Перейти к содержимому


Фотография

Смена правил политики безопасности BTC-E 30.09 2016


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 83

#21 core

core

    Пользователь

  • Пользователи
  • PipPip
  • 52 сообщений

Отправлено 30 September 2016 - 16:11

вот я не нахожу связи между этими двумя высказываниями. так в каком месте смс хуже?

 

В таком месте, что отсталые технологии завязанные на человеческом факторе (смс) намного хуже чем простой математический алгоритм (2фа), который работает в любых условиях вне зависимости ни от чего.


  • 0

#22 moneymaker

moneymaker

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2459 сообщений
  • ГородМосква

Отправлено 30 September 2016 - 16:19

Пусть будет и привязка к IP, и 2FA, и смс, и пароль по критериям.

Я бы даже рассмотрел вариант какого-то хардового девайса.


  • 0

MNR - GPU фермы в 19" корпусах купить Хостинг 10 МВт 

Посетите мой блог. Полезные статьи по настройке Win10, наборы утилит для майнинга


#23 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 16:20

Токен это называицца)


  • 0

#24 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 299 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 16:21

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?


  • 0

#25 korki

korki

    Новичок

  • Пользователи
  • Pip
  • 47 сообщений

Отправлено 30 September 2016 - 16:27

по сути 2фа на мобиле - и есть софтварный токен, нафиг за хардварный вариант платить :(

только что по совету core запустил эту фигню на своем старом сонерике w810i, причем прогу выбрал не от гугла, а ваще левую. все шикарно работает! :)

так что будем считать 2фа стороной независимой (если только это не смарт и вы трояна не словили!). со стороны биржи уже нам ввели обязаловку, их право. но теперь надеюсь они сделают и сторону пользовательскую, в виде задаваемого пароля или пин-кода, посмотрим... 


  • 0

#26 core

core

    Пользователь

  • Пользователи
  • PipPip
  • 52 сообщений

Отправлено 30 September 2016 - 16:30

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

 

Я уже даже не знаю как объяснить. Почитай хоть о чем речь идет, может тогда понятно будет.

 

Вкратце смс - это зависимость от каналов связи, зависимость от счета сотового оператора (который могут внезапно блокнуть), возможность перехвата... еще куча недастотков, вплоть до того что этих смс нету по 10 минут, а то и больше.

 

А 2фа генерится на одной стороне, что тут сложного? Т.е. теоретически имея ключ от 2фа + часы + бумагу с ручкой можно вычислить код. Зависимости от 3-й стороны нет вообще.


  • 2

#27 korki

korki

    Новичок

  • Пользователи
  • Pip
  • 47 сообщений

Отправлено 30 September 2016 - 16:32

xcyr, и смска - это 2фа, и алгоритм гугла - это 2фа, но это разные вещи! перехват смс в нужное время - не проблема для знающих людей. а вот подбор кода по алгоритму - зависит только от сохранности софтверного токена и/или приватного ключа.

Вообще каналы передачи информации для авторизации, будь то сотовые сети или интернет, необходимо исключать, это однозначно небезопасно :(


  • 1

#28 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 299 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 16:47

Уже вникаю как работает ) ну в принципе, да, безопаснее. Но пользоваться смс проще.. а

перехват смс в нужное время - не проблема для знающих людей
ну перехватят, и что с ней делать? нужно еще логин-пароль к бирже знать

 

Здесь-то основной сыр-бор из-за запрета на свои пароли - непонятно ради чего это? неужели есть идиоты которые на бирже будут использовать "123456" или пароль от биржи использовать вконтакте??


  • 0

#29 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 16:49

Коллеги, ещё раз, заострю ваше внимание - имхо что один из ключей должен быть известен только юзеру, потому что он его сам лично создал.

Поэтому я и предложил дополнительный личный ПИН.) Самое простое и дешёвое решение.


Сообщение отредактировал MrSoch: 30 September 2016 - 16:50

  • 0

#30 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 299 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 16:52

MrSoch, а зачем тогда нужен пароль выданный биржей? что нового он приносит в безопасность? сложность? я сам не могу позаботиться о сложности своего пароля? 


Сообщение отредактировал xcyr: 30 September 2016 - 16:53

  • 0

#31 korki

korki

    Новичок

  • Пользователи
  • Pip
  • 47 сообщений

Отправлено 30 September 2016 - 16:55

неужели есть идиоты

как нам сообщила администрация - ТЫСЯЧИ ИХ! :( поэтому и были взломы, поэтому и пошли на такие радикальные меры :(


  • 0

#32 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 299 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 16:59

как нам сообщила администрация - ТЫСЯЧИ ИХ

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...


  • 0

#33 r2d2

r2d2

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1399 сообщений

Отправлено 30 September 2016 - 17:27

Пусть будет и привязка к IP

К IP нежелательно.


  • 0

Компьютерной грамоте не обучаю


#34 core

core

    Пользователь

  • Пользователи
  • PipPip
  • 52 сообщений

Отправлено 30 September 2016 - 17:33

вообще-то, по идее, администрация видит только хэши.. по таблицам что ли прогнали? )

 

ну можно ввести повышенные требования к сложности, а во избежание использования в других местах - принудительная смена раз в месяц. даже будучи идиотом, я бы не стал использовать еще где-то пароль, если он максимум на месяц...

 

Самая главная причина думаю это массовость взломов последнее время. По торгам видно, чуть ли не каждый день до последнего времени чей-нибудь акк, да вскрывали.

Конечно за этим есть грешок биржи, в конце 2014 они посеяли базу со всеми логинами, балансами, хэшами паролей. Недавно эту базу выкинули в публичный доступ, так что любой желающий смог взять и начать вычисление паролей или просто брутить по словарю. Так что смена паролей всем это неизбежный и логичный шаг. И то что они решились на этот шаг, хоть и так поздно, идет только в плюс в плане доверия к бирже.

 

То что пароли должны меняться с периодом времени я думаю обсуждать нечего, должно быть понятно что это необходимая мера.

Вопрос тут только в обязательной автоматической генерации паролей. Оптимальным вариантом мне кажется будет выдавать раз в полгода автоматически сгенерированный пароль, который при необходимости пользователь сможет сменить на свой с необходимыми условиями стойкости.


  • 2

#35 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 17:34

Представляю что там сейчас ещё в китайском чате начнётся, как китайцы проснутся)

 

Зы. Саппорт прислал про ночной майнтенанс. Надеюсь это правильная переделка системы входа. На всяк случ вывел крупные активы)


Сообщение отредактировал MrSoch: 30 September 2016 - 17:38

  • 0

#36 Asatur

Asatur

    Пользователь

  • Пользователи
  • PipPip
  • 445 сообщений
  • ГородКурск

Отправлено 30 September 2016 - 17:38

где там человеческий фактор? смс - такой же канал для передачи 2фа токена как и ГА. только не посредством проги от гугла, а оборудования сотового оператора. и чем он хуже, тем что какой-то сотрудник сотовой компании может (теоретически) узнать содержание моей смс? и как он этим может воспользоваться?

Смс-ки ведь не биржа отправляет, а сторонний сервис, вот это и есть третье лицо и сторонняя сторона, причём обычно это сайтик где-нибудь в Мухосранске со всеми вытекающими последствиями, поэтому с гуглом его тяжеловато сравнивать. :)

 

К слову, смс-ки от этих сервисов ещё и не дёшево обычно стоят (1-3 рубля в среднем за штуку), поэтому многие сайты 2фа через смс и не прикручивают. 


Сообщение отредактировал Asatur: 30 September 2016 - 17:38

  • 0

#37 MrSoch

MrSoch

    Пользователь

  • Пользователи
  • PipPip
  • 81 сообщений
  • ГородСочи

Отправлено 30 September 2016 - 17:47

Про смену пассов автоматически-принудительную. В доменах локалок Майкрософт норм реализовано. Что ещё выдумывать? Конечно - принудительная смена, с проверкой несовпадения предыдущего пасса. Можно также генерить автоматом. но обязательно возможность заменить на собственный.

 

Ещё раз:

1. Сравнивать хеши и запрещать использовать ранее использовавшиеся пассы.

2. Обязательно предоставить возможность смены на собственный пароль

3. Предоставить возможность смены пароля по собственному интервалу (раз в мес, хоть раз в день))), но не реже 6 мес.


  • 0

#38 korki

korki

    Новичок

  • Пользователи
  • Pip
  • 47 сообщений

Отправлено 30 September 2016 - 17:55

запрещать использовать ранее использовавшиеся пассы

я бы предложил не запрещать, а разрешить после 5-10 раз... так гуманнее :)


Сообщение отредактировал korki: 30 September 2016 - 17:56

  • 0

#39 xcyr

xcyr

    Пользователь

  • Пользователи
  • PipPip
  • 299 сообщений
  • ГородЧелябинск

Отправлено 30 September 2016 - 19:06

разрешить после 5-10 раз... так гуманнее
на 11-й раз сервер согласился, что у него пароль «Мао Цзедун» (С)
  • 0

#40 Rаmon_Ra

Rаmon_Ra

    Новичок

  • Пользователи
  • Pip
  • 1 сообщений

Отправлено 30 September 2016 - 22:08

+1 к MrSoch:

...

2. Обязательно предоставить возможность смены на собственный пароль


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных