Перейти к содержимому


Фотография

Смена правил политики безопасности BTC-E 30.09 2016


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 83

#1 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 12:27

Коллеги, всех приветствую! Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Напомню, с тридцатого сентября ДВА нововведения в парольной системе:

 

1. Регулярно, каждые 180 дней (6 мес) принудительная смена пароля пользователя.

2. Отключена возможность создавать пароли самостоятельно. Теперь пароль генерируется по алгоритму и средствами биржи и показывается пользователю один раз, для локального сохранения.

 

Если первое изменение, однозначно назрело, необходимо, практически всеми приветствуется (а некоторые, например я, даже считают что смену надо делать чаще - раз в три месяца) и не вызывает вопросов.

 

То второе, вызвало массовое недовольство. Пароль генерируется по алгоритму и средствами биржи. Никто не знает как и чем, это первое (никто не гарантирует что почтовый бот не берет пассы из списка который хранится у стафа). Не хочу ни в коей мере задеть репутацию уважаемой биржи, но случись что, сразу посыпятся обвинения. Плюс возникает необходимость локально сохранять и хранить этот пароль, т. к. запомнить его нереально. Это тоже уязвимость.

 

Цель данного поста, собрать голоса желающих, и попросить администрацию уважаемой биржи организовать вход на биржу по следующему алгоритму:

 

Добавить возможность входа по ТРЁМ паролям, первый (как сейчас) генерируется и предоставляется биржей, второй - создаётся пользователем самостоятельно (возможно это будет просто ПИН-код?), третий - 2FA (как сейчас).

 

По второму паролю возможны варианты. Либо усложнять требования к нему (не менее 16 символов, капс, нечитайка и проч), либо это простой 4-6-8 значный цифровой ПИН код, с тремя попытками ввода и блокировкой на 48 часов, с полной блокировкой после трёх 48-ми часовых блокировок. Желательно чтобы хранение и верифай этих пассов или пинов было организовано у третьей стороны. Наверное можно найти такие сервисы.

 

Цель данной темы не создание конкурентного флейма и не сбор недоброжелателей, а общая, совместно с администрацией биржи, выработка обоюдоудобного алгоритма безопасного входа на всеми нами любимую БТЦ-Е. ))) Надеюсь администрация биржи поучаствует в обсуждении и услышит юзверей.) Да и чатик БТЦ подразгрузится на эту темку.)

 

Понятно что уважаемую администрацию биржи поднапряжёт необходимость прикручивать ещё одну базу (пин-ов) или сервис в бэкофисе. Но лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей от моего акка в одних руках, кроме моих. )))


Сообщение отредактировал MrSoch: 30 September 2016 - 16:44

  • 9

#2 vr_33

vr_33

    Пользователь

  • Пользователи
  • PipPip
  • 71 сообщений

Отправлено 30 September 2016 - 13:58

Нда... такого подхода, как у упомянутой биржи, я еще нигде не видел... Такое ощущение, что у них разработчиков нормальных уже нет.
Было бы правильнее просто задать правила для создания пароля пользователем (усложнить), как везде. Но ведь это нужно кодить, думать, проверять, сложно это... проще так. А если предположить, что это для отвода глаз, и в планах биржи просто "слиться" в ближайщее время, то и не так уж и глупо выглядит это. На последок привлечь немного денег, поверивших в улучшения на бирже...
 


  • 0

#3 ForumName

ForumName

    Новичок

  • Пользователи
  • Pip
  • 15 сообщений

Отправлено 30 September 2016 - 14:00

Новая политика использования паролей не предусматривает возможность пользователям использовать свои пароли.

они что совсем ? я никогда не пользовалась автопаролями, всегда и везде меняла на свои. себе хуже делают. у кого то что-то украдут, они первые будут виноваты, потому что не дали сделать свой пароль.
бездари!
сделайте ограничение на минимальную длину пароля в 20 символов и всё и чтобы обязательно специальные символы были, если меньше 20 и нет знаков, то не принимать пароль, как не подходящий.
ужас, что у вас за админы!

