Смена правил политики безопасности BTC-E 30.09 2016

[core]

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

 

Я уже даже не знаю как объяснить. Почитай хоть о чем речь идет, может тогда понятно будет.

 

Вкратце смс - это зависимость от каналов связи, зависимость от счета сотового оператора (который могут внезапно блокнуть), возможность перехвата... еще куча недастотков, вплоть до того что этих смс нету по 10 минут, а то и больше.

 

А 2фа генерится на одной стороне, что тут сложного? Т.е. теоретически имея ключ от 2фа + часы + бумагу с ручкой можно вычислить код. Зависимости от 3-й стороны нет вообще.

[korki]

@xcyr, и смска - это 2фа, и алгоритм гугла - это 2фа, но это разные вещи! перехват смс в нужное время - не проблема для знающих людей. а вот подбор кода по алгоритму - зависит только от сохранности софтверного токена и/или приватного ключа.

Вообще каналы передачи информации для авторизации, будь то сотовые сети или интернет, необходимо исключать, это однозначно небезопасно :(

[xcyr]

Уже вникаю как работает ) ну в принципе, да, безопаснее. Но пользоваться смс проще.. а

 

перехват смс в нужное время - не проблема для знающих людей

ну перехватят, и что с ней делать? нужно еще логин-пароль к бирже знать

 

Здесь-то основной сыр-бор из-за запрета на свои пароли - непонятно ради чего это? неужели есть идиоты которые на бирже будут использовать "123456" или пароль от биржи использовать вконтакте??

[MrSoch]

Коллеги, ещё раз, заострю ваше внимание - имхо что один из ключей должен быть известен только юзеру, потому что он его сам лично создал.

Поэтому я и предложил дополнительный личный ПИН.) Самое простое и дешёвое решение.

Изменено 30 сен 2016, 13:50 пользователем MrSoch

[xcyr]

@MrSoch, а зачем тогда нужен пароль выданный биржей? что нового он приносит в безопасность? сложность? я сам не могу позаботиться о сложности своего пароля? 

Изменено 30 сен 2016, 13:53 пользователем xcyr

[korki]

 

 

неужели есть идиоты

как нам сообщила администрация - ТЫСЯЧИ ИХ! :( поэтому и были взломы, поэтому и пошли на такие радикальные меры :(

[xcyr]

 

 

как нам сообщила администрация - ТЫСЯЧИ ИХ

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...

[r2d2]

Пусть будет и привязка к IP

К IP нежелательно.

[core]

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...

 

Самая главная причина думаю это массовость взломов последнее время. По торгам видно, чуть ли не каждый день до последнего времени чей-нибудь акк, да вскрывали.

Конечно за этим есть грешок биржи, в конце 2014 они посеяли базу со всеми логинами, балансами, хэшами паролей. Недавно эту базу выкинули в публичный доступ, так что любой желающий смог взять и начать вычисление паролей или просто брутить по словарю. Так что смена паролей всем это неизбежный и логичный шаг. И то что они решились на этот шаг, хоть и так поздно, идет только в плюс в плане доверия к бирже.

 

То что пароли должны меняться с периодом времени я думаю обсуждать нечего, должно быть понятно что это необходимая мера.

Вопрос тут только в обязательной автоматической генерации паролей. Оптимальным вариантом мне кажется будет выдавать раз в полгода автоматически сгенерированный пароль, который при необходимости пользователь сможет сменить на свой с необходимыми условиями стойкости.

[MrSoch]

Представляю что там сейчас ещё в китайском чате начнётся, как китайцы проснутся)

 

Зы. Саппорт прислал про ночной майнтенанс. Надеюсь это правильная переделка системы входа. На всяк случ вывел крупные активы)

Изменено 30 сен 2016, 14:38 пользователем MrSoch

[Asatur]

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

Смс-ки ведь не биржа отправляет, а сторонний сервис, вот это и есть третье лицо и сторонняя сторона, причём обычно это сайтик где-нибудь в Мухосранске со всеми вытекающими последствиями, поэтому с гуглом его тяжеловато сравнивать. :)

 

К слову, смс-ки от этих сервисов ещё и не дёшево обычно стоят (1-3 рубля в среднем за штуку), поэтому многие сайты 2фа через смс и не прикручивают. 

Изменено 30 сен 2016, 14:38 пользователем Asatur

[MrSoch]

Про смену пассов автоматически-принудительную. В доменах локалок Майкрософт норм реализовано. Что ещё выдумывать? Конечно - принудительная смена, с проверкой несовпадения предыдущего пасса. Можно также генерить автоматом. но обязательно возможность заменить на собственный.

 

Ещё раз:

1. Сравнивать хеши и запрещать использовать ранее использовавшиеся пассы.

2. Обязательно предоставить возможность смены на собственный пароль

3. Предоставить возможность смены пароля по собственному интервалу (раз в мес, хоть раз в день))), но не реже 6 мес.

[korki]

запрещать использовать ранее использовавшиеся пассы

я бы предложил не запрещать, а разрешить после 5-10 раз... так гуманнее :)

Изменено 30 сен 2016, 14:56 пользователем korki

[xcyr]

 

 

разрешить после 5-10 раз... так гуманнее

на 11-й раз сервер согласился, что у него пароль «Мао Цзедун» (С)

[Rаmon_Ra]

+1 к MrSoch:

...

2. Обязательно предоставить возможность смены на собственный пароль

[xcyr]

 

 

+1 к MrSoch

4. Требовать сложный пароль - длина, буквы, цифры, спец символы

[buny]

и обязательно 500 баксов за вход на биржу... дабы стиль не менять. :)

[max88]

Коллеги, братья трейдеры и сестрички тож.

Неужели мы не видим очевидного?

Произнесено ключевое слово - "безопасность" и (это характерно), правила изменились на ходу.

У кого там еще есть вещи быстро(бегом) вещи выносим, сейчас.

Напоминаю, ровно то же самое было в Крипсти.

Ровно та же самая загагулина. 

И?

И кто не успел - тот опоздал.

[En1ken]

ППЦ, 2фа на теле у которого нет ни инета ни симкарты и никаких проблем, а если чел разпиздяй который ставит супер пупер мего ботов для заработка то тут ему ничто не поможет, ну а смс и симку ооочень легко взломать(некоторые гандоны из опсосов сливают дубль симок)

[alevlaslo]

А по какому алгоритму пароль задается? А если программку напишут хакеры такую же? Однозначно плохое нововведение, биржа была привлекательна для хранения средств тем, что пароль можно было держать в голове, чего невозможно на кошельках, а так для хранения в ней никакого смысла уже, только обмен. А быть может потому и нововведение как раз, биржа не хочет заниматься хранением...

Изменено 1 окт 2016, 06:12 пользователем alevlaslo

[Igor67]

Коллеги, братья трейдеры и сестрички тож.

Неужели мы не видим очевидного?

Произнесено ключевое слово - "безопасность" и (это характерно), правила изменились на ходу.

У кого там еще есть вещи быстро(бегом) вещи выносим, сейчас.

Напоминаю, ровно то же самое было в Крипсти.

Ровно та же самая загагулина. 

И?

И кто не успел - тот опоздал.

Да, согласен. Очень подозрительно и очень похоже на Крипсти.

[TouchCoin]

принуждать всех действовать по какой-то схеме из-за того, что часть юзеров идиоты, это какая-то чушь получается!

даже требовать серьезного усложнения паролей, как тут многие пишут в комментариях, это тоже неправильно, пусть все юзают пароли какие хотят, безопасность - это личное дело каждого

[AlexShmalex]

Пароли один хрен никто не брутит же в наше время? Тем более капчу ввели. Получается либо троян у юзера, либо слив БД биржи (или иного ресурса, если юзать 1 пасс) Как понимаю, сложный пароль нужен чтобы, когда биржа профукали БД ,  усложнить злоумышленнику процесс получения пароля из хэша.
 

В чём смысл генерации паролей не понятно, я почему то уверен, что  99% случаев увода бабла - это работа троянов + расп...ство жертвы.

[sashav11]

Пароли один хрен никто не брутит же в наше время? Тем более капчу ввели. Получается либо троян у юзера, либо слив БД биржи (или иного ресурса, если юзать 1 пасс) Как понимаю, сложный пароль нужен чтобы, когда биржа профукали БД ,  усложнить злоумышленнику процесс получения пароля из хэша.

 

В чём смысл генерации паролей не понятно, я почему то уверен, что  99% случаев увода бабла - это работа троянов + расп...ство жертвы.

Ещё один момент неприятный - нельзя сделать вывод средств 2 дня . Если взять всех юзеров то огромная сумма заморожена

[Lion74]

Ещё один момент неприятный - нельзя сделать вывод средств 2 дня

В смысле? Только что зашел, поменял пароль закинул крипту-обменял-вывел.. Все нормально..

 

"- При первичной смене пароля на аккаунт не будет установлен блокировка 48 часа, но если вы пройдете по процедуре смены пароля повторно, то на аккаунт будет установлена стандартная блокировка согласно нашим правилам."