Перейти к содержимому
MrSoch

Смена правил политики безопасности BTC-E 30.09 2016

Рекомендуемые сообщения

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

 

Я уже даже не знаю как объяснить. Почитай хоть о чем речь идет, может тогда понятно будет.

 

Вкратце смс - это зависимость от каналов связи, зависимость от счета сотового оператора (который могут внезапно блокнуть), возможность перехвата... еще куча недастотков, вплоть до того что этих смс нету по 10 минут, а то и больше.

 

А 2фа генерится на одной стороне, что тут сложного? Т.е. теоретически имея ключ от 2фа + часы + бумагу с ручкой можно вычислить код. Зависимости от 3-й стороны нет вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xcyr, и смска - это 2фа, и алгоритм гугла - это 2фа, но это разные вещи! перехват смс в нужное время - не проблема для знающих людей. а вот подбор кода по алгоритму - зависит только от сохранности софтверного токена и/или приватного ключа.

Вообще каналы передачи информации для авторизации, будь то сотовые сети или интернет, необходимо исключать, это однозначно небезопасно :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже вникаю как работает ) ну в принципе, да, безопаснее. Но пользоваться смс проще.. а

 

перехват смс в нужное время - не проблема для знающих людей
ну перехватят, и что с ней делать? нужно еще логин-пароль к бирже знать

 

Здесь-то основной сыр-бор из-за запрета на свои пароли - непонятно ради чего это? неужели есть идиоты которые на бирже будут использовать "123456" или пароль от биржи использовать вконтакте??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Коллеги, ещё раз, заострю ваше внимание - имхо что один из ключей должен быть известен только юзеру, потому что он его сам лично создал.

Поэтому я и предложил дополнительный личный ПИН.) Самое простое и дешёвое решение.

Изменено пользователем MrSoch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

@MrSoch, а зачем тогда нужен пароль выданный биржей? что нового он приносит в безопасность? сложность? я сам не могу позаботиться о сложности своего пароля? 

Изменено пользователем xcyr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

неужели есть идиоты

как нам сообщила администрация - ТЫСЯЧИ ИХ! :( поэтому и были взломы, поэтому и пошли на такие радикальные меры :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

как нам сообщила администрация - ТЫСЯЧИ ИХ

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть будет и привязка к IP

К IP нежелательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...

 

Самая главная причина думаю это массовость взломов последнее время. По торгам видно, чуть ли не каждый день до последнего времени чей-нибудь акк, да вскрывали.

Конечно за этим есть грешок биржи, в конце 2014 они посеяли базу со всеми логинами, балансами, хэшами паролей. Недавно эту базу выкинули в публичный доступ, так что любой желающий смог взять и начать вычисление паролей или просто брутить по словарю. Так что смена паролей всем это неизбежный и логичный шаг. И то что они решились на этот шаг, хоть и так поздно, идет только в плюс в плане доверия к бирже.

 

То что пароли должны меняться с периодом времени я думаю обсуждать нечего, должно быть понятно что это необходимая мера.

Вопрос тут только в обязательной автоматической генерации паролей. Оптимальным вариантом мне кажется будет выдавать раз в полгода автоматически сгенерированный пароль, который при необходимости пользователь сможет сменить на свой с необходимыми условиями стойкости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Представляю что там сейчас ещё в китайском чате начнётся, как китайцы проснутся)

 

Зы. Саппорт прислал про ночной майнтенанс. Надеюсь это правильная переделка системы входа. На всяк случ вывел крупные активы)

Изменено пользователем MrSoch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

Смс-ки ведь не биржа отправляет, а сторонний сервис, вот это и есть третье лицо и сторонняя сторона, причём обычно это сайтик где-нибудь в Мухосранске со всеми вытекающими последствиями, поэтому с гуглом его тяжеловато сравнивать. :)

 

К слову, смс-ки от этих сервисов ещё и не дёшево обычно стоят (1-3 рубля в среднем за штуку), поэтому многие сайты 2фа через смс и не прикручивают. 

Изменено пользователем Asatur

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про смену пассов автоматически-принудительную. В доменах локалок Майкрософт норм реализовано. Что ещё выдумывать? Конечно - принудительная смена, с проверкой несовпадения предыдущего пасса. Можно также генерить автоматом. но обязательно возможность заменить на собственный.

 

Ещё раз:

1. Сравнивать хеши и запрещать использовать ранее использовавшиеся пассы.

2. Обязательно предоставить возможность смены на собственный пароль

3. Предоставить возможность смены пароля по собственному интервалу (раз в мес, хоть раз в день))), но не реже 6 мес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)
запрещать использовать ранее использовавшиеся пассы

я бы предложил не запрещать, а разрешить после 5-10 раз... так гуманнее :)

Изменено пользователем korki

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

разрешить после 5-10 раз... так гуманнее
на 11-й раз сервер согласился, что у него пароль «Мао Цзедун» (С)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

+1 к MrSoch:

...

2. Обязательно предоставить возможность смены на собственный пароль

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

+1 к MrSoch

4. Требовать сложный пароль - длина, буквы, цифры, спец символы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и обязательно 500 баксов за вход на биржу... дабы стиль не менять. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, братья трейдеры и сестрички тож.

Неужели мы не видим очевидного?

Произнесено ключевое слово - "безопасность" и (это характерно), правила изменились на ходу.

У кого там еще есть вещи быстро(бегом) вещи выносим, сейчас.

Напоминаю, ровно то же самое было в Крипсти.

Ровно та же самая загагулина. 

И?

И кто не успел - тот опоздал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ППЦ, 2фа на теле у которого нет ни инета ни симкарты и никаких проблем, а если чел разпиздяй который ставит супер пупер мего ботов для заработка то тут ему ничто не поможет, ну а смс и симку ооочень легко взломать(некоторые гандоны из опсосов сливают дубль симок)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

А по какому алгоритму пароль задается? А если программку напишут хакеры такую же? Однозначно плохое нововведение, биржа была привлекательна для хранения средств тем, что пароль можно было держать в голове, чего невозможно на кошельках, а так для хранения в ней никакого смысла уже, только обмен. А быть может потому и нововведение как раз, биржа не хочет заниматься хранением...

Изменено пользователем alevlaslo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, братья трейдеры и сестрички тож.

Неужели мы не видим очевидного?

Произнесено ключевое слово - "безопасность" и (это характерно), правила изменились на ходу.

У кого там еще есть вещи быстро(бегом) вещи выносим, сейчас.

Напоминаю, ровно то же самое было в Крипсти.

Ровно та же самая загагулина. 

И?

И кто не успел - тот опоздал.

Да, согласен. Очень подозрительно и очень похоже на Крипсти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

принуждать всех действовать по какой-то схеме из-за того, что часть юзеров идиоты, это какая-то чушь получается!

даже требовать серьезного усложнения паролей, как тут многие пишут в комментариях, это тоже неправильно, пусть все юзают пароли какие хотят, безопасность - это личное дело каждого

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пароли один хрен никто не брутит же в наше время? Тем более капчу ввели. Получается либо троян у юзера, либо слив БД биржи (или иного ресурса, если юзать 1 пасс) Как понимаю, сложный пароль нужен чтобы, когда биржа профукали БД ,  усложнить злоумышленнику процесс получения пароля из хэша.
 

В чём смысл генерации паролей не понятно, я почему то уверен, что  99% случаев увода бабла - это работа троянов + расп...ство жертвы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пароли один хрен никто не брутит же в наше время? Тем более капчу ввели. Получается либо троян у юзера, либо слив БД биржи (или иного ресурса, если юзать 1 пасс) Как понимаю, сложный пароль нужен чтобы, когда биржа профукали БД ,  усложнить злоумышленнику процесс получения пароля из хэша.

 

В чём смысл генерации паролей не понятно, я почему то уверен, что  99% случаев увода бабла - это работа троянов + расп...ство жертвы.

Ещё один момент неприятный - нельзя сделать вывод средств 2 дня . Если взять всех юзеров то огромная сумма заморожена

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ещё один момент неприятный - нельзя сделать вывод средств 2 дня

В смысле? Только что зашел, поменял пароль закинул крипту-обменял-вывел.. Все нормально..

 

"- При первичной смене пароля на аккаунт не будет установлен блокировка 48 часа, но если вы пройдете по процедуре смены пароля повторно, то на аккаунт будет установлена стандартная блокировка согласно нашим правилам."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×