Сообщение отредактировал ForumName: 30 September 2016 - 14:00

  • 0

#4 vr_33

vr_33

    Пользователь

  • Пользователи
  • PipPip
  • 71 сообщений

Отправлено 30 September 2016 - 14:01

Что возмущает, так это то, что они всего за сутки дали новость. При этом, тот, кто торгует по API никак не узнает о нововведениях, пока не попробует зайти! Хотя бы по почте сообщили о таких важных изменениях!

Еще один повод усомниться в том, что это все для реальной безопасности, а не для отвода глаз.


  • 0

#5 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 14:01

Коллеги, со всем моим уважением, просьба, давайте без наездов и охаивания. Давайте именно по делу. По ВСЕМ удобному и ВСЕХ устраивающему алгоритму! Заранее благодарен. Без эмоций и негативных прогнозов. Пожалуйста! (волшебное слово). )))

 

Цель темы не обсуждение деятельности BTC-E (для этого есть спец ветка), а поиск любимого горбачёвского слова - КОНСЕНСУСА)

 

Администрация биржи нас услышала. Они будут "подумать". ) Всё норм.)


Сообщение отредактировал MrSoch: 30 September 2016 - 15:51

  • 1

#6 hardsign

hardsign

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1155 сообщений
  • ГородКиев

Отправлено 30 September 2016 - 14:13

Просьба высказаться здесь по поводу смены правил политики безопасности на бирже BTC-E.

 

Матом можно?


ИМХО очень неудобное и не повышающее безопасность нововведение в отношении паролей.

Однозначно необходимы требования к сложности устанавливаемых САМОСТОЯТЕЛЬНО паролей. Но ни в коем случае не устанавливать пароль насильно!

 

Ну поставили мне пароль насильно, такой я запомнить однозначно не могу - я его записал. Пароли записывать = это последнее дело!

У меня включена 2ФА авторизация, которой я доверяю больше, чем сгенерированному биржей паролю. Какой в нем смысл?


Крутую штуку они сделали в отношении БТСе кодов = да, это давно пора было. Но про пароли - пока на эмоциях больше хочется говорить матом.


  • 2

Если ты на форуме нечестный игрок, значит душа у тебя такая гнилая, и по жизни ты будешь таким же - как бы не прятался за маску порядочности.


#7 vr_33

vr_33

    Пользователь

  • Пользователи
  • PipPip
  • 71 сообщений

Отправлено 30 September 2016 - 14:18

Думать тут нечего. Нормальные алгоритмы и способы решения безопасности паролей уже придуманы давно.


  • 1

#8 sovkaf

sovkaf

    Пользователь

  • Пользователи
  • PipPip
  • 340 сообщений

Отправлено 30 September 2016 - 14:29

установить более жесткие требования к паролю, но создан он должен быть пользователем ибо учить предлагаемую ересь нафиг не интересно, проще на другую биржу уйти


  • 0

#9 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 14:30

Матом можно?

 

No mat allowed, sorry)


Сообщение отредактировал MrSoch: 30 September 2016 - 14:31

  • 1

#10 Tomcat_MkII

Tomcat_MkII

    Суперзаменятор

  • Супермодераторы
  • 4886 сообщений
  • ГородСанкт-Петербург

Отправлено 30 September 2016 - 14:32

лично меня, как пользователя, тоже напрягает потенциальная возможность концентрации всех ключей в одних руках, кроме моих.

 

Меня, как [бывшего] пользователя, тоже крайне напрягает возможность концентрации паролей в ваших руках. B) Впрочем, как и в руках админов биржи. Если серьезно, очень странный подход. Он гораздо сложнее и имеет уязвимости практически на каждом шагу:

1. Первичный сброс

2. Повторные сбросы

3. Передача пароля

4. Генератор биржи

5. База биржи

6. Компьютер пользователя

 

По первому впечатлению, изобретен пятиколесный четырехмерный велосипед с трансцендентным гироскопом и педалями для ушей. Кататься на нем без шапочки из фольги положительно опасно для жизни...

