Смена правил политики безопасности BTC-E 30.09 2016

[MrSoch]

Коллеги, всех приветствую! Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Напомню, с тридцатого сентября ДВА нововведения в парольной системе:

 

1. Регулярно, каждые 180 дней (6 мес) принудительная смена пароля пользователя.

2. Отключена возможность создавать пароли самостоятельно. Теперь пароль генерируется по алгоритму и средствами биржи и показывается пользователю один раз, для локального сохранения.

 

Если первое изменение, однозначно назрело, необходимо, практически всеми приветствуется (а некоторые, например я, даже считают что смену надо делать чаще - раз в три месяца) и не вызывает вопросов.

 

То второе, вызвало массовое недовольство. Пароль генерируется по алгоритму и средствами биржи. Никто не знает как и чем, это первое (никто не гарантирует что почтовый бот не берет пассы из списка который хранится у стафа). Не хочу ни в коей мере задеть репутацию уважаемой биржи, но случись что, сразу посыпятся обвинения. Плюс возникает необходимость локально сохранять и хранить этот пароль, т. к. запомнить его нереально. Это тоже уязвимость.

 

Цель данного поста, собрать голоса желающих, и попросить администрацию уважаемой биржи организовать вход на биржу по следующему алгоритму:

 

Добавить возможность входа по ТРЁМ паролям, первый (как сейчас) генерируется и предоставляется биржей, второй - создаётся пользователем самостоятельно (возможно это будет просто ПИН-код?), третий - 2FA (как сейчас).

 

По второму паролю возможны варианты. Либо усложнять требования к нему (не менее 16 символов, капс, нечитайка и проч), либо это простой 4-6-8 значный цифровой ПИН код, с тремя попытками ввода и блокировкой на 48 часов, с полной блокировкой после трёх 48-ми часовых блокировок. Желательно чтобы хранение и верифай этих пассов или пинов было организовано у третьей стороны. Наверное можно найти такие сервисы.

 

Цель данной темы не создание конкурентного флейма и не сбор недоброжелателей, а общая, совместно с администрацией биржи, выработка обоюдоудобного алгоритма безопасного входа на всеми нами любимую БТЦ-Е. ))) Надеюсь администрация биржи поучаствует в обсуждении и услышит юзверей.) Да и чатик БТЦ подразгрузится на эту темку.)

 

Понятно что уважаемую администрацию биржи поднапряжёт необходимость прикручивать ещё одну базу (пин-ов) или сервис в бэкофисе. Но лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей от моего акка в одних руках, кроме моих. )))

Изменено 30 сен 2016, 13:44 пользователем MrSoch

[vr_33]

Нда... такого подхода, как у упомянутой биржи, я еще нигде не видел... Такое ощущение, что у них разработчиков нормальных уже нет.
Было бы правильнее просто задать правила для создания пароля пользователем (усложнить), как везде. Но ведь это нужно кодить, думать, проверять, сложно это... проще так. А если предположить, что это для отвода глаз, и в планах биржи просто "слиться" в ближайщее время, то и не так уж и глупо выглядит это. На последок привлечь немного денег, поверивших в улучшения на бирже...
 

[ForumName]

Новая политика использования паролей не предусматривает возможность пользователям использовать свои пароли.

они что совсем ? я никогда не пользовалась автопаролями, всегда и везде меняла на свои. себе хуже делают. у кого то что-то украдут, они первые будут виноваты, потому что не дали сделать свой пароль.

бездари!

сделайте ограничение на минимальную длину пароля в 20 символов и всё и чтобы обязательно специальные символы были, если меньше 20 и нет знаков, то не принимать пароль, как не подходящий.

ужас, что у вас за админы!

Изменено 30 сен 2016, 11:00 пользователем ForumName

[vr_33]

Что возмущает, так это то, что они всего за сутки дали новость. При этом, тот, кто торгует по API никак не узнает о нововведениях, пока не попробует зайти! Хотя бы по почте сообщили о таких важных изменениях!

Еще один повод усомниться в том, что это все для реальной безопасности, а не для отвода глаз.

[MrSoch]

Коллеги, со всем моим уважением, просьба, давайте без наездов и охаивания. Давайте именно по делу. По ВСЕМ удобному и ВСЕХ устраивающему алгоритму! Заранее благодарен. Без эмоций и негативных прогнозов. Пожалуйста! (волшебное слово). )))

 

Цель темы не обсуждение деятельности BTC-E (для этого есть спец ветка), а поиск любимого горбачёвского слова - КОНСЕНСУСА)

 

Администрация биржи нас услышала. Они будут "подумать". ) Всё норм.)

Изменено 30 сен 2016, 12:51 пользователем MrSoch

[hardsign]

Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Матом можно?

ИМХО очень неудобное и не повышающее безопасность нововведение в отношении паролей.

Однозначно необходимы требования к сложности устанавливаемых САМОСТОЯТЕЛЬНО паролей. Но ни в коем случае не устанавливать пароль насильно!

 

Ну поставили мне пароль насильно, такой я запомнить однозначно не могу - я его записал. Пароли записывать = это последнее дело!

У меня включена 2ФА авторизация, которой я доверяю больше, чем сгенерированному биржей паролю. Какой в нем смысл?

Крутую штуку они сделали в отношении БТСе кодов = да, это давно пора было. Но про пароли - пока на эмоциях больше хочется говорить матом.

[vr_33]

Думать тут нечего. Нормальные алгоритмы и способы решения безопасности паролей уже придуманы давно.

[sovkaf]

установить более жесткие требования к паролю, но создан он должен быть пользователем ибо учить предлагаемую ересь нафиг не интересно, проще на другую биржу уйти

[MrSoch]

Матом можно?

 

No mat allowed, sorry)

Изменено 30 сен 2016, 11:31 пользователем MrSoch

[Tomcat_MkII]

 

 

лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей в одних руках, кроме моих.

 

Меня, как [бывшего] пользователя, тоже крайне напрягает возможность концентрации паролей в ваших руках. B) Впрочем, как и в руках админов биржи. Если серьезно, очень странный подход. Он гораздо сложнее и имеет уязвимости практически на каждом шагу:

1. Первичный сброс

2. Повторные сбросы

3. Передача пароля

4. Генератор биржи

5. База биржи

6. Компьютер пользователя

 

По первому впечатлению, изобретен пятиколесный четырехмерный велосипед с трансцендентным гироскопом и педалями для ушей. Кататься на нем без шапочки из фольги положительно опасно для жизни...

 

Почему бы не сделать наибанальнейшую аутентификацию по СМС, как в любом интернет-банке? Дешево, надежно и практично. Ах, да, анонимность же... ну особо заботящиеся симку себе достанут.

 

Насчет изменений в кодах  - все правильно. Давно бы так.

[MrSoch]

Аутентифай по смс денек стоит... ( На мобилу уже есть 2ФА. Зачем ещё смс. Хотя когда писал, сразу думал про ПИН-код, может одноразовый и  на мобилу? Но это получается та же 2ФА. Именно, один ключ  должен быть известный только юзеру. Только ему ОДНОМУ. Но как сделать что бы он не торчал нигде в других местах? Восьмизначник цифровой может все же? 

[Tomcat_MkII]

 

 

На мобилу уже есть 2ФА. Зачем ещё смс.

 

2ФА не на мобилу, он тоже идет через интернеты, а не сотовую сеть. Его можно и на писюк поставить.

 

СМС же я имел в виду как дополнение к обычному (усложненному) паролю. Генерация на стороне биржи без возможности изменения - это такой *censored*, что даже слов нет. По странной случайности, недавно забрал с BTC-e все под ноль. Хотя и оставались там копейки.

[MrSoch]

В принципе да, одноразовый пин присылаемый на мобилу норм тогда.) Особенно если через третью сторону.

[xcyr]

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )

[core]

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )

 

Берешь любую звонилку тех лет с j2me за 200 рублей и ставишь туда также 2фа. Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.

[xcyr]

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

 

 

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..

[core]

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

 

 

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..

 

то что гугл фигурирует в названии, вовсе не означает что он имеет хоть малейшее отношение к функционированию этой технологии

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.

[moneymaker]

Я бы за смс сервис подтверждений без проблем доплачивал, все же потенциальные потери несоизмеримы.

[MrSoch]

Не. Не. ))) Давайте сразу похороним идею доп. безопасности за доп. плату.)

[xcyr]

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам

 

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.

 

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?

[core]

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?

 

В таком месте, что отсталые технологии завязанные на человеческом факторе (смс) намного хуже чем простой математический алгоритм (2фа), который работает в любых условиях вне зависимости ни от чего.

[moneymaker]

Пусть будет и привязка к IP, и 2FA, и смс, и пароль по критериям.

Я бы даже рассмотрел вариант какого-то хардового девайса.

[MrSoch]

Токен это называицца)

[xcyr]

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

[korki]

по сути 2фа на мобиле - и есть софтварный токен, нафиг за хардварный вариант платить :(

только что по совету core запустил эту фигню на своем старом сонерике w810i, причем прогу выбрал не от гугла, а ваще левую. все шикарно работает! :)

так что будем считать 2фа стороной независимой (если только это не смарт и вы трояна не словили!). со стороны биржи уже нам ввели обязаловку, их право. но теперь надеюсь они сделают и сторону пользовательскую, в виде задаваемого пароля или пин-кода, посмотрим...