#защита_инвестиций
После паузы самое лучшее это начинать с отличных новостей, верно?
Как вам такая например - https://antikor.com.ua/articles/277193-samym_massovym_parolem_2018_goda_nazvana_prostaja_kombinatsija_iz_shesti_tsifr._polnyj_spisok
Самые популярные пароли 2018го это как всегда старые добрые "123456", "123456q", "100500lol" и все в таком духе. Сколько людей не убеждают делать адекватные пароли, дело двигается довольно туго.
Здесь правда стоит отметить, что статистика собиралась по всем сайтам, а мы все иногда регаемся на "мусорных" сайтах, где не собираем задерживаться (иногда так кажется в начале). Но для таких вещей может быть один, общий, но при этом секьюрный пароль.
Что значит секьюрный? Ну как минимум 80 бит энтропии(чтобы не взломало ФСБ), а лучше 120 (что бы Гугл с новым супер компьютером не взломал)
Сразу возникает вопрос что такое эта энтропия и как узнать набирает мой пароль 80 бит или же нет?
Энтропия это мера хаоса системы, мера случайности. Чем выше - тем лучше. Тем сложнее подобрать пароль методом прямого перебора
К примеру пароль Tr@b1nZR45! будет иметь меньшую энтропию чем пароль brown horse like women" . Человеческому разуму это сложно осознать, мол в первом случае рандомная фраза, и регистры разные, и цифры и символы есть, а во втором только слова. Но компьютер "мыслит" немного иначе.
Важно еще понимать интересный момент: 80 бит энтропии (2^80) это МАКСИМАЛЬНАЯ работа которую может выполнить машина чтобы точно подобрать пароль (все варианты перебрались). Чаще всего приходится перебирать гораздо меньший диапазон (так как пароль может оказаться где угодно в это диапазоне, хоть первым быть). В основном 2/3 от максимальной величины.
Так вот, как же все таки проверить мой пароль?
Вот есть хорошая статья - https://habr.com/ru/sandbox/27520/
Самый последний из способов проверки как раз таки проверяет на основе энтропии строки. Только не забудьте сделать все по уму: скачать архивчик (ссылка на сайте rumkin-a внизу) и запустить тест силы пароля в оффлайн режиме. (а если такой шифропанк как я, то после проверки не подрубая интернет перезагрузите компьютер).
Не стоит лениться и отдаваться на волю случая (взломают али нет), это не очень умно.
После паузы самое лучшее это начинать с отличных новостей, верно?
Как вам такая например - https://antikor.com.ua/articles/277193-samym_massovym_parolem_2018_goda_nazvana_prostaja_kombinatsija_iz_shesti_tsifr._polnyj_spisok
Самые популярные пароли 2018го это как всегда старые добрые "123456", "123456q", "100500lol" и все в таком духе. Сколько людей не убеждают делать адекватные пароли, дело двигается довольно туго.
Здесь правда стоит отметить, что статистика собиралась по всем сайтам, а мы все иногда регаемся на "мусорных" сайтах, где не собираем задерживаться (иногда так кажется в начале). Но для таких вещей может быть один, общий, но при этом секьюрный пароль.
Что значит секьюрный? Ну как минимум 80 бит энтропии(чтобы не взломало ФСБ), а лучше 120 (что бы Гугл с новым супер компьютером не взломал)
Сразу возникает вопрос что такое эта энтропия и как узнать набирает мой пароль 80 бит или же нет?
Энтропия это мера хаоса системы, мера случайности. Чем выше - тем лучше. Тем сложнее подобрать пароль методом прямого перебора
К примеру пароль Tr@b1nZR45! будет иметь меньшую энтропию чем пароль brown horse like women" . Человеческому разуму это сложно осознать, мол в первом случае рандомная фраза, и регистры разные, и цифры и символы есть, а во втором только слова. Но компьютер "мыслит" немного иначе.
Важно еще понимать интересный момент: 80 бит энтропии (2^80) это МАКСИМАЛЬНАЯ работа которую может выполнить машина чтобы точно подобрать пароль (все варианты перебрались). Чаще всего приходится перебирать гораздо меньший диапазон (так как пароль может оказаться где угодно в это диапазоне, хоть первым быть). В основном 2/3 от максимальной величины.
Так вот, как же все таки проверить мой пароль?
Вот есть хорошая статья - https://habr.com/ru/sandbox/27520/
Самый последний из способов проверки как раз таки проверяет на основе энтропии строки. Только не забудьте сделать все по уму: скачать архивчик (ссылка на сайте rumkin-a внизу) и запустить тест силы пароля в оффлайн режиме. (а если такой шифропанк как я, то после проверки не подрубая интернет перезагрузите компьютер).
Не стоит лениться и отдаваться на волю случая (взломают али нет), это не очень умно.
antikor.com.ua
Самым массовым паролем 2018 года названа простая комбинация из шести цифр. Полный список
Самым популярным паролем 2018 года стала комбинация 123456.
📌 Вы уже поддались FUD? Испугались?
Ладно, может не так сильно, как могло бы быть, но цена ниже $10.000 явно вас не особо устраивает. И у меня есть пару слов по этому поводу.
Что с битком? Почему bakkt не "выстрелил" или что пошло не так? Где долгожданный рост на новостях? Где иксы? — Подобные вопросы сейчас крутятся по всему комьюнити, неговоря уже о головах наших прекрасных коллег-трейдеров и околотого.
Давайте взглянем на ситуацию с более технической стороны, нежели с фундаментальной.
🐹 Все сейчас рисуют какой-то кривоватый треугольник.. Какие-то непонятные медвежьи мотивы, мол "наеBAKTT" не проканал, объемов нету, идет отток денег и тому подобное... Надеюсь вы чувствуете мое негодование по поводу таких вещей
Если смотреть на ситуацию "треугольниками", то я бы скорее рисовал "нисходящий", нежели "симметричный", а вообще, нынешнюю ситуацию совсем скоро все будут называть "вымпел" ну или что-то приближенное к этому.
Так что же происходит: накопление или распределение? Вспомним классиков и посмотрим на картинку. Мы находимся в стадии распределения/реаккумуляции (скорее всего еще впереди). Если проводить аналогию с картинкой из учебников, то мы в окончании стадии "повторное распределение".
Вообще, я думаю что вскоре мы услышим что это вовсе был какой-то вымпел или еще что подобное, только вы помните что после боя кулаками не машут.
Технически у нас медвежий дивер (RSI) на дневном таймфрейме, но не спешите жать на кнопку sell (short), ведь он вписывается в падающий клин на 3-х дневном таймфрейме и на недельном таймфрейме. После импульсного объемного прострела вверх (тот самый параболический рост) мы видим падающие объемы, которые свидетельствуют нам о том же распределении, что возименует себя как "коррекция". Зона интереса покупателя: 9100-9350, ниже уйти будет крайне тяжело, слишком много неудачных попыток, которые увенчались победой быков, но стоит дождаться 5-того ретеста зоны, дабы делать окончательный вывод(график на темном фоне). Пост: https://t.me/lemon_crypto/330
График на темном фоне я вам уже показывал в посте от 13-го сентября. Зеленая линия не менялась до сих пор и все еще актуальна, в точности до временных промежутков изменения ценовых амплитуд.
Изменилось:
1) Альтернативный вариант событий;
2) Ретест нисходящей трендовой прошёл в 5 раз успешно, трендовая выдержала;
Поскольку телеграм срезал всю тех. инфу, описывающую графики - оставляю самое "пикантное" для вас. Гипотезу на тёмном графике. Зеленая линия - основной сценарий, оранжевым - альтернативный, со спуском ниже зоны интереса покупателей и с последующим выходом на новые ATH этого года так точно.
⛔️ P.S. Пост был на самом деле очень большой и познавательный, но телеграм решил что писать большие посты для вас негоже и потер 70% содержимого поста (я его пытался опубликовать минут 20 назад и большая часть текста безвозвратно пропала), потому я думаю что мне стоит начать писать длиннопосты на tradingview или попробовать снять обзор рынка в видео формате. Очень важен ваш фидбэк по этому поводу, спасибо за внимание и жду ваших отзывов по этому поводу больше чем подарков от Санты. Спасибо и удачи!
Ладно, может не так сильно, как могло бы быть, но цена ниже $10.000 явно вас не особо устраивает. И у меня есть пару слов по этому поводу.
Что с битком? Почему bakkt не "выстрелил" или что пошло не так? Где долгожданный рост на новостях? Где иксы? — Подобные вопросы сейчас крутятся по всему комьюнити, неговоря уже о головах наших прекрасных коллег-трейдеров и околотого.
Давайте взглянем на ситуацию с более технической стороны, нежели с фундаментальной.
🐹 Все сейчас рисуют какой-то кривоватый треугольник.. Какие-то непонятные медвежьи мотивы, мол "наеBAKTT" не проканал, объемов нету, идет отток денег и тому подобное... Надеюсь вы чувствуете мое негодование по поводу таких вещей
Если смотреть на ситуацию "треугольниками", то я бы скорее рисовал "нисходящий", нежели "симметричный", а вообще, нынешнюю ситуацию совсем скоро все будут называть "вымпел" ну или что-то приближенное к этому.
Так что же происходит: накопление или распределение? Вспомним классиков и посмотрим на картинку. Мы находимся в стадии распределения/реаккумуляции (скорее всего еще впереди). Если проводить аналогию с картинкой из учебников, то мы в окончании стадии "повторное распределение".
Вообще, я думаю что вскоре мы услышим что это вовсе был какой-то вымпел или еще что подобное, только вы помните что после боя кулаками не машут.
Технически у нас медвежий дивер (RSI) на дневном таймфрейме, но не спешите жать на кнопку sell (short), ведь он вписывается в падающий клин на 3-х дневном таймфрейме и на недельном таймфрейме. После импульсного объемного прострела вверх (тот самый параболический рост) мы видим падающие объемы, которые свидетельствуют нам о том же распределении, что возименует себя как "коррекция". Зона интереса покупателя: 9100-9350, ниже уйти будет крайне тяжело, слишком много неудачных попыток, которые увенчались победой быков, но стоит дождаться 5-того ретеста зоны, дабы делать окончательный вывод(график на темном фоне). Пост: https://t.me/lemon_crypto/330
График на темном фоне я вам уже показывал в посте от 13-го сентября. Зеленая линия не менялась до сих пор и все еще актуальна, в точности до временных промежутков изменения ценовых амплитуд.
Изменилось:
1) Альтернативный вариант событий;
2) Ретест нисходящей трендовой прошёл в 5 раз успешно, трендовая выдержала;
Поскольку телеграм срезал всю тех. инфу, описывающую графики - оставляю самое "пикантное" для вас. Гипотезу на тёмном графике. Зеленая линия - основной сценарий, оранжевым - альтернативный, со спуском ниже зоны интереса покупателей и с последующим выходом на новые ATH этого года так точно.
⛔️ P.S. Пост был на самом деле очень большой и познавательный, но телеграм решил что писать большие посты для вас негоже и потер 70% содержимого поста (я его пытался опубликовать минут 20 назад и большая часть текста безвозвратно пропала), потому я думаю что мне стоит начать писать длиннопосты на tradingview или попробовать снять обзор рынка в видео формате. Очень важен ваш фидбэк по этому поводу, спасибо за внимание и жду ваших отзывов по этому поводу больше чем подарков от Санты. Спасибо и удачи!
#рискованные_сервисы
Стоит ввести новую рубрику, у меня под нее достаточно постов. Начнем пожалуй с бирж. Недавно вот почитал одного товарища, у которого на паре бирж блокировали средства. А именно: на HitBTC, DOBI, Cointiger, Coinbene
На HitBTC он не объяснял причину блокировки, говорит что долго с ними разбирался но в итоге биржа разблокировала его аккаунт.
DOBI засчитала ему лишних монет, и потребовала вернуть их по курсу который был на момент депозита (сейчас то альты еще сильнее упали). Товарищ отказался, и аккаунт до сих пор заморожен.
Проще всего было с биржей Cointiger - общение в поддержке по поводу безопасности и даже без КУС разморозили аккаунт.
Биржа же Coinbene с этих всех повела себя хуже всего: Товарищ купил какой то альт на одной из бирж, и перевел его к ним, затем продав. Сумма продажи была около 2.5 битка, 2 из которых он сразу же вывел (дневной лимит без КУС - 2 btc). На следующий день аккаунт с 0.5 бтц оказался заморожен, так как те монеты были "подозрительными". Товарищ прошел КУС, предоставил пруфы покупки этих монет на другой бирже, в общем все как надо. Аккаунт не разблокировали, поддержка ушла в полный игнор (раньше отвечал человек сейчас только бот)
Следовательно, в связи с вышесказанным крайне не рекомендую биржу Coinbene
Еще советую помнить, что заблокировать и отморозиться может любая биржа, так любил делать Poloniex раньше (его тоже не советую, будет отдельный пост по этой мутной бирже). Поэтому, на биржах можно торговать, а любые излишки должны немедленно выводиться на оффлайновый кошелек. Лучше потерять 10 баксов на комиссиях, чем все средства из-за хитрости неких ребят.
Стоит ввести новую рубрику, у меня под нее достаточно постов. Начнем пожалуй с бирж. Недавно вот почитал одного товарища, у которого на паре бирж блокировали средства. А именно: на HitBTC, DOBI, Cointiger, Coinbene
На HitBTC он не объяснял причину блокировки, говорит что долго с ними разбирался но в итоге биржа разблокировала его аккаунт.
DOBI засчитала ему лишних монет, и потребовала вернуть их по курсу который был на момент депозита (сейчас то альты еще сильнее упали). Товарищ отказался, и аккаунт до сих пор заморожен.
Проще всего было с биржей Cointiger - общение в поддержке по поводу безопасности и даже без КУС разморозили аккаунт.
Биржа же Coinbene с этих всех повела себя хуже всего: Товарищ купил какой то альт на одной из бирж, и перевел его к ним, затем продав. Сумма продажи была около 2.5 битка, 2 из которых он сразу же вывел (дневной лимит без КУС - 2 btc). На следующий день аккаунт с 0.5 бтц оказался заморожен, так как те монеты были "подозрительными". Товарищ прошел КУС, предоставил пруфы покупки этих монет на другой бирже, в общем все как надо. Аккаунт не разблокировали, поддержка ушла в полный игнор (раньше отвечал человек сейчас только бот)
Следовательно, в связи с вышесказанным крайне не рекомендую биржу Coinbene
Еще советую помнить, что заблокировать и отморозиться может любая биржа, так любил делать Poloniex раньше (его тоже не советую, будет отдельный пост по этой мутной бирже). Поэтому, на биржах можно торговать, а любые излишки должны немедленно выводиться на оффлайновый кошелек. Лучше потерять 10 баксов на комиссиях, чем все средства из-за хитрости неких ребят.
#защита_инвестиций
Меня недавно спросили, нормальный ли кошелек Exodus и кинули в такой вот текст:
"Exodus это один из очень немногих кошельков который еще ниразу никто не смог взломать (привет jaxx))). Упор разработчики делают не на красоту, а не его безопасность от взлома. Он не хранит приватные ключи у себя, только локально на устройстве пользователя (с шифрацией) где он установлен (привет coinbase, который все хранит у себя). Дизайн это лишь маленький бонус. 100+ валют (привет архаичный electrum ))) Внутренний обменник валют Кроссплатформенный Win\Linux\Apple\Android Не требует ни какой идентификации и без территориальных запретов (привет coinbase с его kyc). Поддерживает все известные стаблкоины в том числе Dai и Pax. Поддерживает eth, eos, waves, bancor (куда в принципе можно закидывать токены основанные на этих платформах). Есть функционал по экспорту приватных ключей (2 клика мышкой на ПК) (привет coinomi и др. октуда их не вытащить ). Поддержка аппаратных кошельков trezor"
Ну что можно по поводу этого сказать? Для начала самый забавный факт: код этого кошелька закрыт. Нет гитхаба. Тоесть, все эти уровни защиты вполне могут быть взломаны одним кликом с админского сервера. Ведь невозможно проверить что они там программировали. А учитывая что это коммерческая компания, скорее всего у них на продукт патент, и если я допустим декомпилирую их программу (разберу готовый файл на исходники) проверю его и скажу публично что скам, то меня еще можно засудить за неправомерное использование. Тот же blockchain.info имеет открытый исходный код.
При этом, я не считаю что кошелек скам. Если он удобен, то его можно использовать для хранения и конвертации мелких сумм (тоесть тех, которые вам не жалко потерять).
Притом, лично мне не понравилось что ключи можно экспортировать только тогда, когда ты что-то закинул на этот кошелек. В том же "старомодном" Electrum ты их можешь получить в любую минуту, а не тогда когда положишь туда бабло.
Но самый главный момент для проверки разного рода кошельков это конечно же возможность получить свои приватные ключи / сид фразу. Если все слишком сложно, или такой возможности нет - значит стоит воздержаться от использования, плевать насколько удобный кошелек и сколько валют в нем поддерживается. Ведь в таком случае это считай не ваш кошелек, а кошелек в кармане доброго дяди куда вам предлагают ложить свои деньги. И в отличии от тех же банков, никто никаких гарантий и обязанностей конечно же не несет.
Так что запомните: "Not your keys, not your money"
Меня недавно спросили, нормальный ли кошелек Exodus и кинули в такой вот текст:
"Exodus это один из очень немногих кошельков который еще ниразу никто не смог взломать (привет jaxx))). Упор разработчики делают не на красоту, а не его безопасность от взлома. Он не хранит приватные ключи у себя, только локально на устройстве пользователя (с шифрацией) где он установлен (привет coinbase, который все хранит у себя). Дизайн это лишь маленький бонус. 100+ валют (привет архаичный electrum ))) Внутренний обменник валют Кроссплатформенный Win\Linux\Apple\Android Не требует ни какой идентификации и без территориальных запретов (привет coinbase с его kyc). Поддерживает все известные стаблкоины в том числе Dai и Pax. Поддерживает eth, eos, waves, bancor (куда в принципе можно закидывать токены основанные на этих платформах). Есть функционал по экспорту приватных ключей (2 клика мышкой на ПК) (привет coinomi и др. октуда их не вытащить ). Поддержка аппаратных кошельков trezor"
Ну что можно по поводу этого сказать? Для начала самый забавный факт: код этого кошелька закрыт. Нет гитхаба. Тоесть, все эти уровни защиты вполне могут быть взломаны одним кликом с админского сервера. Ведь невозможно проверить что они там программировали. А учитывая что это коммерческая компания, скорее всего у них на продукт патент, и если я допустим декомпилирую их программу (разберу готовый файл на исходники) проверю его и скажу публично что скам, то меня еще можно засудить за неправомерное использование. Тот же blockchain.info имеет открытый исходный код.
При этом, я не считаю что кошелек скам. Если он удобен, то его можно использовать для хранения и конвертации мелких сумм (тоесть тех, которые вам не жалко потерять).
Притом, лично мне не понравилось что ключи можно экспортировать только тогда, когда ты что-то закинул на этот кошелек. В том же "старомодном" Electrum ты их можешь получить в любую минуту, а не тогда когда положишь туда бабло.
Но самый главный момент для проверки разного рода кошельков это конечно же возможность получить свои приватные ключи / сид фразу. Если все слишком сложно, или такой возможности нет - значит стоит воздержаться от использования, плевать насколько удобный кошелек и сколько валют в нем поддерживается. Ведь в таком случае это считай не ваш кошелек, а кошелек в кармане доброго дяди куда вам предлагают ложить свои деньги. И в отличии от тех же банков, никто никаких гарантий и обязанностей конечно же не несет.
Так что запомните: "Not your keys, not your money"
Дополнение к посту:
В лс соавтору поступило чудесное утверждение, мол "у скольких кошельков были все эти твои ключи и сиды, а потом закрыли вывод"
Здесь есть два варианта: человек или перепутал кошелек с биржей или же вообще не знает даже основ криптовалют. А может быть и двойное попадание.
Немножко объясню: средства которые лежат на бирже - не ваши
Это перекликается с прошлым утверждением Not your keys, not your money
Приватные ключи от холодных кошельков биржи вам не принадлежат. Вам на бирже вообще ни хрена не принадлежит, вы это знали? Вас просто пускают попользоваться сервисом обмена виртуальных циферок ( это так и написано в любом ToS любой биржи )
Когда вы делаете вывод, вы просто оформляете заявку на вывод, вам ее могут одобрить а могут и послать. Ключи же есть только у хозяина биржи, и вот он полный владелец всех средств. Может делать что пожелает, хоть со всем баблом в Китай убежать (как сделал хозяин некогда известной биржи Cryptsy)
Второй вариант, это когда человек не разобрался с самыми основами криптовалют, и вообще не понимает что и как происходит. Такой типаж это основной корм хакеров, и других нехороших личностей, так как не зная основы, влететь на условные 1.9 биткоина проще простого.
Вы никогда не задумывались как вообще отправляются транзакции?
Первый совет: советую их представлять как луч света замороженный во льду
Да да, надо понять что не существует никаких "балансов" и "кошельков" по своей сути в криптовалютах.
Вот в банке как? Вы пришли, положили деньги в ячейку и все. Вы можете их оттуда забрать, или же например вам не дадут их оттуда забрать. В биткоине все немного иначе: То, что у вас сейчас условно 2 биткоина на каком то адресе не значит что они лежат в какой то ячейке, даже виртуальной. Они как бы застыли в пространстве, но цель у них одна - быть потраченными (как у любой игровой сессии GTA).
Когда они тратятся, то происходит две вещи: проверяется подлинность владения и дается инструкция для следующей траты
Пока не буду углубляться в подробности (приберегу для следующего поста) но вот именно для первого пункта и нужен приватный ключ. И имея его никто вам не помешает ничего потратить, так как по сути это просто криптографическое число, вы его можете ввести куда угодно и откуда угодно сформировать транзакцию.
Поэтому утверждение в стиле "ну что, сынку, помогли тебе твои приватные ключи, вывод то закрыли" не имеет смысла. Оно ложно, так как проистекает или из путаницы или из незнания.
В лс соавтору поступило чудесное утверждение, мол "у скольких кошельков были все эти твои ключи и сиды, а потом закрыли вывод"
Здесь есть два варианта: человек или перепутал кошелек с биржей или же вообще не знает даже основ криптовалют. А может быть и двойное попадание.
Немножко объясню: средства которые лежат на бирже - не ваши
Это перекликается с прошлым утверждением Not your keys, not your money
Приватные ключи от холодных кошельков биржи вам не принадлежат. Вам на бирже вообще ни хрена не принадлежит, вы это знали? Вас просто пускают попользоваться сервисом обмена виртуальных циферок ( это так и написано в любом ToS любой биржи )
Когда вы делаете вывод, вы просто оформляете заявку на вывод, вам ее могут одобрить а могут и послать. Ключи же есть только у хозяина биржи, и вот он полный владелец всех средств. Может делать что пожелает, хоть со всем баблом в Китай убежать (как сделал хозяин некогда известной биржи Cryptsy)
Второй вариант, это когда человек не разобрался с самыми основами криптовалют, и вообще не понимает что и как происходит. Такой типаж это основной корм хакеров, и других нехороших личностей, так как не зная основы, влететь на условные 1.9 биткоина проще простого.
Вы никогда не задумывались как вообще отправляются транзакции?
Первый совет: советую их представлять как луч света замороженный во льду
Да да, надо понять что не существует никаких "балансов" и "кошельков" по своей сути в криптовалютах.
Вот в банке как? Вы пришли, положили деньги в ячейку и все. Вы можете их оттуда забрать, или же например вам не дадут их оттуда забрать. В биткоине все немного иначе: То, что у вас сейчас условно 2 биткоина на каком то адресе не значит что они лежат в какой то ячейке, даже виртуальной. Они как бы застыли в пространстве, но цель у них одна - быть потраченными (как у любой игровой сессии GTA).
Когда они тратятся, то происходит две вещи: проверяется подлинность владения и дается инструкция для следующей траты
Пока не буду углубляться в подробности (приберегу для следующего поста) но вот именно для первого пункта и нужен приватный ключ. И имея его никто вам не помешает ничего потратить, так как по сути это просто криптографическое число, вы его можете ввести куда угодно и откуда угодно сформировать транзакцию.
Поэтому утверждение в стиле "ну что, сынку, помогли тебе твои приватные ключи, вывод то закрыли" не имеет смысла. Оно ложно, так как проистекает или из путаницы или из незнания.
#защита_инвестиций
А теперь вернемся к рубрике "Было лень, сэкономил время":
"I felt something weird like 3 hours ago when my friend sent me his bitcoin wallet to send him around $1k for his services, so what I did I came online quick copied his Bitcoin address quickly pasted it in the blockchain send form, writed 1000, then I hitted send from then I went offline I came back He was like nothing was recevied I checked his bitcoin address and nothing was there, I checked my online wallet and I found out that it was sent to a different Bitcoin address with the same first words!
"(14wE)FYsvqiTDXA6ru9rV6xiS1gkxHTioVy" the address I wanted to send to, I'm sure I copied & pasted it I am 100% sure now I see that the bitcoins are sent to different wallet which " (14wE)ycrQ2eb1DAbh51z4oQ3AYCA12Qeitm" Now the bitcoins are lost, because the guy claims it's not his address"
Для людей плохо владеющих английским коротко объясню: Человек скопировал адрес для отправки другу 1 тысячи долларов, вставил в строку отправки, проверил первые 3 цифры и спокойно отправил средства... Хакеру
Я помню раньше писал о такой веселой штуке как clipping malware где то на канале есть пост. Могу вас обрадовать: технологии не стоят на месте, и эта малварь не исключение! Если раньше адрес заменялся рандомным адресом злоумышленника, и на такое попадались совсем не внимательные, то сейчас малварь имеет некую базу адресов, которую она парсит сравнивая самый подходящий (по первой паре знаков) адрес и уже его дает жертве. Чем не радость за прогресс, а?
Не буду многословен, как защититься от такого:
1. Копировать адрес 2мя частями. Малварь или вообще не вставит свой адрес (она ведь сверяет передаваемую в буфер обмена строку, иначе вирус бы детектился на обычном копипастинге порно запросов). Этот способ не вечный, скоро прогресс родит нам малварей которые свой адрес тоже будут по частям вставлять.
2. (Более действенный) Как можно заметить, совпали только первые четыре знака, дальше идет белиберда. Очевидно, что удел совпадения это 4-5 знаков впереди или в конце адреса. Поэтому необходимо сверять 4-5 знаков в начале и 4-5 знаков в конце. Можно еще и букву по стрелке выбрать, но это лишнее.
Вероятность совпадения первых знаков и последних в адресах где то на уровне вероятности зомби апокалипсиса или инопланетного вторжения. Без шуток.
И главный, 3й пункт - НЕ ЛЕНИТЕСЬ. Товарищ поленился, и задонатил 1000 баксов парню который не поленился создать малварь. Хорошая мотивация не лениться, правда? :)
Ссылка для более глубокого ознакомления: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/
А теперь вернемся к рубрике "Было лень, сэкономил время":
"I felt something weird like 3 hours ago when my friend sent me his bitcoin wallet to send him around $1k for his services, so what I did I came online quick copied his Bitcoin address quickly pasted it in the blockchain send form, writed 1000, then I hitted send from then I went offline I came back He was like nothing was recevied I checked his bitcoin address and nothing was there, I checked my online wallet and I found out that it was sent to a different Bitcoin address with the same first words!
"(14wE)FYsvqiTDXA6ru9rV6xiS1gkxHTioVy" the address I wanted to send to, I'm sure I copied & pasted it I am 100% sure now I see that the bitcoins are sent to different wallet which " (14wE)ycrQ2eb1DAbh51z4oQ3AYCA12Qeitm" Now the bitcoins are lost, because the guy claims it's not his address"
Для людей плохо владеющих английским коротко объясню: Человек скопировал адрес для отправки другу 1 тысячи долларов, вставил в строку отправки, проверил первые 3 цифры и спокойно отправил средства... Хакеру
Я помню раньше писал о такой веселой штуке как clipping malware где то на канале есть пост. Могу вас обрадовать: технологии не стоят на месте, и эта малварь не исключение! Если раньше адрес заменялся рандомным адресом злоумышленника, и на такое попадались совсем не внимательные, то сейчас малварь имеет некую базу адресов, которую она парсит сравнивая самый подходящий (по первой паре знаков) адрес и уже его дает жертве. Чем не радость за прогресс, а?
Не буду многословен, как защититься от такого:
1. Копировать адрес 2мя частями. Малварь или вообще не вставит свой адрес (она ведь сверяет передаваемую в буфер обмена строку, иначе вирус бы детектился на обычном копипастинге порно запросов). Этот способ не вечный, скоро прогресс родит нам малварей которые свой адрес тоже будут по частям вставлять.
2. (Более действенный) Как можно заметить, совпали только первые четыре знака, дальше идет белиберда. Очевидно, что удел совпадения это 4-5 знаков впереди или в конце адреса. Поэтому необходимо сверять 4-5 знаков в начале и 4-5 знаков в конце. Можно еще и букву по стрелке выбрать, но это лишнее.
Вероятность совпадения первых знаков и последних в адресах где то на уровне вероятности зомби апокалипсиса или инопланетного вторжения. Без шуток.
И главный, 3й пункт - НЕ ЛЕНИТЕСЬ. Товарищ поленился, и задонатил 1000 баксов парню который не поленился создать малварь. Хорошая мотивация не лениться, правда? :)
Ссылка для более глубокого ознакомления: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/
BleepingComputer
Clipboard Hijacker Malware Monitors 2.3 Million Bitcoin Addresses
While we have covered cryptocurrency clipboard hijackers in the past, most of the previous samples monitored for 400-600 thousand cryptocurrency addresses. This week BleepingComputer noticed a sample of this type of malware that monitors for a over 2.3 million…
#полезные_сервисы
Был на отдыхе, поэтому довольно долго не писал. Буду исправляться, а сейчас поговорим об одной неимоверно полезной программе.
KeePassXC
Это менеджер паролей который позволяет хранить все пароли, а также генерировать сильные пароли одинаково сильные для взлома машиной и человеком (помним по прошлым постам, что сложный пароль для компа это не всегда сложно для взлома словарем и наоборот?) и много чего полезного еще (например оставлять заметки напротив использованных паролей)
Почему важно иметь менеджер паролей?
- Чтобы знать где какой пароль используешь
- Чтобы генерировать криптографически сильные пароли
- Чтобы не запутаться с хранением кучи паролей.
Программа имеет открытый исходный код, для генерации паролей использует OpenSSL несколько форков и долгую историю, что предполагает ее надежность.
Самый главный момент, это как всегда установка. В идеале чистый комп (мы что, богачи?) ну или хотя бы комп на Линуксе (мы что, очкастые задроты?) ну ладно, хотя бы комп где у вас стоит песочница (благодаря моим прошлым постам) и порнуху смотреть вы лазите через нее . Надеюсь на последний пункт у вас выполнен, в основном все вирусы именно там :0
Так вот, переходим на офф сайт https://keepassxc.org и качаем под вашу операционку установочный файл. Ой, стоп, мы же забыли главное (по крайней мере в случае если вы собираетесь устанавливать программу где будете хранить все пароли) - проверка подписи файлов.
У вас к этому моменту по хорошему должно быть gpg (в посте за 7е сентября, ищите по ключевым словам) и проверка подписи у вас не должна занять много времени. Переходим сюда:
https://keepassxc.org/verifying-signatures/
Прокручиваем в самый низ, там будут публичные ключи для импорта, импортируем а потом сверяем подпись файла. И только тогда устанавливаем.
Иначе, повторяем с пункта -1: Установка PGP/GPG
После проверки идет обычная установка, да и в интернете можно найти гайды использования. Важный только один момент: при запуске для хранилища ключей у вас попросит создать сильный пароль. Ребята, сильный пароль это 80+ бит энтропии. А если на людском, то 18+ символов, верхние/нижние регистры, цифры, знаки и главное о чем не упоминают: нельзя подряд писать один и тот же символ. Например пароль "1488Lol" по энтропии не будет отличаться от "148Lol". Тоесть не писать подряд один символ больше двух раз, и конечно не использовать никаких "крылатых фраз".
Сразу после этого вам будут доступны все плюсы менеджера паролей.
Был на отдыхе, поэтому довольно долго не писал. Буду исправляться, а сейчас поговорим об одной неимоверно полезной программе.
KeePassXC
Это менеджер паролей который позволяет хранить все пароли, а также генерировать сильные пароли одинаково сильные для взлома машиной и человеком (помним по прошлым постам, что сложный пароль для компа это не всегда сложно для взлома словарем и наоборот?) и много чего полезного еще (например оставлять заметки напротив использованных паролей)
Почему важно иметь менеджер паролей?
- Чтобы знать где какой пароль используешь
- Чтобы генерировать криптографически сильные пароли
- Чтобы не запутаться с хранением кучи паролей.
Программа имеет открытый исходный код, для генерации паролей использует OpenSSL несколько форков и долгую историю, что предполагает ее надежность.
Самый главный момент, это как всегда установка. В идеале чистый комп (мы что, богачи?) ну или хотя бы комп на Линуксе (мы что, очкастые задроты?) ну ладно, хотя бы комп где у вас стоит песочница (благодаря моим прошлым постам) и порнуху смотреть вы лазите через нее . Надеюсь на последний пункт у вас выполнен, в основном все вирусы именно там :0
Так вот, переходим на офф сайт https://keepassxc.org и качаем под вашу операционку установочный файл. Ой, стоп, мы же забыли главное (по крайней мере в случае если вы собираетесь устанавливать программу где будете хранить все пароли) - проверка подписи файлов.
У вас к этому моменту по хорошему должно быть gpg (в посте за 7е сентября, ищите по ключевым словам) и проверка подписи у вас не должна занять много времени. Переходим сюда:
https://keepassxc.org/verifying-signatures/
Прокручиваем в самый низ, там будут публичные ключи для импорта, импортируем а потом сверяем подпись файла. И только тогда устанавливаем.
Иначе, повторяем с пункта -1: Установка PGP/GPG
После проверки идет обычная установка, да и в интернете можно найти гайды использования. Важный только один момент: при запуске для хранилища ключей у вас попросит создать сильный пароль. Ребята, сильный пароль это 80+ бит энтропии. А если на людском, то 18+ символов, верхние/нижние регистры, цифры, знаки и главное о чем не упоминают: нельзя подряд писать один и тот же символ. Например пароль "1488Lol" по энтропии не будет отличаться от "148Lol". Тоесть не писать подряд один символ больше двух раз, и конечно не использовать никаких "крылатых фраз".
Сразу после этого вам будут доступны все плюсы менеджера паролей.
keepassxc.org
KeePassXC Password Manager
Как то упустил интересную историю.
Цитата:
"С нами связались представители обменника SmartWM.ru и предоставили детальную информацию по инциденту (https://t.me/dataleak/1305):
Злоумышленник, осуществивший атаку, угрожал и требовал выкуп; после неудовлетворения озвученных им условий упомянутое неустановленное лицо выставило на продажу массив данных.
Мы провели мероприятия по уведомлению клиентов, чьи данные (например, адрес электронной почты, ФИО, номер паспорта), могли быть скомпрометированы"
Ну тоесть то, о чем много раз говорил я: надейтесь только на себя. Вот прошли вы КУС на обменнике (чтобы получить 0.005 % кэшбека с каждого вывода ваших 0.001 btc) а они подверглись атаке хакера и хоп, все ваши данные попали в сеть. Почему данные попадут в сеть с вероятностью 90 % ? Очень просто. Вы читали пользовательское соглашение хотя бы у одного обменника хотя бы раз? я вот постоянно читаю. Они довольно однотипные, но я написал маленький парсер который выделяет особенно интересные пункты у некоторых. Например у одного обменника (не буду светить названием, но один из новых на bestchange) есть пункт который звучит вот так:
"Сервис оставляет за собой право собирать дополнительную информацию о клиенте. Сервис обязуется сохранять ее и не передавать третьим лицам за исключением пунктов бла бла бла"
Ну тоесть, пользуясь обменником вы соглашаетесь с тем, что он может шпионить за вами вплоть до найма частных детективов. С одной стороны ничего вроде бы страшного, хранить же только у себя будет. С другой стороны, как видно, обменники и прочие биржи иногда взламывают
Ну вот накопали на вас инфы, обменник взломали и все данные о вас появились в даркнете по цене 0.1 бтц за 20 гигабайт информации. Притом, у 99 % обменников есть пункт что обменник не несет никакой ответственности за случаи от них "не зависящие". Вот взломали их, данные угнали, а им плевать на самом деле. Все жертвы прав никаких не имеют, сами согласились с условиями, никто не принуждал.
Вот и получается что в проигрыше в случае чего будете только вы.
Так что в следующий раз подумайте, прежде чем проходить очередной КУС на очередном "супер выгодном" обменнике. Может оказаться что оно того не стоит.
Цитата:
"С нами связались представители обменника SmartWM.ru и предоставили детальную информацию по инциденту (https://t.me/dataleak/1305):
Злоумышленник, осуществивший атаку, угрожал и требовал выкуп; после неудовлетворения озвученных им условий упомянутое неустановленное лицо выставило на продажу массив данных.
