Отвод для обмена ... позволяет сделать 2 фактор право! | Биткоин форум

		Биткоин Форум > Bitcoin Обсуждение
Отвод для обмена … позволяет сделать 2 фактор право!

14 сентября 2012, 2:37:14 PM	# 1
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Имея 2 фактора проверяется только при входе является проблемой безопасности. Пожалуйста, обратите внимание следующее лидерство MtGox и надлежащего безопасного изымает с аутентификацией в явной форме. Имея 2 фактор при входе в "хорошо" (Конечно, лучше, чем отсутствие 2 фактора), но она по-прежнему оставляет пользователь уязвимого для сеанса угона, когда злоумышленник может выдавать себя уже аутентификацию пользователя. Для сайтов, которые позволяют 2factor быть отключено от авторизованной сессии без окончательной проверки 2factor простой атака возможна, когда злоумышленник просто отключает 2factor от активного сеанса и блокирует пользователь вне. Пример сеанса домкрата атака: котировка Пользователь, который имеет сильный пароль и OATH (2factor) журналы устройств в обмен. Пользователю предлагается для 2factor кода и аутентификации. Неизвестный пользователь его система скомпрометирована и мониторинга интернет-активности в поисках входа в систему. Троянец уведомляет злоумышленника о том, что пользователь имеет авторизованной сессии. Атакующий использует троян и аутентификацией сеанса обмена все USD для BTC и вывести все BTC на адрес злоумышленника. Это действие может быть практически невидимым для пользователя. сессия пользователя будет украден, и злоумышленник подражает пользователю, когда делает ретироваться. Для сервера обмена все выглядит как подлинные действия браузера от прошедшей проверки подлинности пользователя с их IP-адреса. Скорость атаки ограничивается только обработкой обмена серверов. Пользователь может войти в систему, глядя на $ 18,000 долларов США и 2000 BTC а затем обновление AJAX происходит и пользователь смотрит на $ 0 USD и 0 BTC. Глядя в историю активности пользователь увидит торгов и изымает, которые произошли секунды до которые, как представляется, пришли из него. В конечном счете это будет происходить; это не вопрос, если, но когда. Когда это произойдет, это будет подрывать доверие пользователей. "См даже при сильных паролях и 2-факторе и уважаемого обмена с частичными холодильниками вы можете потерять все, что в секунде", Установка MtGox с полным центром безопасности и возможностью настройки несколько устройств присяги для различных вариантов идеально подходит, но также много для небольшого обмена, чтобы взять на себя. Самое простое исправление (больше как патч), это просто ограничивает 2factor к изымает (и удаление / обновление 2 фактора и редактирования / добавления предварительно сохранено отзывать варианты). Очевидно, что изменения 2factor всегда должно требовать 2 фактора проверки. В то время как в теории, если 2factor ограничивается только изымает злоумышленник может заставить пользователя продать (и взломщик гарантировать, что он имеет самую высокую цену), однако максимальная потеря была бы разница% в спред. (То есть пользователь продает $ 1000 на сумму BTC и получает только $ 997 на сумму USD). Это довольно слабый вектор атаки и, конечно, менее выгодно, чем сессии угона. Самый большой вектор атаки является удаление средств с валютного счета перемещения 2factor к тому, что действие твердеет его. Лучшим решением было бы иметь несколько вариантов на странице конфигурации 2factor. Нет 2 фактора 2 фактора на отзывать 2 фактор при входе в систему 2 фактор при входе в систему & изымать

Как заработать Биткоины?
Без вложений. Не майнинг.

14 сентября 2012, 2:57:48 PM	# 2
Марко Поло Сообщений: 29 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Получил 1806 Биткоинов Реальная история. Было бы также предотвратить несанкционированное снятие денег сделали с похищенным печеньем с помощью XSS ошибок или MITM (например, в общественном БЛСЕ)

14 сентября 2012, 4:19:31 PM	# 3
Стивен Gornick Сообщения: 2352 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: DeathAndTaxes 14 сентября 2012 года, 2:37:14 PM Однако максимальная потеря была бы разница% в спред. (То есть пользователь продает $ 1000 на сумму BTC и получает только $ 997 на сумму USD). Это довольно слабый вектор атаки и, конечно, менее выгодно, чем сессии угона. Ну, без OTP на входе в систему или измученный сессии не непостижимо, что учетная запись может быть использована для торговли прочь все средства со счета в течение ряда сделок по сравнению с будучи не в состоянии вывести из-за этого защищен с OTP. Это могло бы быть реальной причиной была эта "алго Freakout" пару месяцев назад: - http://bitcoinmagazine.net/wp-content/uploads/2012/08/bot-runs-amok-on-mtgox.png Там в списке методов аутентификации двухфакторных различные обмены предлагают здесь: - http://bitcoin.stackexchange.com/a/4114/153 Если есть дополнения или исправления, есть комментарий средство для зарегистрированных или PM мне здесь на форуме.

14 сентября 2012, 5:06:25 PM	# 4
nedbert9 Сообщения: 252 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Полностью согласен с D&Т. безопасности на стороне клиента и учетная запись на уровне транзакций является второстепенным слишком много Bitcoin услуг. Общий ответ на счета хаки слишком часто "Ваша ошибка, ваша проблема, читайте ToS. Более широкая аудитория проведет службу, ответственную в их сознании, если эта служба не представляет лучшие интересы, например, безопасности их счетов. Кстати. Есть билеты открываются GLBSE, что их 2fa не работает. Я лично испытал проблемы, где 2fa MtGox имел глюк и не будет проблемой для 2fa. Различные сайты службы, где число сеансов лексемы периодов истечения срока действия в дней - а не часов или минут. Вряд ли не должно быть ключевой мерой безопасности. Рекомендации по безопасности для финансовых веб-приложений, следует исключать и не текущее состояние дел.

14 сентября 2012, 5:21:13 PM	# 5
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: Стивен Gornick 14 сентября 2012 года, 4:19:31 PM Ну, без OTP на входе в систему или измученный сессии не непостижимо, что учетная запись может быть использована для торговли прочь все средства со счета в течение ряда сделок при снятии защищен OTP. Вы, наверное, правы, и я, вероятно, занижены, что риск. Тем не менее гораздо проще и прямая атака, это просто вывести средства. Не требует OTP на этой самой высокой сделке рисков является уязвимость. Для обеспечения максимальной безопасности ОТП должна быть как на входе в систему и уйти. Оптимально пользователь должен быть предоставлен выбор. Тем не менее, если обмен ограниченных ресурсов, предлагая OTP только на входе хуже ИМХО, чем предлагать его только снять. Причина заключается в том, что ОТП на отзывать средства 1 OTP = 1 ретироваться. Имея его при входе в систему означает 1 OTP = неограниченный доступ к сайту, включая изымает до сессии, пока не истечет. Безопасность всегда является компромиссом; обмен может потребовать уникальный GPG подписали сообщение для каждого действия пользователя (логин, торговли, отменить торговлю, изменить данные, историю загрузок, аннулируют, и т.д.). Большинство пользователей не хотели бы, что уровень безопасности. Таким образом, цель становится самой безопасностью для приемлемого количества сложности. Отзывать является точкой самой высокой уязвимости. Если злоумышленник может вывести BTC, он может украсть быстро и мало шансов попасться. Это действие, имеющее высокий риск быть мошенническим должно требовать явного (не неявные из сеанса входа в системе) аутентификации.

14 сентября 2012, 5:37:58 PM	# 6
ArticMine Сообщения: 2086 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: Стивен Gornick 14 сентября 2012 года, 4:19:31 PM ... Ну, без OTP на входе в систему или измученный сессии не непостижимо, что учетная запись может быть использована для торговли прочь все средства со счета в течение ряда сделок при снятии защищен OTP. ... Или манипулировать рынком, торгуя в определенном направлении, используя ряд взломанных счетов. Два фактора аутентификации, безусловно, частью решения. Другой способ заключается снизить риск скомпрометированной системы, избегая операционных систем, которые являются основными целями вредоносных программ, таких как Microsoft Windows. Я использую GNU / Linux (Ubuntu) по этой причине все мои безопасные транзакции / логины / заявки на более чем шесть лет по этой причине. Сегодня я просто отказываюсь делать что-либо с участием Bitcoin или необеспеченные банковские с помощью Microsoft Windows.

14 сентября 2012, 5:46:05 PM	# 7
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Как Bitcoin продолжает расти в популярности, что является необоснованным требованием. Это может быть хорошая практика, чтобы лично защитить свое богатство, но обмен следует ожидать, что часть (возможно, большинство) его пользователей входа в систему с компьютера Windows. Я хотел бы отметить, что сессия домкрата это не просто вопрос окна. Есть эксплойты в MacOs, прошивкой и ОС Android, а также. Пользователи вход в системе от общественного WiFi атак MITM риски независимо от операционной системы. Уязвимости Cross Site Script в браузерах, расширений и плагинов (Java), вообще говоря, OS агностиком.

14 сентября 2012, 6:21:05 PM	# 8
firefop Сообщения: 420 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! На самом деле единственный способ сделать это слишком безопасно, не будучи раздражает среднего пользователя с помощью службы третьей стороны к 2fa (таких как фактор телефона). Конечно, с помощью существующего сервиса будет нести расходы - и управление тем, выйдет в конце концов в ставках обменов. ИМХО - лучшее решение было бы оставить безопасность в руках реальных пользователей аки технофилов, которые любят нас, кто может справиться с этим самим. При разработке системы POS или общего доступа, аппаратные средства на основе и безопасно с помощью аппаратных средств. можешь сказать "аппаратный Bitcoin, который сохраняет свой закрытый ключ + биометрическое сканирование 2fa в точке продажи" --- И да, я планирую развивать его = P

14 сентября 2012, 6:42:16 PM	# 9
ArticMine Сообщения: 2086 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: DeathAndTaxes 14 сентября 2012 года, 5:46:05 PM Как Bitcoin продолжает расти в популярности, что является необоснованным требованием. Это может быть хорошая практика, чтобы лично защитить свое богатство, но обмен следует ожидать, что часть (возможно, большинство) его пользователей входа в систему с компьютера Windows. Я хотел бы отметить, что сессия домкрата это не просто вопрос окна. Есть эксплойты в MacOs, прошивкой и ОС Android, а также. Пользователи вход в системе от общественного WiFi атак MITM риски независимо от операционной системы. Уязвимости Cross Site Script в браузерах, расширений и плагинов (Java), вообще говоря, OS агностиком. Я, например, для веб-бизнес на поддержку, как много различных платформ и операционных систем, как это возможно, так что я бы никогда не ожидать веб-основе бизнес не поддерживает Microsoft Windows. Как владелец веб-сайта в течение более 10 лет, большинство моих посетителей используют некоторые версии Microsoft Windows. На самом деле в этом году я даже получил странный посетитель с помощью Windows 3.xx! Сказав это, что также очень важно быть честным о рисках. Речь идет о риске смягчение Не рискуйте ликвидации здесь. Конечно, есть нечетная часть вредоносных программ для GNU / Linux или кросс платформенного браузера эксплуатирует, и некоторые эксплойты по своей природе являются кросс-платформенными, таких как фишинг-атаки, MITM атаки и т.д., но реальность такова, что много атак здесь Microsoft Windows специфичны и могут быть устранены путем просто не используется Microsoft Windows. Я, например, удалены Windows, конкретные Bitcoin кражи и добыча вредоносных программ с компьютера клиента. Клиент никогда не слышал о Bitcoin! Там, где это важно для онлайн-бизнеса, чтобы убедиться, что сайт совместим с GNU / Linux, и что любые два фактора методы безопасности аутентификации, используемые дот не исключает использование GNU / Linux и других операционных систем свободного программного обеспечения. Я бы одного фактора аутентификации на правильно закрепленной системы GNU / Linux в течение двухфакторной аутентификации на Microsoft Windows в любой день с точки зрения снижения риска.

14 сентября 2012, 7:21:33 PM	# 10
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: firefop 14 сентября 2012 года, 6:21:05 PM На самом деле единственный способ сделать это слишком безопасно, не будучи раздражает среднего пользователя с помощью службы третьей стороны к 2fa (таких как фактор телефона). Конечно, с помощью существующего сервиса будет нести расходы - и управление тем, выйдет в конце концов в ставках обменов. Там не требуется для обслуживания третьей стороны. Почти каждый обмен поддержки TOTP, которые могут быть осуществлены без каких-либо услуг третьей стороны. http://tools.ietf.org/html/rfc6238 Конечно, это игнорировал точку ФП, которая была, что OTP оставить пользователя уязвимым для сеанса угона, если пользователь только проверку подлинности при входе в систему.

14 сентября 2012, 9:35:02 PM	# 11
firefop Сообщения: 420 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: DeathAndTaxes 14 сентября 2012 года, 7:21:33 PM Цитата: firefop 14 сентября 2012 года, 6:21:05 PM На самом деле единственный способ сделать это слишком безопасно, не будучи раздражает среднего пользователя с помощью службы третьей стороны к 2fa (таких как фактор телефона). Конечно, с помощью существующего сервиса будет нести расходы - и управление тем, выйдет в конце концов в ставках обменов. Там не требуется для обслуживания третьей стороны. Почти каждый обмен поддержки TOTP, которые могут быть осуществлены без каких-либо услуг третьей стороны. http://tools.ietf.org/html/rfc6238 Конечно, это игнорировал точку ФП, которая была, что OTP оставить пользователя уязвимым для сеанса угона, если пользователь только проверку подлинности при входе в систему. Именно поэтому нам нужны живая аутентификация 2 фактора ... используя фактор телефона в качестве примера снова. , , Каждый раз, когда есть более Auth попытка вещь вызывает вас, так что вы можете проверить, введя цифровой код. Домкрат сессии не имеет значения в тот момент, потому что, когда они пытались сделать что-нибудь телефон будет звонить. Вот что я имел в виду услуги 3 участника - в этом случае, используя телефонную систему в качестве второго фактора. возможно с использованием VoIP распознавания голоса может работать в Двойники образом, без необходимости включать Telco?

15 сентября 2012, 10:18:32 AM	# 12
Mosrite Сообщений: 70 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Это реальная проблема. Я собираюсь спросить Байрон Майкон, чтобы предложить обходной путь.

15 сентября 2012, 10:41:48 AM	# 13
MarkM Сообщения: 2002 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Для троянского случая в исходном сообщении, что останавливает троян для ожидания, пока пользователь не будет готов совершить вывод и изменение адреса сервер заканчивает говорят, чтобы отправить отзыв на? Кроме того, я думал, что весь смысл двух факторов является то, что оба фактор настолько различен и отдельно, что, если только один из ваших машин контролируются атакующим любое действие, которое требует второго фактора в значительной степени beyonf способности атакующей санкционировать? Для снятия предположительно это означает, что когда-то запрос на вывод был представлен второе устройство контактирует с сервером с подробной информацией о сделке запрошенной, и пользователь должен подтвердить с этим вторым устройством, что запрос является действительно один они намеревались сделать? -MarkM-

21 сентября 2012, 5:36:52 PM	# 14
firefop Сообщения: 420 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: MarkM 15 сентября 2012, 10:41:48 AM Для троянского случая в исходном сообщении, что останавливает троян для ожидания, пока пользователь не будет готов совершить вывод и изменение адреса сервер заканчивает говорят, чтобы отправить отзыв на? Кроме того, я думал, что весь смысл двух факторов является то, что оба фактор настолько различен и отдельно, что, если только один из ваших машин контролируются атакующим любое действие, которое требует второго фактора в значительной степени beyonf способности атакующей санкционировать? Для снятия предположительно это означает, что когда-то запрос на вывод был представлен второе устройство контактирует с сервером с подробной информацией о сделке запрошенной, и пользователь должен подтвердить с этим вторым устройством, что запрос является действительно один они намеревались сделать? -MarkM- Вот как я это понимаю. И я полагаю, вы можете прикрепить IVR на фронт по телефону говорят вам вещи, как количество, адрес назначения и т.д. - это может раздражать, но это будет касаться изменений адреса назначения вы предложили.

21 сентября 2012, 6:38:14 PM	# 15
DeathAndTaxes Сообщения: 1218 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: MarkM 15 сентября 2012, 10:41:48 AM Для троянского случая в исходном сообщении, что останавливает троян для ожидания, пока пользователь не будет готов совершить вывод и изменение адреса сервер заканчивает говорят, чтобы отправить отзыв на? Кроме того, я думал, что весь смысл двух факторов является то, что оба фактор настолько различен и отдельно, что, если только один из ваших машин контролируются атакующим любое действие, которое требует второго фактора в значительной степени beyonf способности атакующей санкционировать? Для снятия предположительно это означает, что когда-то запрос на вывод был представлен второе устройство контактирует с сервером с подробной информацией о сделке запрошенной, и пользователь должен подтвердить с этим вторым устройством, что запрос является действительно один они намеревались сделать? -MarkM- Это действительно зависит от того, сколько вы хотите, чтобы заблокировать его. Одним из вариантов было бы сделать экран вывести только позволит изымает из predesignated набора адресов. Добавление адреса требует проверки 2factor и время задержки. Пользователь также может быть уведомлен и послал SMS с адресом добавляется. Таким образом, злоумышленник не сможет заменить адрес вывести как пользователь во время отзывать ограничивается заранее апробированы списком адресов. Еще один простой вариант будет задерживать уводит от, скажем, 15 минут и отправить пользователю сообщение SMS с адресом. Если пользователь заметит адрес недействителен они могут отменить отзывать в течение 15 минут. BTW: Я понятия не имею, что firepop говорит. Он пропустит пропустить всю точку. Метод 2 фактора не то, что имеет значение. Услуга голосовой 2factor не более безопасная, чем TOTP. Это то, как это было раньше.

30 сентября 2012, 5:45:39 AM	# 16
firefop Сообщения: 420 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Согласовано. Второй тип фактор не имеет большого значения, только то, как его реализовать.

30 ноября 2012, 2:37:12 AM	# 17
бернсайдовского Сообщения: 1008 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Абсолютно согласен с ОП. LTC-GLOBAL / BTC-TC и позволяет пользователю включить Google аутентификацию для входа плюс всех финансовые и долей торговых операций, в том числе защиты от атак воспроизведения. Надеюсь, я могу забрать YubiKey скоро, так что я могу играть с этим, а также. Приветствия.

30 ноября 2012, 5:50:55 AM	# 18
J-Норм Сообщений: 56 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Я действительно хотел бы видеть систему, при которой любая сделка по обмену включает сервер дает вам определенный контракт программно (Отправить 150BTC для с моего счета), а затем требуя подписать его с ключом GPG. У нас есть система криптографической подписи высокого класса, и я видел, что используется только один раз. Существует проект под названием bitwasp, которые обеспечивают "шелковый путь как" веб-сайт, любой человек может работать, но он поддерживает требует GPG подписи для деликатного действия. Не то, дружественный к пользователю, но если это не является обязательным более Savy люди могут реально защитить свои счета.

30 ноября 2012, 7:03:09 AM	# 19
бернсайдовского Сообщения: 1008 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! Цитата: J-Norm 30 ноября 2012 года, 5:50:55 AM Я действительно хотел бы видеть систему, при которой любая сделка по обмену включает сервер дает вам определенный контракт программно (Отправить 150BTC для с моего счета), а затем требуя подписать его с ключом GPG. У нас есть система криптографической подписи высокого класса, и я видел, что используется только один раз. Существует проект под названием bitwasp, которые обеспечивают "шелковый путь как" веб-сайт, любой человек может работать, но он поддерживает требует GPG подписи для деликатного действия. Не то, дружественный к пользователю, но если это не является обязательным более Savy люди могут реально защитить свои счета. У меня был разговор в последнее время с кем-то здесь о безопасности GPG против 2fa. Я не уверен, что GPG так хорошо, как некоторые из других подходов 2fa, потому что вы должны держать ключ в автономном режиме для того, чтобы быть безопасным. С помощью коэффициента PITA людей в конечном итоге держать их ключ на рабочем столе, где, если вы скомпрометированы и установлен кейлоггер, вы ввинчиваетесь. 2fa с помощью Google Authenticator, YubiKeys и т.д., по-видимому, чтобы избежать этого конкретного режима отказа в мало для каких-либо затрат с точки зрения удобства использования. Незнайка ... есть что-то я не хватает?

30 ноября 2012, 7:57:06 AM	# 20
J-Норм Сообщений: 56 Цитировать по имени цитировать ответ	Re: мольба к обмену ... позволяет сделать 2 фактор права! ключи GPG являются основой внебиржевой сети доверия как я совсем недавно узнал. Отличные идеи. Я знаю, как защитить GPG закрытого ключа, я могу держать ЦРУ, ФБР, и весь алфавит суп из моего GPG ключа. Я согласен люди, которые не понимают, насколько частным закрытый ключ должен охраняться не следует активировать эту функцию расширенной. Но я не имею незашифрованное устройство хранения в моем доме. Bitcoin себе зависит от защиты закрытых ключей. Я уверен, что я единственный один Логгина в случае, если: Я должен ввести пароль Я должен подписать 256 битовую строку байтов, используя свой зарегистрированный ключ Я бы, конечно, иметь пароль для этого ключа, который никогда не будет побежден атакой по словарю. Я думаю, вы должны быть в состоянии настроить только как запертый вниз вашу личность должна быть от простого к cryptogeek. Рассмотрим интеллектуальные устройства уже существуют, что не будет использовать закрытый ключ для вас, но не раскрывают его. кредитные карты Чип-Pin использовать их. "Смарт-карты" может это сделать. Теперь вы можете использовать немного пластика со встроенным подписавшего или ноутбук, или кластер серверов, или ваш смартфон.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW