Перейти к содержимому
MrSoch

Смена правил политики безопасности BTC-E 30.09 2016

Рекомендуемые сообщения

(изменено)

Коллеги, всех приветствую! Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Напомню, с тридцатого сентября ДВА нововведения в парольной системе:

 

1. Регулярно, каждые 180 дней (6 мес) принудительная смена пароля пользователя.

2. Отключена возможность создавать пароли самостоятельно. Теперь пароль генерируется по алгоритму и средствами биржи и показывается пользователю один раз, для локального сохранения.

 

Если первое изменение, однозначно назрело, необходимо, практически всеми приветствуется (а некоторые, например я, даже считают что смену надо делать чаще - раз в три месяца) и не вызывает вопросов.

 

То второе, вызвало массовое недовольство. Пароль генерируется по алгоритму и средствами биржи. Никто не знает как и чем, это первое (никто не гарантирует что почтовый бот не берет пассы из списка который хранится у стафа). Не хочу ни в коей мере задеть репутацию уважаемой биржи, но случись что, сразу посыпятся обвинения. Плюс возникает необходимость локально сохранять и хранить этот пароль, т. к. запомнить его нереально. Это тоже уязвимость.

 

Цель данного поста, собрать голоса желающих, и попросить администрацию уважаемой биржи организовать вход на биржу по следующему алгоритму:

 

Добавить возможность входа по ТРЁМ паролям, первый (как сейчас) генерируется и предоставляется биржей, второй - создаётся пользователем самостоятельно (возможно это будет просто ПИН-код?), третий - 2FA (как сейчас).

 

По второму паролю возможны варианты. Либо усложнять требования к нему (не менее 16 символов, капс, нечитайка и проч), либо это простой 4-6-8 значный цифровой ПИН код, с тремя попытками ввода и блокировкой на 48 часов, с полной блокировкой после трёх 48-ми часовых блокировок. Желательно чтобы хранение и верифай этих пассов или пинов было организовано у третьей стороны. Наверное можно найти такие сервисы.

 

Цель данной темы не создание конкурентного флейма и не сбор недоброжелателей, а общая, совместно с администрацией биржи, выработка обоюдоудобного алгоритма безопасного входа на всеми нами любимую БТЦ-Е. ))) Надеюсь администрация биржи поучаствует в обсуждении и услышит юзверей.) Да и чатик БТЦ подразгрузится на эту темку.)

 

Понятно что уважаемую администрацию биржи поднапряжёт необходимость прикручивать ещё одну базу (пин-ов) или сервис в бэкофисе. Но лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей от моего акка в одних руках, кроме моих. )))

Изменено пользователем MrSoch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нда... такого подхода, как у упомянутой биржи, я еще нигде не видел... Такое ощущение, что у них разработчиков нормальных уже нет.
Было бы правильнее просто задать правила для создания пароля пользователем (усложнить), как везде. Но ведь это нужно кодить, думать, проверять, сложно это... проще так. А если предположить, что это для отвода глаз, и в планах биржи просто "слиться" в ближайщее время, то и не так уж и глупо выглядит это. На последок привлечь немного денег, поверивших в улучшения на бирже...
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Новая политика использования паролей не предусматривает возможность пользователям использовать свои пароли.

они что совсем ? я никогда не пользовалась автопаролями, всегда и везде меняла на свои. себе хуже делают. у кого то что-то украдут, они первые будут виноваты, потому что не дали сделать свой пароль.

бездари!

сделайте ограничение на минимальную длину пароля в 20 символов и всё и чтобы обязательно специальные символы были, если меньше 20 и нет знаков, то не принимать пароль, как не подходящий.

ужас, что у вас за админы!

Изменено пользователем ForumName

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что возмущает, так это то, что они всего за сутки дали новость. При этом, тот, кто торгует по API никак не узнает о нововведениях, пока не попробует зайти! Хотя бы по почте сообщили о таких важных изменениях!

Еще один повод усомниться в том, что это все для реальной безопасности, а не для отвода глаз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Коллеги, со всем моим уважением, просьба, давайте без наездов и охаивания. Давайте именно по делу. По ВСЕМ удобному и ВСЕХ устраивающему алгоритму! Заранее благодарен. Без эмоций и негативных прогнозов. Пожалуйста! (волшебное слово). )))

 

Цель темы не обсуждение деятельности BTC-E (для этого есть спец ветка), а поиск любимого горбачёвского слова - КОНСЕНСУСА)

 

Администрация биржи нас услышала. Они будут "подумать". ) Всё норм.)

Изменено пользователем MrSoch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Матом можно?

ИМХО очень неудобное и не повышающее безопасность нововведение в отношении паролей.

Однозначно необходимы требования к сложности устанавливаемых САМОСТОЯТЕЛЬНО паролей. Но ни в коем случае не устанавливать пароль насильно!

 

Ну поставили мне пароль насильно, такой я запомнить однозначно не могу - я его записал. Пароли записывать = это последнее дело!

У меня включена 2ФА авторизация, которой я доверяю больше, чем сгенерированному биржей паролю. Какой в нем смысл?

Крутую штуку они сделали в отношении БТСе кодов = да, это давно пора было. Но про пароли - пока на эмоциях больше хочется говорить матом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думать тут нечего. Нормальные алгоритмы и способы решения безопасности паролей уже придуманы давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

установить более жесткие требования к паролю, но создан он должен быть пользователем ибо учить предлагаемую ересь нафиг не интересно, проще на другую биржу уйти

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Матом можно?

 

No mat allowed, sorry)

Изменено пользователем MrSoch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей в одних руках, кроме моих.

 

Меня, как [бывшего] пользователя, тоже крайне напрягает возможность концентрации паролей в ваших руках. B) Впрочем, как и в руках админов биржи. Если серьезно, очень странный подход. Он гораздо сложнее и имеет уязвимости практически на каждом шагу:

1. Первичный сброс

2. Повторные сбросы

3. Передача пароля

4. Генератор биржи

5. База биржи

6. Компьютер пользователя

 

По первому впечатлению, изобретен пятиколесный четырехмерный велосипед с трансцендентным гироскопом и педалями для ушей. Кататься на нем без шапочки из фольги положительно опасно для жизни...

 

Почему бы не сделать наибанальнейшую аутентификацию по СМС, как в любом интернет-банке? Дешево, надежно и практично. Ах, да, анонимность же... ну особо заботящиеся симку себе достанут.

 

Насчет изменений в кодах  - все правильно. Давно бы так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аутентифай по смс денек стоит... ( На мобилу уже есть 2ФА. Зачем ещё смс. Хотя когда писал, сразу думал про ПИН-код, может одноразовый и  на мобилу? Но это получается та же 2ФА. Именно, один ключ  должен быть известный только юзеру. Только ему ОДНОМУ. Но как сделать что бы он не торчал нигде в других местах? Восьмизначник цифровой может все же? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

На мобилу уже есть 2ФА. Зачем ещё смс.

 

2ФА не на мобилу, он тоже идет через интернеты, а не сотовую сеть. Его можно и на писюк поставить.

 

СМС же я имел в виду как дополнение к обычному (усложненному) паролю. Генерация на стороне биржи без возможности изменения - это такой *censored*, что даже слов нет. По странной случайности, недавно забрал с BTC-e все под ноль. Хотя и оставались там копейки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В принципе да, одноразовый пин присылаемый на мобилу норм тогда.) Особенно если через третью сторону.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )

 

Берешь любую звонилку тех лет с j2me за 200 рублей и ставишь туда также 2фа. Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

 

 

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

 

 

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..

 

то что гугл фигурирует в названии, вовсе не означает что он имеет хоть малейшее отношение к функционированию этой технологии

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы за смс сервис подтверждений без проблем доплачивал, все же потенциальные потери несоизмеримы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не. Не. ))) Давайте сразу похороним идею доп. безопасности за доп. плату.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам

 

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.

 

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?

 

В таком месте, что отсталые технологии завязанные на человеческом факторе (смс) намного хуже чем простой математический алгоритм (2фа), который работает в любых условиях вне зависимости ни от чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть будет и привязка к IP, и 2FA, и смс, и пароль по критериям.

Я бы даже рассмотрел вариант какого-то хардового девайса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Токен это называицца)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по сути 2фа на мобиле - и есть софтварный токен, нафиг за хардварный вариант платить :(

только что по совету core запустил эту фигню на своем старом сонерике w810i, причем прогу выбрал не от гугла, а ваще левую. все шикарно работает! :)

так что будем считать 2фа стороной независимой (если только это не смарт и вы трояна не словили!). со стороны биржи уже нам ввели обязаловку, их право. но теперь надеюсь они сделают и сторону пользовательскую, в виде задаваемого пароля или пин-кода, посмотрим... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×