 

Почему бы не сделать наибанальнейшую аутентификацию по СМС, как в любом интернет-банке? Дешево, надежно и практично. Ах, да, анонимность же... ну особо заботящиеся симку себе достанут.

 

Насчет изменений в кодах  - все правильно. Давно бы так.


  • 4

#11 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 14:39

Аутентифай по смс денек стоит... ( На мобилу уже есть 2ФА. Зачем ещё смс. Хотя когда писал, сразу думал про ПИН-код, может одноразовый и  на мобилу? Но это получается та же 2ФА. Именно, один ключ  должен быть известный только юзеру. Только ему ОДНОМУ. Но как сделать что бы он не торчал нигде в других местах? Восьмизначник цифровой может все же? 


  • 0

#12 Tomcat_MkII

Tomcat_MkII

    Суперзаменятор

  • Супермодераторы
  • 4886 сообщений
  • ГородСанкт-Петербург

Отправлено 30 September 2016 - 14:48

На мобилу уже есть 2ФА. Зачем ещё смс.

 

2ФА не на мобилу, он тоже идет через интернеты, а не сотовую сеть. Его можно и на писюк поставить.

 

СМС же я имел в виду как дополнение к обычному (усложненному) паролю. Генерация на стороне биржи без возможности изменения - это такой *censored*, что даже слов нет. По странной случайности, недавно забрал с BTC-e все под ноль. Хотя и оставались там копейки.


  • 0

#13 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 15:16

В принципе да, одноразовый пин присылаемый на мобилу норм тогда.) Особенно если через третью сторону.


  • 0

#14 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 315 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 15:19

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )


  • 0

#15 core

core

    Пользователь

  • Пользователи
  • PipPip
  • 52 сообщений

Отправлено 30 September 2016 - 15:35

Кстати, да. Смс намного лучше. Ибо тогда реально можно иметь для 2фа нокию 3310, которую не взломаешь )

 

Берешь любую звонилку тех лет с j2me за 200 рублей и ставишь туда также 2фа. Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.


  • 2

#16 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 315 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 15:48

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам и обладает сомнительной надежностью.

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..


  • 0

#17 core

core

    Пользователь

  • Пользователи
  • PipPip
  • 52 сообщений

Отправлено 30 September 2016 - 15:53

Еще бы вспомнить что это такое (j2me) и как туда ставить... И, все-таки не ЛЮБУЮ... вот нокию 3310 нельзя )

 

 

 

 

Не требует доверия. Это же 2 фа, применяется в дополнение к паролю.

 

ЗЫ а гугл не 3-я сторона? а если учесть что еще и почта там..

 

то что гугл фигурирует в названии, вовсе не означает что он имеет хоть малейшее отношение к функционированию этой технологии

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.


  • 3

#18 moneymaker

moneymaker

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2619 сообщений
  • ГородМосква

Отправлено 30 September 2016 - 15:55

Я бы за смс сервис подтверждений без проблем доплачивал, все же потенциальные потери несоизмеримы.
  • 0

Dominator A4 280 MH из НАЛИЧИЯ 

MNR - GPU фермы в 19" корпусах купить Хостинг 10 МВт 

Посетите мой блог. Полезные статьи по настройке Win10, наборы утилит для майнинга


#19 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 16:01

Не. Не. ))) Давайте сразу похороним идею доп. безопасности за доп. плату.)


  • 2

#20 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 315 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 16:03

Смс априори хуже, потому что требует доверия каким-то 3-м сторонам

 

 

TOTP работает по определенному алгоритму. 3-я сторона в данном случае математика. Если нет доверия к математике, то извините, дальше объяснять что-то бессмысленно.

 

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных