Я инвестор на Cryptostocks.com. У меня нет листинг там и я не намерен запустить один; Однако, у меня есть несколько BTC инвестирован в нескольких акциях. За последние пару месяцев я прочитал множественным "ОБЪЯВЛЕНИЯ" касающиеся счета компрометации и цены на акции манипулирует и средства украдены.  

Основная ситуация такова, что кто-то компрометирует учетную запись электронной почты эмитента, а затем, когда они имеют доступ к запросу этого счета сброс пароля на Cryptostocks.com. Ссылка сброса отправляется на адрес электронной почты, и теперь преступник имеет доступ к чему-либо и все, что связано счет фонда. Требование, заявленное эмитент фонда является то, что существует серьезный недостаток безопасности в системе Crytpostocks.com. Позволю себе не согласиться. В то время как есть проблема с тем, как Cryptostocks.com устанавливает счета, легко преодолеть с некоторыми очень основными мерами безопасности.

Для того чтобы "хакер" скомпрометировать систему, все они должны это имя пользователя и пароль. К сожалению, первая часть легко различить о каком-либо эмитента акций на сайте. Cryptostocks требует адрес электронной почты, на каждом перечислении. Это хорошее требование (для инвесторов, чтобы иметь возможность связаться с эмитентом), за исключением, что они требуют адрес электронной почты, чтобы быть на домен веб-сайта эмитента, также требуется. Если я начну ABCMiningCo и хотите выпустить на CS я должен настроить ABCMiningCo.com (или орг или ИО или любой другой), а затем адрес @ ABCMiningCo.com. Я только что дал потенциальному вору имя пользователя для моей электронной почты.

Следующий шаг заключается в использовании атаки грубой силы (http://en.wikipedia.org/wiki/Brute-force_attack) На адрес электронной почты.  Это слабость в системе. Сам же GPU, который мы используем для добычи исключительно хороши в этом типе взлома. Глядя на доменах, созданных большинство компаний на CS они лизинговые хостинг на сервере кто-то другой (например, GoDaddy.com). Почта особенность на большинстве из этих областей не блокировать учетные записи, которые имеют несколько неудачных попыток, так что моя грубая сила программное обеспечение может принять это сладкое время, пытаясь каждую комбинацию клавиш, что программное обеспечение будет использовать (как словарь или просто проходящие через любой комбинации ключи.)  

Первая проблема безопасности является сам пароль. Я считаю, что это самая большая угроза в этой системе.  Исправление иметь более длинные пароли, которые включают в себя верхний и строчные буквы, цифры и символы. Если вы используете все три типа у вас есть 255 возможных символов для каждого символа в пароле. Это делает возможность угадать каждый символ правильно-в 255 для каждого символа. Если у вас есть пароль 8 персонажа, который 255 ^ тридцать пятой мощности (1.6939723419747636865968422807304e + 84), который, кажется, как много, но настольный компьютер может понять, что в 275 дней, и что, если он не использует GPU R9290, чтобы сделать обработку, затем время сводится до нескольких недель, а не месяцев.

Проверьте это .... любой стандартный пароль окон в 6 часов. http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/  Я представляю профессиональную преступную организацию или правительство, которое имеет интерес в краже или дестабилизации криптовалюта бы ресурсы, чтобы приобрести устройство, которое может взломать пароли в короткие сроки.

Сделайте ваши пароли 16 символов. Используйте 4 четыре буквы слова, которые вместе не имеют никакого смысла (а не предложение). Используйте символы и цифры и верхние и строчные буквы. Например:

L0ngL3g5H () 53hot! (длинные ноги шланг горячий!) примет 931 Триллион лет для настольного компьютера, чтобы взломать. Вышеупомянутый супер взлома паролей компьютер, перечисленный выше бы еще 83, 885, 760,000 лет, чтобы взломать этот пароль (формула для преобразования 931 триллионов лет до нескольких секунд, а затем разделить на 350 млрд догадок в секунду взлома компьютер способен делать) , Это гораздо больше, чем хакер будет работать на свой счет, прежде чем перейти на более легкую добычу.

Вторая проблема безопасности является отсутствие блокировки из функции на сервере электронной почты арендуемого домена. Исправление этой слабости, что электронная почта организована служба, которая будет предоставлять эту функцию (редирект на почтовый сервер может быть настроен в домене создана).

И, наконец, еще пару вещей, чтобы рассмотреть. Во-первых, 2 авторизации фактор на вашей учетной записи электронной почты является дополнительный уровень безопасности. Даже если пароль учетной записи треснула, теперь требуется второй пароль. Как Google Authenticator и Yubico Key предлагают одноразовые пароли. Во-вторых, ни при каких обстоятельствах не используйте один и тот же пароль для учетной записи электронной почты, как вы используете для ваших финансовых инструментов. Если да, то вор не имеет даже просить сброс пароля первым!

Она предназначена для эмитента, на складе, но также применяется к держателям акций, так как если счета эмитента получает взломан, хакер теперь имеет свой адрес электронной почты и имеет некоторое представление о том, как инвестированы в акции Вы. Защити себя!

Дэнни
1Kqn7t29wSsxhwvLyBEnKHRPX6mWPCatvW