Мы провели мероприятия по уведомлению клиентов, чьи данные (например, адрес электронной почты, ФИО, номер паспорта), могли быть скомпрометированы"
Ну тоесть то, о чем много раз говорил я: надейтесь только на себя. Вот прошли вы КУС на обменнике (чтобы получить 0.005 % кэшбека с каждого вывода ваших 0.001 btc) а они подверглись атаке хакера и хоп, все ваши данные попали в сеть. Почему данные попадут в сеть с вероятностью 90 % ? Очень просто. Вы читали пользовательское соглашение хотя бы у одного обменника хотя бы раз? я вот постоянно читаю. Они довольно однотипные, но я написал маленький парсер который выделяет особенно интересные пункты у некоторых. Например у одного обменника (не буду светить названием, но один из новых на bestchange) есть пункт который звучит вот так:
"Сервис оставляет за собой право собирать дополнительную информацию о клиенте. Сервис обязуется сохранять ее и не передавать третьим лицам за исключением пунктов бла бла бла"
Ну тоесть, пользуясь обменником вы соглашаетесь с тем, что он может шпионить за вами вплоть до найма частных детективов. С одной стороны ничего вроде бы страшного, хранить же только у себя будет. С другой стороны, как видно, обменники и прочие биржи иногда взламывают
Ну вот накопали на вас инфы, обменник взломали и все данные о вас появились в даркнете по цене 0.1 бтц за 20 гигабайт информации. Притом, у 99 % обменников есть пункт что обменник не несет никакой ответственности за случаи от них "не зависящие". Вот взломали их, данные угнали, а им плевать на самом деле. Все жертвы прав никаких не имеют, сами согласились с условиями, никто не принуждал.
Вот и получается что в проигрыше в случае чего будете только вы.
Так что в следующий раз подумайте, прежде чем проходить очередной КУС на очередном "супер выгодном" обменнике. Может оказаться что оно того не стоит.
Telegram
Утечки информации
Неизвестные заявляют (https://btcfile.link/f/3zGVyLNEMPQGF4iGpFRomHzWge6x), что им удалось завладеть полным дампом базы данных сети обменников «электронных» (Webmoney, Яндекс.Денег, Qiwi и др.) денег SmartWM.ru (включая yandex-id.com, smartid.live, smartwm.biz…
Crypto Lemon
Глобально. Ожидаю еще одно (скорее всего финальное) снижение к 0.5 коррекции всего этого роста. Своеобразный дивер, относительно доминации, объемов и ценового движения BTC. Ранее я уже писал что подобный "параболический" рост корректируется к 200 МА…
На протяжении всего коррекционного движения наблюдаем падающие объемы, что сигнализирует о слабости тренда.
Волновая структура индекса доминации биткоина, предложенная ранее (реплайнутый пост) отыграла себя на 5/5, в краткосрочных ожиданиях лонг.
Лично я беру лонг со стопом 7910, первый таргет в районе 9к, дальше буду смотреть по ситуации.
Так же начинаю просматривать фрактал, если пойдем на снижение, вопреки моим ожиданиям - буду торговать его (он подразумевает падение еще на 15-20%), а пока он не сформирован - торгуем то что дает рынок.
Волновая структура индекса доминации биткоина, предложенная ранее (реплайнутый пост) отыграла себя на 5/5, в краткосрочных ожиданиях лонг.
Лично я беру лонг со стопом 7910, первый таргет в районе 9к, дальше буду смотреть по ситуации.
Так же начинаю просматривать фрактал, если пойдем на снижение, вопреки моим ожиданиям - буду торговать его (он подразумевает падение еще на 15-20%), а пока он не сформирован - торгуем то что дает рынок.
Объявилась интересная новость, что Binance запустит у себя на платформе российский рубль (так сказал CZ у себя в твиттере). Очевидно что все будет официально, с уплатой налогов конторы российскому государству, а главное - предоставление всей нужной информации по пользователям из РФ. Так что, как говорится в пословице "Воронежу приготовиться". Везучие получат письма счастья с просьбой уплатить налоги, а особо везучие и зажиточные "безработные" - костюмированные маски шоу прямо на дом )))
История одного такого:
https://www.rbc.ru/society/12/07/2019/5d2832b89a7947ceda902184?utm_source=tw_rbc
История одного такого:
https://www.rbc.ru/society/12/07/2019/5d2832b89a7947ceda902184?utm_source=tw_rbc
РБК
Потерпевшим по делу о налетчиках из ФСБ и ₽136 млн оказался безработный
Потерпевшим в деле о налете офицеров ФСБ, похитивших 136 млн руб., признали 33-летнего безработного жителя панельной девятиэтажки на юго-западе Москвы. Возможный организатор нападения исчез вместе с
#защита_инвестиций
Так ребята, кто из вас любит хранить крипту не на специальных аппаратных кошельках или же дома на ноутбуке, а например на телефоне, а?)
Ну думаю не мало людей, оно ведь и понятно: мобильно (извиняйте за каламбур), удобно, быстрый доступ, просто и понятно.
А как вам тогда понравится подбородка вот таких вот новостей, а?
Парень сдал в ремонт айфон, с него пропали биткоины на сумму 250 тысяч долларов:
https://ain.ua/2019/04/03/s-iphone-ugnali-bitcoiny/
Киберполицейские изъяли телефон у подозреваемого. После этого с него пропали $7400 в биткоинах: https://t.co/h4FbwVviPT
И это как вы понимаете первые две верхние ссылки в выдаче поиска. Дальше там тоже полно интересностей насчет разных способов воровства с мобильных телефонов всего что можно.
Нужно понимать, что некоторые вещи не совмещаются. Например, нельзя совместить мультизадачность, удобство и простоту с безопасностью и надежностью. Никакой смартфон никогда (здесь я имею ввиду ближайшее будущее) не будет иметь все это вместе. По многим причинам.
К примеру чем чаще используется девайс, тем выше вероятность потери средств (по любому поводу, будь то вирус или мусора из киберполиции), при этом (!!!) у смартфонов нет защиты от ошибок (в первую очередь от хозяина) назовем это так. В аппаратном кошельке к примеру есть устойчивость ко взлому ввиде собственно защиты программной, а также защиты от дурака которая выражается в невозможности использовать его не по назначению (не залезете же вы на зараженный порносайт с Леджера?)
Смартфон это всегда основная цель программных атак (Андроид дырявый), цель кражи (гопники на улице или менты), он всегда подвержен опасности взлома "сервисными работниками" (те же гопники только в форме). При этом его нельзя спрятать. Леджер или даже обычная шифрованная флешка этому всему не подвержена (даже обыску, все ведь смотрели Криминальное Чтиво и помнят сцену с часами? )
Так что не майтесь глупостями. Храните все там, где для этого лучшие условия или же держите на телефоне те суммы которые не жалко потерять (ну мб вам и 250к не жалко, кто ж вас знает).
Это все я написал в преддверии выхода нового супер секьюрного телефона HTC со встроенной нодой Core (спойлер: полная херня из-за выше сказанного , к тому же ноду можно перекомпилить как угодно, а потом не поедете же вы судиться с Тайванем, а?)
Так ребята, кто из вас любит хранить крипту не на специальных аппаратных кошельках или же дома на ноутбуке, а например на телефоне, а?)
Ну думаю не мало людей, оно ведь и понятно: мобильно (извиняйте за каламбур), удобно, быстрый доступ, просто и понятно.
А как вам тогда понравится подбородка вот таких вот новостей, а?
Парень сдал в ремонт айфон, с него пропали биткоины на сумму 250 тысяч долларов:
https://ain.ua/2019/04/03/s-iphone-ugnali-bitcoiny/
Киберполицейские изъяли телефон у подозреваемого. После этого с него пропали $7400 в биткоинах: https://t.co/h4FbwVviPT
И это как вы понимаете первые две верхние ссылки в выдаче поиска. Дальше там тоже полно интересностей насчет разных способов воровства с мобильных телефонов всего что можно.
Нужно понимать, что некоторые вещи не совмещаются. Например, нельзя совместить мультизадачность, удобство и простоту с безопасностью и надежностью. Никакой смартфон никогда (здесь я имею ввиду ближайшее будущее) не будет иметь все это вместе. По многим причинам.
К примеру чем чаще используется девайс, тем выше вероятность потери средств (по любому поводу, будь то вирус или мусора из киберполиции), при этом (!!!) у смартфонов нет защиты от ошибок (в первую очередь от хозяина) назовем это так. В аппаратном кошельке к примеру есть устойчивость ко взлому ввиде собственно защиты программной, а также защиты от дурака которая выражается в невозможности использовать его не по назначению (не залезете же вы на зараженный порносайт с Леджера?)
Смартфон это всегда основная цель программных атак (Андроид дырявый), цель кражи (гопники на улице или менты), он всегда подвержен опасности взлома "сервисными работниками" (те же гопники только в форме). При этом его нельзя спрятать. Леджер или даже обычная шифрованная флешка этому всему не подвержена (даже обыску, все ведь смотрели Криминальное Чтиво и помнят сцену с часами? )
Так что не майтесь глупостями. Храните все там, где для этого лучшие условия или же держите на телефоне те суммы которые не жалко потерять (ну мб вам и 250к не жалко, кто ж вас знает).
Это все я написал в преддверии выхода нового супер секьюрного телефона HTC со встроенной нодой Core (спойлер: полная херня из-за выше сказанного , к тому же ноду можно перекомпилить как угодно, а потом не поедете же вы судиться с Тайванем, а?)
AIN.UA
Киевский айтишник сдал iPhone в ремонт в Бруклине − с него пропали $258 000 в биткоинах
Весной прошлого года киевский айтишник Игорь (попросил не указывать свои личные данные) сдал свой iPhone в ремонт в Бруклине. Смартфон признали нерабочим и выдали Игорю новый. На старом было установлено приложение для хранения криптовалюты. Владелец сильно…
Интересная вот информация подкатила, думаю стоит уделить ей внимание:
Новость
Короче все как всегда - старый добрый фишинг с помощью "срочной обновы".
В реальности, ни сайт и обновы Трезора ни Леджера никогда не просят пин коды или сид фразы, важно это помнить. И быть внимательным
Новость
Короче все как всегда - старый добрый фишинг с помощью "срочной обновы".
В реальности, ни сайт и обновы Трезора ни Леджера никогда не просят пин коды или сид фразы, важно это помнить. И быть внимательным
Medium
ВНИМАНИЕ! Фишинг для владельцев аппаратных устройств Ledger
Пару часов назад я получил мейл, в котором говорится о проблемах с чипами у Ledger Nano S и Ledger Nano X…
К нам в чат подвезли интересный конкурс.
Суть его заключается в том что биржа (ноунейм) тестирует тестнет и что бы подтянуть юзеров сделала "батлы". Тот, кто наберет самый большой профит за 4 дня - победил и поулчает приз - 0.5 BTC, второе место - 0.2 BTC.
Для тех, кому не интересны батлы, но он только практикуется в трейдинге - можно побаловаться в тестнете. Там дают 10 битков и плечи (биток х100, эфир х50). Торгуются только фьючи на биток и кефир,
Ссылка: https://testnet.interdax.com/app/battles/the-namek-tenkaichi-budokai
Код для участия: FIGHTME
Суть его заключается в том что биржа (ноунейм) тестирует тестнет и что бы подтянуть юзеров сделала "батлы". Тот, кто наберет самый большой профит за 4 дня - победил и поулчает приз - 0.5 BTC, второе место - 0.2 BTC.
Для тех, кому не интересны батлы, но он только практикуется в трейдинге - можно побаловаться в тестнете. Там дают 10 битков и плечи (биток х100, эфир х50). Торгуются только фьючи на биток и кефир,
Ссылка: https://testnet.interdax.com/app/battles/the-namek-tenkaichi-budokai
Код для участия: FIGHTME
#важно #мелкие_советы
В чате задали вопрос как можно экспортировать приватные ключи и сид из Bitcoin Core кошелька. Сам вопрос не сложный и гуглится очень быстро, но есть некоторые моменты которые было бы неплохо объяснить в контексте этой задачи.
В начале необходимо перейти в консоль Core. Делается это очень просто: Во вкладке "Window" кликаем на пункт "Console".
Далее, чтобы сдампить приватный ключ от конкретного адреса нам понадобится команда:
Dumpprivkey "address"
Результат команды мы получим в текстовый файл который появится в папке кошелька. (Ничего сложного, правда?)
А вот с сидом ситуация состоит поинтересней. Сама команда экспорта также проста, но ирония в том, что Bitcoin Core это довольно консервативный кошелек, так что никаких 12/24 слов (мнемонику) вы там
Так вот, когда мы ведем команду:
Dumpwallet "wallet_name"
Мы в результате получим json файл (формат хранения данных) который в себе будет хранить большое, 256ти (или 128ми, забыл чуть чуть, память подводит) битное число, которым по сути и является сид.
В принципе с одной стороны все, сид можно записать на бумажку, сфотографировать, закопать в огороде или отправить на Луну. Но очевидно, что формат сида не очень удобный для таких операций, и понятное дело что его нельзя запомнить (в отличии от мнемоники). Здесь я расскажу о маленьком лайфхаке, как сид Bitcoin Core превратить в мнемонику.
Важно понимать, что Коровский сид это высокоэнтропийное (высоко энтропийное ==хаотичное и непредсказуемое) число, не более, которое используется для генерации веток мастер ключей (xpriv) (макчимальное количество xpriv - 2^32) а те в свою очередь для генерации веток приватных ключей (каждый xpriv может сгенерировать 2^32 приватников в своей ветке). Получается аналогия с деревом, где сид это ствол, мастер ключи это ветки, а обычные приватники это листья.
В BIP39 по сути тоже самое, только из сида генерится мнемоника а уже из нее - мастер ключи. Как можно понять, сид формата BIP32 можно перевести в мнемонику формата BIP39.
Необходимые шаги:
1. Получить сид из Bitcoin Core
2. Перевести его в hex формат (16я система счисления)
3. Использовать результат как энтропию при генерации 12/24 слов в BIP39
3й пункт можно выполнить вот здесь - https://iancoleman.io/bip39/ Проверенный сервис, но я думаю вы помните меры предосторожности: скачать архив с гитхаба (там внизу ссылочка на гит), использовать на отдельном, чистом компьютере или же на крайняк отключить интернет и после использования перезагрузить машину (не подключая к инету)
Узнать, получилось у вас или нет довольно просто: просто введите ваши слова и посмотрите получаете ли вы те же адреса которые отображаются в Bitcoin Core. Получившуюся мнемонику также можно импортировать в Электрум (BIP32 сид он не принимает)
В чате задали вопрос как можно экспортировать приватные ключи и сид из Bitcoin Core кошелька. Сам вопрос не сложный и гуглится очень быстро, но есть некоторые моменты которые было бы неплохо объяснить в контексте этой задачи.
В начале необходимо перейти в консоль Core. Делается это очень просто: Во вкладке "Window" кликаем на пункт "Console".
Далее, чтобы сдампить приватный ключ от конкретного адреса нам понадобится команда:
Dumpprivkey "address"
Результат команды мы получим в текстовый файл который появится в папке кошелька. (Ничего сложного, правда?)
А вот с сидом ситуация состоит поинтересней. Сама команда экспорта также проста, но ирония в том, что Bitcoin Core это довольно консервативный кошелек, так что никаких 12/24 слов (мнемонику) вы там
не увидите. Мнемоничечкие фразы - это стандарт BIP39, а Кор работает со стандартом BIP32 (собственно который позволил создавать иерархически определенные кошельки, или HD wallets). Так вот, когда мы ведем команду:
Dumpwallet "wallet_name"
Мы в результате получим json файл (формат хранения данных) который в себе будет хранить большое, 256ти (или 128ми, забыл чуть чуть, память подводит) битное число, которым по сути и является сид.
В принципе с одной стороны все, сид можно записать на бумажку, сфотографировать, закопать в огороде или отправить на Луну. Но очевидно, что формат сида не очень удобный для таких операций, и понятное дело что его нельзя запомнить (в отличии от мнемоники). Здесь я расскажу о маленьком лайфхаке, как сид Bitcoin Core превратить в мнемонику.
Важно понимать, что Коровский сид это высокоэнтропийное (высоко энтропийное ==хаотичное и непредсказуемое) число, не более, которое используется для генерации веток мастер ключей (xpriv) (макчимальное количество xpriv - 2^32) а те в свою очередь для генерации веток приватных ключей (каждый xpriv может сгенерировать 2^32 приватников в своей ветке). Получается аналогия с деревом, где сид это ствол, мастер ключи это ветки, а обычные приватники это листья.
В BIP39 по сути тоже самое, только из сида генерится мнемоника а уже из нее - мастер ключи. Как можно понять, сид формата BIP32 можно перевести в мнемонику формата BIP39.
Необходимые шаги:
1. Получить сид из Bitcoin Core
2. Перевести его в hex формат (16я система счисления)
3. Использовать результат как энтропию при генерации 12/24 слов в BIP39
3й пункт можно выполнить вот здесь - https://iancoleman.io/bip39/ Проверенный сервис, но я думаю вы помните меры предосторожности: скачать архив с гитхаба (там внизу ссылочка на гит), использовать на отдельном, чистом компьютере или же на крайняк отключить интернет и после использования перезагрузить машину (не подключая к инету)
Узнать, получилось у вас или нет довольно просто: просто введите ваши слова и посмотрите получаете ли вы те же адреса которые отображаются в Bitcoin Core. Получившуюся мнемонику также можно импортировать в Электрум (BIP32 сид он не принимает)
#важно
Отличная новость к нам подоспела. Оказывается биржу Битмекс "взломали" (в кавычках потому что часто конторы просто ложат болт на безопасность, как в программном плане так и в наборе сотрудников) и все приватные данные клиентов дружно сели в одинавтобус архив и уехали в сторону даркнета.
Советую пользователям Битмекс из нашего канала быть готовыми к попыткам всяких разводов и относиться ко всем предложением с долей скептицизма и конечно же юмора (а как же без него)
Ну и конечно как не вспомнить известного персонажа из фильма Большой Лебовски с его уместной в этом случае фразой: "Просто охуительная биржа, надежная блять как швейцарские часы"
Ссылки:
https://twitter.com/LocalEthereum/status/1190171220160872448?s=20
https://twitter.com/sakuraricebird/status/1190167326898806784
Отличная новость к нам подоспела. Оказывается биржу Битмекс "взломали" (в кавычках потому что часто конторы просто ложат болт на безопасность, как в программном плане так и в наборе сотрудников) и все приватные данные клиентов дружно сели в один
Советую пользователям Битмекс из нашего канала быть готовыми к попыткам всяких разводов и относиться ко всем предложением с долей скептицизма и конечно же юмора (а как же без него)
Ну и конечно как не вспомнить известного персонажа из фильма Большой Лебовски с его уместной в этом случае фразой: "Просто охуительная биржа, надежная блять как швейцарские часы"
Ссылки:
https://twitter.com/LocalEthereum/status/1190171220160872448?s=20
https://twitter.com/sakuraricebird/status/1190167326898806784
Twitter
LocalEthereum
BitMex just sent a mass e-mail with thousands of customers in the "To" field. They accidentally exposed their customers' private email addresses. If you have a BitMex account, be on the look out for spearphishing and SIM swap attacks!
Друзья. Нас приглашают на бесплатный информативный митап "Algotrading meetup 2.0", который пройдет 5 ноября в Киеве.
Не так часто у нас проводят какие-либо мероприятия в сфере трейда, потому с радостью делюсь с вами этой новостью.
Инфо: https://www.facebook.com/events/535340637219803/
Не так часто у нас проводят какие-либо мероприятия в сфере трейда, потому с радостью делюсь с вами этой новостью.
Инфо: https://www.facebook.com/events/535340637219803/
Facebook
Algotrading meetup 2.0
Дата проведения: 5 ноября 2019, 19:00 по местному времени
Местро проведения: ул.Хрещатик 10, Киев
Алготрейдинг - текущая реалия развития рынка трейдинга! Сегодня мы наблюдаем повсеместный процесс...
Местро проведения: ул.Хрещатик 10, Киев
Алготрейдинг - текущая реалия развития рынка трейдинга! Сегодня мы наблюдаем повсеместный процесс...
#мелкие_советы #полезные_сервисы
Перед отправкой транзакции лучше всего глянуть какая комиссия в сети, чтобы транза не зависла на пару часиков (а то бывает и на пару дней). А вот где это посмотреть, это уже вопрос. Я помню кидал сюда серввисы для расчета стоимости транзакции, но если вы делаете обычный перевод с адреса А на адрес Б то считать там что-то это лишнее.
Так вот, есть пара основных сервисов:
1. https://bitcoinfees.earn.com/
Пожалуй самый известный сервис для оценки загруженности мемпула и стоимости транзакций.
2. https://jochen-hoenicke.de/queue/#0,24h
Сервис лучше предыдущего тем, что на третьем графике можно более точно увидеть какая самая оптимальная комиссия для нужного времени подтверждения транзакции (хотите быстро - одна цена, пофиг - можете ставить мелкую комсу)
В отличии от первого он более ясно показывает, как по мне. В первом сервисе часто бывает непонятно сколько конкретно ставить, и часто идет ненужная переплата.
3. Blockchair.com
"И певец, и на дуде игрец"
Отличный блокэсплорер, биткоин чекер а также анализатор мемпула и цены транзакций. В отличии от второго сайта, где надо навести на третий (самый нижний) график чтобы увидеть цены и время подтверждения, здесь все видно сразу, отображается диапазон цен и показывается время подтверждения по этому диапазону. Мой фаворит!
Каким сервисом пользоваться, решать конечно же вам. В принципе все три сервиса довольно неплохие и очень пригодятся на очередных пампах или затупах сети.
Перед отправкой транзакции лучше всего глянуть какая комиссия в сети, чтобы транза не зависла на пару часиков (а то бывает и на пару дней). А вот где это посмотреть, это уже вопрос. Я помню кидал сюда серввисы для расчета стоимости транзакции, но если вы делаете обычный перевод с адреса А на адрес Б то считать там что-то это лишнее.
Так вот, есть пара основных сервисов:
1. https://bitcoinfees.earn.com/
Пожалуй самый известный сервис для оценки загруженности мемпула и стоимости транзакций.
2. https://jochen-hoenicke.de/queue/#0,24h
Сервис лучше предыдущего тем, что на третьем графике можно более точно увидеть какая самая оптимальная комиссия для нужного времени подтверждения транзакции (хотите быстро - одна цена, пофиг - можете ставить мелкую комсу)
В отличии от первого он более ясно показывает, как по мне. В первом сервисе часто бывает непонятно сколько конкретно ставить, и часто идет ненужная переплата.
3. Blockchair.com
"И певец, и на дуде игрец"
Отличный блокэсплорер, биткоин чекер а также анализатор мемпула и цены транзакций. В отличии от второго сайта, где надо навести на третий (самый нижний) график чтобы увидеть цены и время подтверждения, здесь все видно сразу, отображается диапазон цен и показывается время подтверждения по этому диапазону. Мой фаворит!
Каким сервисом пользоваться, решать конечно же вам. В принципе все три сервиса довольно неплохие и очень пригодятся на очередных пампах или затупах сети.
Earn
Bitcoin Fees for Transactions | bitcoinfees.earn.com
Predicting bitcoin fees for transactions. Fees are displayed in Satoshis/byte of data. Miners usually include transactions with the highest fees first.
Теперь мы добавили бота помощника который будет более качественно организовывать обратную связь. С этого момента нет необходимости добавляться в чат ради вопроса или пожелания, просто переходите к @Lemon_Feedback_bot и пишете ему все что думаете 😁
Ваши фидбеки важны для нас! (нас - админов канала, боту плевать)
Ваши фидбеки важны для нас! (нас - админов канала, боту плевать)
Решил вам рассказать интересную информацию, а именно о вариантах "обеления" средств после микширования в биткоин миксере.
Это может показаться странным, все мы знаем что миксеры и созданы для обеления средств и сокрытия их происхождения, но реальность немного другая. Помните я много писал о метаданных?
Так вот, факт микширования - это как раз те же метаданные, когда никого не интересует зачем вы миксировали свои средства, всех настораживает сам факт этих действий.
Всякие конторы типа Chain analysis работают именно так. По политике "белых списков": Те транзакции которые не похожи на микшированные, те пропускаются, а микшированные помечаются как "подозрительные" и "нежелательные". Тоесть сервисы могут блокировать или не принимать ваши деньги из-за самого факта что они из миксера. И чем дальше, тем чаще такое происходит, вот поучительная история:
https://bisq.community/t/dirty-btc-coins-on-the-xmr-market/7798/3
Очевидно, что нет ничего плохого в желании приватности, особенной финансовой. При этом, как мы видим, включается "мягкая сила", когда вам на прямую не запрещают микшировать, но из-за сложностей которые идут вслед за этим, вам самим приходится отказаться от микширования.
Похожая, кстати, история с мягкой силой это то, как гугл каптча "убивает" Tor (из под Tor-a практически нереально выполнить новые каптчи, одна каптча может занимать по 15-20 минут времени, без шуток)
Так что же тогда делать? Есть несколько вариантов:
1. Несколько переводов после микширования.
Дело в том, что все сервисы белых списков и прочего смотрят в среднем не глубже 5-7 транзакций, так что если вы отправите все с одного адреса на другой и так 5-7 раз, то деньги считай что очистятся. Проблема такого метода помимо цены за транзакции (даже за 5-7 транзакций будут копейки) в том, что нужно все правильно рассчитать, чтобы с первой же транзакции не появилась сдача (не вся сумма потрачена) которая подтянется кошельком во второй, и будет очевидно что адрес1 и адрес2 принадлежат одной личности. Вообще, логика такого обеления заключается в том, что после смены пары адресов как бы меняется хозяин (обратное не докажешь что не менялся), а линкуя адреса между собой, видно что ими всеми владеет один и тот же человек, и никакой смены хозяев не было, а кто-то больно умный.
2. Использовать децентрализованные биржи
Неплохой вариант, так как вас никто не заблокирует, сервис то децентрализован.
С другой стороны, есть проблемы в виде количества пользователей, объемов, стаканов и интересного факта, что если вы после Декса выведите средства на централизованный обменник, вас могут заблокировать из-за факта пользования неблагонадежным Дексом (ссылка выше это явный пример такого, bisq это трушный Декс, а человек был заблочен выведя деньги оттуда). С другой стороны, пользователи создают объемы, и чем больше нас на Дексах, тем удобнее и нам и остальным. Снежный ком, я думаю аналогия понятна.
Еще можно использовать средства в обменниках, казино и прочем. Они в основном никак это не отслеживают.
Вот в принципе и все. Проблема на самом деле довольно глубокая, пока есть возможность микшировать и не трогать свои монеты, просто потому, что уже этот факт создает сегерацию монет на те, которые как бы "чистые" и те, которые как бы микшированные. В Монеро к примеру такой проблемы нет совсем (как говаривал Роберт Хайнлайн - "Вмикширование десант идут все!")
Вот так вот. Ах да, еще забыл про чудесный вариант быть терпилой и проходить верификацию во всяких Бинансах зарегистрированных на Кипре и прочих Сомали. Но если жить по такому принципу, то недалек тот день когда и жопу вашу "верифицируют". Не самая приятная концовка, не так ли?
Это может показаться странным, все мы знаем что миксеры и созданы для обеления средств и сокрытия их происхождения, но реальность немного другая. Помните я много писал о метаданных?
Так вот, факт микширования - это как раз те же метаданные, когда никого не интересует зачем вы миксировали свои средства, всех настораживает сам факт этих действий.
Всякие конторы типа Chain analysis работают именно так. По политике "белых списков": Те транзакции которые не похожи на микшированные, те пропускаются, а микшированные помечаются как "подозрительные" и "нежелательные". Тоесть сервисы могут блокировать или не принимать ваши деньги из-за самого факта что они из миксера. И чем дальше, тем чаще такое происходит, вот поучительная история:
https://bisq.community/t/dirty-btc-coins-on-the-xmr-market/7798/3
Очевидно, что нет ничего плохого в желании приватности, особенной финансовой. При этом, как мы видим, включается "мягкая сила", когда вам на прямую не запрещают микшировать, но из-за сложностей которые идут вслед за этим, вам самим приходится отказаться от микширования.
Похожая, кстати, история с мягкой силой это то, как гугл каптча "убивает" Tor (из под Tor-a практически нереально выполнить новые каптчи, одна каптча может занимать по 15-20 минут времени, без шуток)
Так что же тогда делать? Есть несколько вариантов:
1. Несколько переводов после микширования.
Дело в том, что все сервисы белых списков и прочего смотрят в среднем не глубже 5-7 транзакций, так что если вы отправите все с одного адреса на другой и так 5-7 раз, то деньги считай что очистятся. Проблема такого метода помимо цены за транзакции (даже за 5-7 транзакций будут копейки) в том, что нужно все правильно рассчитать, чтобы с первой же транзакции не появилась сдача (не вся сумма потрачена) которая подтянется кошельком во второй, и будет очевидно что адрес1 и адрес2 принадлежат одной личности. Вообще, логика такого обеления заключается в том, что после смены пары адресов как бы меняется хозяин (обратное не докажешь что не менялся), а линкуя адреса между собой, видно что ими всеми владеет один и тот же человек, и никакой смены хозяев не было, а кто-то больно умный.
2. Использовать децентрализованные биржи
Неплохой вариант, так как вас никто не заблокирует, сервис то децентрализован.
С другой стороны, есть проблемы в виде количества пользователей, объемов, стаканов и интересного факта, что если вы после Декса выведите средства на централизованный обменник, вас могут заблокировать из-за факта пользования неблагонадежным Дексом (ссылка выше это явный пример такого, bisq это трушный Декс, а человек был заблочен выведя деньги оттуда). С другой стороны, пользователи создают объемы, и чем больше нас на Дексах, тем удобнее и нам и остальным. Снежный ком, я думаю аналогия понятна.
Еще можно использовать средства в обменниках, казино и прочем. Они в основном никак это не отслеживают.
Вот в принципе и все. Проблема на самом деле довольно глубокая, пока есть возможность микшировать и не трогать свои монеты, просто потому, что уже этот факт создает сегерацию монет на те, которые как бы "чистые" и те, которые как бы микшированные. В Монеро к примеру такой проблемы нет совсем (как говаривал Роберт Хайнлайн - "В
Вот так вот. Ах да, еще забыл про чудесный вариант быть терпилой и проходить верификацию во всяких Бинансах зарегистрированных на Кипре и прочих Сомали. Но если жить по такому принципу, то недалек тот день когда и жопу вашу "верифицируют". Не самая приятная концовка, не так ли?
Bisq
Dirty BTC coins on the XMR market?
This both serves as a buyer beware and a need for advice. TLDR: I sold XMR for BTC on bisq, transferred it to 2 different exchanges and both accounts independently got locked in the past 2 months. Before I hear that I should stay away from exchanges, I…
К посту выше:
https://ttrcoin.com/chainalysis-bolshaya-chast-propuskaemyh-cherez-miksery-bitkoinov-ispolzuetsya-v-zakonnyh-celyah.8012/
Тоесть, Chainanalysis заявляет одно, в тоже время делает совсем другое (политика белых списков).
И да, это вам для понимания что микшируют не одни наркоторговцы и наемные убийцы, а наоборот, в большинстве своем люди желающие оставлять приватными собственные финансы. Естественное желание
https://ttrcoin.com/chainalysis-bolshaya-chast-propuskaemyh-cherez-miksery-bitkoinov-ispolzuetsya-v-zakonnyh-celyah.8012/
Тоесть, Chainanalysis заявляет одно, в тоже время делает совсем другое (политика белых списков).
И да, это вам для понимания что микшируют не одни наркоторговцы и наемные убийцы, а наоборот, в большинстве своем люди желающие оставлять приватными собственные финансы. Естественное желание
Ttrcoin
Chainalysis: Большая часть пропускаемых через миксеры биткоинов используется в законных целях
Лишь небольшая часть монет биткоина, пропускаемых через сервисы-миксеры, используется в незаконных целях, пишет Bitcoin Magazine со ссылкой на данные...
#защита_инвестиций #важно
Наткнулся на интересную статью от гуру секьюрности Гибсона (не того, который киберпанк выдумал и "Нейромант" написал, другого).
https://www.grc.com/haystack.htm
Сам автор - Стив Гибсон, работал в сфере защиты информации еще блин с 1981го года, предсказал появление Ддоса как способа атаки на сайты, и много чего еще. Короче, дядька старой закалки, толковый.
Так вот, как мы помним, силу пароля, а если сказать правильнее, его устойчивость к взлому многие привыкли определять энтропией пароля. Тоесть, мерой его хаотичности и непредсказуемости.
Гибсон в своей статье немного не согласен с этим. В угол своей идеи он ставит понятие Search Space Length (далее SSP), тоесть область всех возможных вариантов вашего пароля. Логика заключается в том, что хакер не знает ваш пароль, и при брутфорсе ему необходимо перебрать все возможные комбинации. Даже если он знает длину пароля, то ему придется перебирать пароль по максимальному алфавиту (буквы большого + малого регистра + цифры + знаки = 95 символов). Тоесть, SSP это всегда А^ n (где А - предполагаемый алфавит, а n - количество символов в пароле). Полный перебор даже 6-8 значного пароля при 95ти символьном алфавите может оказаться непосильной задачей, вы можете сами в этом убедиться если выдумаете такой пароль (не используйте свои пароли! Никогда не знаешь что сидит в твоем браузере!) и введете его в поле проверки пароля.
При этом, Гибсон сам же и пишет, что хоть пароли по типу "Password", "123456" по логике SSP и должны взламываться долго (18 минут для 123456, и 17 столетий для Password при онлайн атаке) но они будут взломаны в первую же микросекунду, так как эти "пароли" будут опробованы в первую очередь. Тоесть, как ни крути, а энтропия тоже играет свою роль. Низкоэнтропийный пароль просто скорее всего будет испробован одним из первых.
Сложно, правда? :)
Но суть статьи не в этом, а в интересном методе.
Гибсон приводит два пароля, один по типу "D0g....." а второй "P@wned1!" . Первый из них - низко энтропийный, а второй имеет более высокую хаотичность. При этом, первый пароль более устойчив по концепции SSP и что самое главное - он легко запоминаем.
Тоесть, наши сообразительные читатели могли догадаться, что в этой статье прямо происходит попытка решить извечную проблему между сложностью пароля и его легкозапоминаемостью. Очевидно, что высокоэнтропийные пароли человеческий мозг не в состоянии запомнить, но вот если пароль будет выглядеть как "G@2!.G@2!.G@2!.G@2!."?
Согласитесь, намного проще, ведь вам нужно запомнить только сам паттерн G@2!. и количество его повторений.
Вы скажете, мол хакер тоже догадается! На это Гибсон отвечает (в своей статье) что хакер не знает ни шаблон, ни количество повторений. Ну тоесть, он ведь реально не знает там шаблон из 3х букв или из 6, и повторений там 5 или 10? Ему нужно покрывать всю область перебора. При этом даже если учитывать то, что не нужно перебирать всю область (хватит перебрать половину паролей, чтобы получить 50 %ю вероятность найти нужный) то хакеру придется вместо двух миллионов лет потратить всего один. Чудесно!
Этот метод можно назвать password padding.
Довольно интересный подход, не правда ли?
Статья обязательна к прочтению, если что :)
Наткнулся на интересную статью от гуру секьюрности Гибсона (не того, который киберпанк выдумал и "Нейромант" написал, другого).
https://www.grc.com/haystack.htm
Сам автор - Стив Гибсон, работал в сфере защиты информации еще блин с 1981го года, предсказал появление Ддоса как способа атаки на сайты, и много чего еще. Короче, дядька старой закалки, толковый.
Так вот, как мы помним, силу пароля, а если сказать правильнее, его устойчивость к взлому многие привыкли определять энтропией пароля. Тоесть, мерой его хаотичности и непредсказуемости.
Гибсон в своей статье немного не согласен с этим. В угол своей идеи он ставит понятие Search Space Length (далее SSP), тоесть область всех возможных вариантов вашего пароля. Логика заключается в том, что хакер не знает ваш пароль, и при брутфорсе ему необходимо перебрать все возможные комбинации. Даже если он знает длину пароля, то ему придется перебирать пароль по максимальному алфавиту (буквы большого + малого регистра + цифры + знаки = 95 символов). Тоесть, SSP это всегда А^ n (где А - предполагаемый алфавит, а n - количество символов в пароле). Полный перебор даже 6-8 значного пароля при 95ти символьном алфавите может оказаться непосильной задачей, вы можете сами в этом убедиться если выдумаете такой пароль (не используйте свои пароли! Никогда не знаешь что сидит в твоем браузере!) и введете его в поле проверки пароля.
При этом, Гибсон сам же и пишет, что хоть пароли по типу "Password", "123456" по логике SSP и должны взламываться долго (18 минут для 123456, и 17 столетий для Password при онлайн атаке) но они будут взломаны в первую же микросекунду, так как эти "пароли" будут опробованы в первую очередь. Тоесть, как ни крути, а энтропия тоже играет свою роль. Низкоэнтропийный пароль просто скорее всего будет испробован одним из первых.
Сложно, правда? :)
Но суть статьи не в этом, а в интересном методе.
Гибсон приводит два пароля, один по типу "D0g....." а второй "P@wned1!" . Первый из них - низко энтропийный, а второй имеет более высокую хаотичность. При этом, первый пароль более устойчив по концепции SSP и что самое главное - он легко запоминаем.
Тоесть, наши сообразительные читатели могли догадаться, что в этой статье прямо происходит попытка решить извечную проблему между сложностью пароля и его легкозапоминаемостью. Очевидно, что высокоэнтропийные пароли человеческий мозг не в состоянии запомнить, но вот если пароль будет выглядеть как "G@2!.G@2!.G@2!.G@2!."?
Согласитесь, намного проще, ведь вам нужно запомнить только сам паттерн G@2!. и количество его повторений.
Вы скажете, мол хакер тоже догадается! На это Гибсон отвечает (в своей статье) что хакер не знает ни шаблон, ни количество повторений. Ну тоесть, он ведь реально не знает там шаблон из 3х букв или из 6, и повторений там 5 или 10? Ему нужно покрывать всю область перебора. При этом даже если учитывать то, что не нужно перебирать всю область (хватит перебрать половину паролей, чтобы получить 50 %ю вероятность найти нужный) то хакеру придется вместо двух миллионов лет потратить всего один. Чудесно!
Этот метод можно назвать password padding.
Довольно интересный подход, не правда ли?
Статья обязательна к прочтению, если что :)