/m.1936772
и секретный ключ.
Завтра для авторизующихся через 2FA пользователей будет разрешена произвольная смена адреса для вывода.
April 25, 2013, 07:53:52 AM
Balthazar
можно по русски в этой ветке писать новости?
не всегда переводчики понятно переводят
я вот не уверен, что понял точно по поводу: 2FA affects rewards and settings pages only.
переводчик перевёл как 2-х факторная авторизация влияет на награды и страницу настроек. Или на страницы авторизации и настроек. Или вообще не так всё. Поэтому лучше уточните пожалуйста.
можно по русски в этой ветке писать новости?
не всегда переводчики понятно переводят
я вот не уверен, что понял точно по поводу: 2FA affects rewards and settings pages only.
переводчик перевёл как 2-х факторная авторизация влияет на награды и страницу настроек. Или на страницы авторизации и настроек. Или вообще не так всё. Поэтому лучше уточните пожалуйста.
April 24, 2013, 02:50:58 PM
А по моему очень даже смешная шутка...
Потому как любое предложенное кол-во процентов всегда должно быть еще заманчивей и привлекательней!
Вот, что может быть вкуснее мороженого? Правильно, только два мороженых!
Надо смирится, что человек будет всегда руководствоваться данным принципом. На то они и человеки
Потому как любое предложенное кол-во процентов всегда должно быть еще заманчивей и привлекательней!
Вот, что может быть вкуснее мороженого? Правильно, только два мороженых!
Надо смирится, что человек будет всегда руководствоваться данным принципом. На то они и человеки
Jump to: