Průser jak mraky.

[marek3ball]

Co ja vim, tak se starym klientem se pak dostavas do jinyho forku, tak nevim, jestli jsou testy timhle smerem k necemu.

Ve foru na bitcointalk se nekdo ptal, jaky z vyvijenych klientu bude oficialni a byl celkem rychle setren, ze jsou vsechny oficialni. Mozna by mluvili jinak, po podobny zkusenosti. Moc lidi asi procitat opensource kody nebude.

KeePass pro generovani a zadavani dlouhych hesel by byla dobra obrana proti podobnym podvodum? Ma i ruzny funkce autofill a obrany proti vykradeni hesla pri kopirovani, heslo po par vterinach maze ze schranky. Co vy na to?

[fiala]

No nechtel jsem tady sejckovat a delat trolla :-).

Je tady nekdo znalej vice do hloubky NXT a dokaze osvetlit, kde lezi vsechna hesla k penezenkam? Porad mi to prijde jako jedna velka smenarna, ktera muze dopadnout jako sheepmarketplace, kde zmizelo cca 5400 BTC.

A jak jsou ty hesla hashovany? To asi budou, ale ...... radsi nebudu dal sejckovat.

Porad mi to prijde, ze muzes prijit jeste vetsi pruser nez potkal par z vas.

Doufam ze ne, pac NXT fandim ikdyz uz jsem vsechny prodal a dal do nej v tuto chvili nechci investovat a vse jsem presunul jinam.

Hodne stesti pri hledani vinika a snad se ti tech 22k vrati.

[smiles]

Stále si myslim,že ty hesla nikde neležej. Je to v součást programu co je v PC. Proto jdou taky dělat brutal force útoky offline.

Jak je to kódovaný je nejlépe zajít sem a pročíst si to https://nextcoin.org/index.php/board,4.0.html

Jak se to stalo tady zatim neni jasný. Mohl to být útok na PC stejně tak jako na blok.

[fiala]

takze kdyz pujdu k jinemu pocitaci a tam bude klient NXT, tak se neprihlasim do sve penezenky? Ja myslim ze jo, ze to je prave ta vyhoda, ze se muzes prihlasit odkudkoliv.

Mozna se pletu, tak detailne jsem to nezkoumal.
Tim, ale to heslo nekde lezet musi, respektive jeho "hash" podoba.

[smiles]

Ano samozřejmě, že se přihlásíš na svůj účet.
Je to na základě P2P sítě takže každý má všechno u sebe. Nepotřebuje to centrální server. Ověřuje se to vzájemně mezi sebou. Velice zkráceně kódování vypadá asi takto.

SHA256 ( secret_phrase ) poskytuje soukromý klíč .
Curve25519 ( private_key ) poskytuje veřejný klíč .
SHA256 ( public_key ) dává ID účtu .
Prvních 64 bitů dává VIDITELNÉ ID účtu.

transactions.nxt  obsahuje veřejné klíče dat a po připojení se aktualizuje.

[fiala]

takze pokud prijdu k tobe domu a zadam do tveho klienta svoje heslo, tak mi to ukaze moji penezenku? Vuci cemu se to tedy overi, to mi hlava nebere :-)

Takze se tvoje heslo secret_phrase (SHA256) overi vuci public key, kde v tom souboru transactions.nxt jsou vsechy public keys v jednom souboru co se vzdy aktualizuje a stahuje se ti do kompu?

[smiles]

jj přesně tak, aspoň pro zjednodušení. Mám dojem, že se to ověřuje ještě vůči něčemu (Curve25519?), ale třeba se pletu. Heslo by jsi mi klidně mohl poslat SMS - převod zvládnu.

Prostě je to tak, poukazuje na to spousta uživatelů, ale vývojáři stojí za svým, že je to bezpečný.

Jak už bylo psáno jinde: heslo ahoj by mělo mít už vždy tento účet 18311674749073165176 at' už se k němu přihlásí kdokoliv.
http://87.230.14.1/nxt/nxt.cgi?action=3000&acc=18311674749073165176

[nxtberry]

Prostě je to tak, poukazuje na to spousta uživatelů, ale vývojáři stojí za svým, že je to bezpečný.

Princip je bezpečný, takže ačkoli se to uživatelům může zdát divné, tak je to v pořádku. Stejné výhrady může člověk mít k šifrování bitcoinu a čehokoli na síti. Lidem se zdá, že dokud to nemá 2FA, tak je to slabý, ale celá legrace s dvoufázovou autentizací nebyla vytvořena pro to, že by stávající šifrování nebylo nedostačující, ale proto, že 99 procent uživatelů není schopno si zajistit počítač tak, aby mu někdo druhý neukradl hesla či klíče. Veškeré problémy s ukradením NXT souvisí se slabým heslem nebo se zkompromitovaným počítačem. Prostě většina lidí používá 1234 místo pořádný hesla na sejf nebo má barák otevřenej dokořán a kdokoli si může pro heslo k sejfu, který se válí na stole. Za to nemůže ale konstruktér domu, ten oboje navrhl správně a je jen na uživateli jak ten dům zabezpečí. Sleduju to celkem pozorně a za celou dobu jsem nenarazil na to, že by to nebyla chyba uživatele. Úprava klienta může pomoci prvnímu případu, 2FA může pomoci druhému případu. Je řada případů, kdy i 2FA byla překonána a je řada uživatelů, kterým ani toto nepomůže.

[Breta]

Ahoj, Hoši,

máte někdo nápad jak ty moje ukradené NXT dostat zpátky. Psal jsem i BTER adminovi ať mi nějak poradí a ani mi neodpověděl, že to třeba nejde.

Měl jsem velké nadšení pro NXT, ale teď jak nemám s čím  disponovat, tak mě to úpně opustilo. Což mě samotného mrzí. 

[smiles]

Ještě na doplnění. Verze 0.5.10 a 0.5.11 spolu nekomunikovaly. Verze 0.5.12 byla úplně špatná, tak se rozhodlo od 0.5.x odstoupit. Všem doporučuji nainstalovat si novou 0.6.1.
http://87.230.14.1/nxt/nxt.cgi?action=1 bere data z klienta ne obráně.
Breta v noci pošlu PM.