Немного о паролях или почему нельзя по-старому

Заглядываю сегодня в телегу, а там пикет. Из-за блокировки golos.io @kudesnikaltay не может попасть в блокчейн. Судя по его возмущению, ключ для входа хранит только в браузере.

В Телеграм он негодует по поводу навязанной системы ключей.

@kudesnikaltay [11.11.17 07:30]
Тут надо создавать блок Чейн отдельно, а кошелёк, или ключница отдельно. В писательскую часть вход должен быть простым и пароли должны быть самопридуманными, а вот в ключница, кошелёк, копилку, банк, как угодно назови - там мега замки. Хотя ответьте, почему блокчейн так беспокоится о средствах граждан? Пусть каждый беспокоится о своём. Кому то пароль 11111 кажется безопасным - это его право и он не убивает ресурс. А вот нелепое решение суда - пусть не убивает, но избивает точно.

 

[11.11.17 07:34]
Тот кто предложил мне пароль из неповторимых памятью и пальцами вариантов, откроет мою дверь без труда, а вот я никогда. Вернитесь на землю. Не надо всем навязывать безопасность по своему пониманию. Это как продавцы дверей, которые потом эту же дверь за 1000 рублей откроют при предъявлении паспорта. А мой паспорт за закрытой дверью

 

И так, рассказываю простыми словами, что происходит.

Часть первая - хранение данных

С момента появления блокчейна, мир изменился. Как было раньше.

Для хранения всех данных сайта, использовалась база данных. В этой базе хранились логины-пароли всех пользователей. Вся информация которую они предоставляли (e-mail, пол, возраст, город и т.д.) и не предоставляли (версия оперционной системы, версия браузера, IP и т.д.). Также в базе были все записи - статьи, объявления, приватная переписка, настройка сайта и т.п.

Сам сайт отображал ограниченные данные только то, что разрешал администратор. Видны статьи, пользователи, объявления. Но пароли, личная переписка, ваши настройки и т.д. были от всех скрыты. И администратор принимал меры, что бы скрытое, оставалось скрытым. Эта база данных хранилась на одном компьютере - сервере (на самом деле были и сложные варианты хранения, но это не техническая лекция). И ещё были копии которые хранились отдельно. Но с копиями не работали. Это просто резерв для восстановления, на случай сбоев. К ним тоже доступ старательно закрывали.

Как сегодня работает блокчейн.

По сути, это та же база данных. Но в отличии от старой БД, одна из особенностей блокчейна - хранение на множестве компьютеров. Даже вы можете на своём компьютере держать блокчейн Голоса (если технические параметры позволяют). И это не только допустимо, но и поощряется. В блокчейне Голос, те кто на своих компьютерах хранят данные блокчейна (ноды), называются Делегатами (некоторые даже получают за это доплату в GBG). Как следствие этого, все данные блокчейна открыты. Всё, что в него записано видно любому желающему - статьи, комментарии, переводы токенов, в том числе и логины с паролями! По этой причине нельзя "создавать блок Чейн отдельно, а кошелёк, или ключница отдельно"?

Часть вторая - пароли

Как это работало раньше. При регистрации на сайте, вы придумывали себе логин Vasa и хитрый пароль 123qwe и они отправлялись на сервер сайта. Самоуверенные администраторы хранили ваш пароль в базе данных как есть. Администраторы с разумной степенью маниакальной шизофрении использовали одностороннее шифрование (если точнее, это называлось хеширование). Ваш пароль 123qwe шифровался, на выходе получалась кракозябра (хеш) 46f94c8de14fb36680850768ff1b7f2a (да, у пароля 123qwe такой хеш ). Именно эту кракозябру записывали в базу данных.

(если плохие люди умудрялись скачать базу данных, они получали хеши паролей. Но расхешировать хеш и получить нормальный пароль не получится. Для этого используется метод перебора. Которой при хорошем, сложном, пароле может занять очень длительное время)

Когда вы пытались зайти на сайт, вбивали на странице входа свои логин и пароль, серверная часть сайта шифровала предоставленный пароль, брала кракозябру соответствующую предоставленному логину из базы данных, эти две кракозябры сверялись, если они одинаковые, то вас признавали как Vasa и пускали на сайт.

Сегодняшние дни.

Но как вы помните в случае блокчейна все данные открыты. Как быть если ваша кракозябра видна всем желающим? Это же ключ от двери, который не просто лежит под ковриком, а буквально висит на цепочке возле замка. В этом случае используется "шифрование с открытым ключом". Это когда пары логин-кракозябра недостаточно для авторизации. Шифрование с открытым ключом, это когда логин - номер двери в ваш аккаунт. Что бы открыть эту дверь, надо два ключа. 

Один, "публичный", хранится в блокчейне (он виден всем желающим), второй у вас. Он называется "приватным". Его знаете только вы. Когда к нужному замку, подошли два правильных ключа, вход открывается. Надеюсь с принципами авторизации стало понятно.

Часть третья - почему все так неудобно

На кой ляд нам столько ключей? Это тоже вопрос безопасности. Запрос нынешнего времени. Дверь в блокчейн Голос состоит из нескольких секций.

Постинг ключ - позволяет вам вполне полноценно пользоваться блокчейном. Можно писать, голосовать, ставить флаги. Можете это делать с чужого компьютера. Даже пользоваться им в публичных сетях, например в Макдональдс. В таких местах часто перехватывают трафик и воруют пароли. Но если перехватят ваш приватный постинг ключ, то максимум, что могут делать, это нагадить от вашего имени - раскидать флаги, написать пост с использованием ненормативной лексики. Неприятно, но пережить можно.

Активный ключ - всё тоже самое, но открывается секция шире. Вы получаете доступ к ранее недоступным операциям. Теперь можно проводить транзакции - перекидывать СГ и GBG на другие счета, выводить на биржу. Его перехват грозит потерей ваших крипто-финансов. И потребовать от кого-то вернуть вам украденное не получится. Это как с обычными деньгами. Если у вас украли ключ от сейфа, то вернуть деньги можно только если поймали вора и удалось его уговорить. Крайне не рекомендуется использовать активный ключ для постоянного входа, или использовать его в небезопасных местах (чужие компьютеры, публичные сети, на работе). Перехват активного ключа имеет болезненные последствия. Но это ещё не конец.

У вас остался аккаунт. Репутация аккаунта (её нельзя украсть, и она имеет значение), ваши подписки, ваши подписчики. Все ваши статьи. Это равносильно тому, что вас ограбили, но не убили. Жизнь продолжается.

Для полного контроля используется главный пароль. Вы его придумывали когда регистрировались. На основе этого пароля и вашего логина, односторонним хешированием (sha-256) с небольшими дополнениями, создаётся несколько ключей - кракозябр знакомых нам из второй части. Перехват равносилен краже вашего аккаунта. Имея действующий пароль, его можно сменить на новый. В этом случае все ключи автоматически изменятся.

Главный пароль не хранится в блокчейне. И никак не используется. Когда вы авторизируетесь при помощи главного пароля, сайт его хеширует будто вы регистрируетесь, получает необходимые кракозябры. И уже их использует при работе с блокчейном. Это не заложено изначально. Это устроено разработчиками "точек входа" golos.blog, goldvoice.club и т.д.

И получается, что когда @kudesnikaltay возмущается, что ему усложнили жизнь большим количеством ключей:

@kudesnikaltay, [11.11.17 07:52]
Я понимаю, что я не в теме, я и не настаиваю. Я просто говорю о том, что мы столкнулись с неожиданной проблемой и не прошли ее, как рассчитывали вскользь, а потеряли много пользователей. Из за параноидальной проблемы присвоения людям трудно запоминаемого кода

Вот вам какая разница, украдут у меня 168 золотых под паролем 121314 или нет? Вы косвенно пострадаете?

Когда у меня будет СГ стопятьсот, я придумаю пароль из 16 знаков, цифр, буков трёх языков двух регистров. Не сомневайтесь

Это не правда. Сегодня любой пользователь может пользоваться блокчейном в привычной ему форме. По своему любимому паролю, который он, вероятно, неблагоразумно использует на множестве сайтов. Пока такая возможность имеется. Но в любой момент может появиться новый клиент для блокчейна (например под смартфон), где из соображений безопасности не будет приниматься главный пароль.

Сложные ключи - необходимое требование сегодняшних технологий. Несколько лет назад, что бы методом перебора подобрать пароль дающий правильную кракозябру, прогнозировались большие временные траты. На подбор сложного пароля могло уйти несколько лет. Мощности современных компьютеров позволяют это осуществлять за несколько минут. Супер-компьютеры сделают это за доли секунды. Помните это.

Наверное усложняю, но при регистрации на основе вашего пароля, вместе с ключами, генерируется алиас вашего пароля. Он начинается с P5....... и имеет права аналогичные возможности. В чём удобство: если вы его сохранили в браузере, и злодеи у вас его скопировали, то не узнают ваш любимый пароль который вы используете на других сайтах. Но если алиас потеряете или забудете, то сможете зайти по "нормальному" паролю и навести порядок.

Часть четвёртая - итог

Почему нельзя "создавать блок Чейн отдельно, а кошелёк, или ключница отдельно"?

Одна из сильных сторон блокчейна заключена в хранении данных на разных компьютерах разбросанных по всему миру (децентрализация). Вчера стало известно, что golos.io был заблокирован на территории России по решению суда. Это никак не коснулось других точек входа goldvoice, mapala и др. Пользователи могут зайти в блокчейн. Если вы не знаете как из браузера достать ваш ключ для golos.io, то можете зайти через другую точку входа используя главный пароль. Только рекомендуется сразу поменять главный пароль. Из-за этого сгенерятся новые ключи всех уровней доступа. И используя новые ключи продолжать пользоваться блокчейном.

А теперь представим ситуацию, будто суд постановил не только заблокировать golos.io а ещё и изъять сервера.

  1. даже если российские сервера будут отключены и изъяты, это не скажется на системе в целом. Сотрудники полиции-фсб не получат доступа к вашим аккаунтам. Там хранятся только публичные ключи.
  2. в этом нет никакого смысла. Все данные открыты. Можно просто подключиться, и скачать абсолютно весь блокчейн Голос. Для это даже не нужны постановления суда или другие специальные разрешения.

 

Но если на сервере создавать дополнительно отдельную базу данных, в которой по старинке записаны все логины и пароли, то изъятие сервера с дополнительной базой паролей открывает полный доступ ко всем аккаунтам. И ко всем кошелькам. А это миллионы GBG и СГ.

 

Вот и всё, что хотелось сказать по этой теме. Отдельное спасибо за технические уточнения @vik, @gropox@ipsumlorem

Обновление: информация о "пользователь может пользоваться блокчейном в привычной ему форме. По своему любимому паролю" может быть не верной. Поскольку она зависит от точки входа через которую вы регистрировались. Описываемый раздел касается регистрации через goldvoice.club, и актуален на момент публикации. Спасибо @d-stepnoy за комментарий.


50/50 - проект равного вознаграждения авторов и кураторов - вы голосуете за пост и получаете половину награды за свою оценку. Если Вам понравилось, подписывайтесь и ставьте "апвот"

блокчейнпарольбезопасностьапвот50-50u75
551
44.287 GOLOS
0
В избранное
VIRT
Мысли вслух и окружение
551
0

Зарегистрируйтесь, чтобы проголосовать за пост или написать комментарий

Авторы получают вознаграждение, когда пользователи голосуют за их посты. Голосующие читатели также получают вознаграждение за свои голоса.

Зарегистрироваться
Комментарии (18)
Сортировать по:
Сначала старые