"Информационная безопасность" приветствует Вас! Спасибо, что присоединились к нам 💙
В нашем канале Вас ждут весёлые рассказы о реальных угрозах, полезные лайфхаки по защите данных и инструкции по безопасности с изюминкой😉
В презентации с выступления Ильи, основателя компании LAOLAB, Вы найдете много полезной информации по криптокошелькам для обычных пользователей.
Если Вам понравится, мы будем продолжать публиковать интересный контент!
В нашем канале Вас ждут весёлые рассказы о реальных угрозах, полезные лайфхаки по защите данных и инструкции по безопасности с изюминкой😉
В презентации с выступления Ильи, основателя компании LAOLAB, Вы найдете много полезной информации по криптокошелькам для обычных пользователей.
Если Вам понравится, мы будем продолжать публиковать интересный контент!
Послушав отзывы по докладу об использовании кошельков, стало понятно, что нужно рассказать более детально про принципы хранения ключей и паролей в целом. Попробую в виде короткой инструкции рассказать, как это работает.
Надежным менеджером хранения паролей является KeepassXC. Его исходный код открыт, и использование решений на “своей стороне” — более безопасно, чем любые облачные, проприетарные решения. Не перекладывайте ответственность на других, там тоже работают люди 🙂
KeepassXC создает контейнер в стандарте KDBX, который возможно открывать другими парольными менеджерами. Например, для Android есть KeepassDX, тоже с открытым исходным кодом. А для iOS доступен платный Strongbox.
Помните, что когда вы скачиваете ПО из интернета, его нужно валидировать через подписи. Хорошую инструкцию по валидации составили производители KeepassXC тут.
Шифрование, которое рекомендую выбирать при создании контейнера, — AES256. Это блочное шифрование, которое стоит выбрать, оно достаточно стандартно, чтобы иметь возможность открывать контейнер в любом универсальном ПО.
Для двухфакторной авторизации необходимо приобрести ключ Yubikey 5C. Можно использовать и альтернативные, но этот самый распространенный и многими поддерживаемый. Приобретать ключ лучше не через "Горбушку" или какие-то сайты из интернета, так как могут быть атаки на "цепочку поставки", и можно получить фейковый ключ или заранее прошитый. Лучше заказывать у официального производителя или рекомендованных реселлеров.
Рекомендую сразу заказать 2-3 ключа, чтобы можно было сделать клонированные версии с помощью официального ПО от Yubikey в момент первичной настройки ключей. Функция, которая используется в KeepassXC для двухфакторной авторизации, называется Challenge-Response.
После настройки необходимо будет вводить пароль и в этот же момент иметь вставленный Yubikey в компьютер или телефон.
Меры предосторожности:
- Если вы потеряете Yubikey и копии, вы не сможете получить доступ к хранилищу.
- Если вы будете держать Yubikey вставленным в компьютер всё время, то если вас "затроянят", считав пароль через кейлоггер, злоумышленники вместе со вставленным ключом расшифруют ваш KeepassXC со всеми данными.
- Для хранения seed-фраз и наборов паролей лучше использовать два разных контейнера KeepassXC (KDBX).
- Делайте резервные копии не в облачных сервисах от корпораций, а на физических носителях. Подходят USB SSD диски известных производителей (рекомендую SanDisk или Samsung).
- Регулярно обновляйте ПО.
Стоит настроить KeepassXC и для хранения паролей для различных сервисов, заодно заменив в них двухфакторную авторизацию с СМС на OTP-пароль, который может храниться в том же KeepassXC.
Как вам такой формат повествования? Поставьте реакцию! Спасибо!
Надежным менеджером хранения паролей является KeepassXC. Его исходный код открыт, и использование решений на “своей стороне” — более безопасно, чем любые облачные, проприетарные решения. Не перекладывайте ответственность на других, там тоже работают люди 🙂
KeepassXC создает контейнер в стандарте KDBX, который возможно открывать другими парольными менеджерами. Например, для Android есть KeepassDX, тоже с открытым исходным кодом. А для iOS доступен платный Strongbox.
Помните, что когда вы скачиваете ПО из интернета, его нужно валидировать через подписи. Хорошую инструкцию по валидации составили производители KeepassXC тут.
Шифрование, которое рекомендую выбирать при создании контейнера, — AES256. Это блочное шифрование, которое стоит выбрать, оно достаточно стандартно, чтобы иметь возможность открывать контейнер в любом универсальном ПО.
Для двухфакторной авторизации необходимо приобрести ключ Yubikey 5C. Можно использовать и альтернативные, но этот самый распространенный и многими поддерживаемый. Приобретать ключ лучше не через "Горбушку" или какие-то сайты из интернета, так как могут быть атаки на "цепочку поставки", и можно получить фейковый ключ или заранее прошитый. Лучше заказывать у официального производителя или рекомендованных реселлеров.
Рекомендую сразу заказать 2-3 ключа, чтобы можно было сделать клонированные версии с помощью официального ПО от Yubikey в момент первичной настройки ключей. Функция, которая используется в KeepassXC для двухфакторной авторизации, называется Challenge-Response.
После настройки необходимо будет вводить пароль и в этот же момент иметь вставленный Yubikey в компьютер или телефон.
Меры предосторожности:
- Если вы потеряете Yubikey и копии, вы не сможете получить доступ к хранилищу.
- Если вы будете держать Yubikey вставленным в компьютер всё время, то если вас "затроянят", считав пароль через кейлоггер, злоумышленники вместе со вставленным ключом расшифруют ваш KeepassXC со всеми данными.
- Для хранения seed-фраз и наборов паролей лучше использовать два разных контейнера KeepassXC (KDBX).
- Делайте резервные копии не в облачных сервисах от корпораций, а на физических носителях. Подходят USB SSD диски известных производителей (рекомендую SanDisk или Samsung).
- Регулярно обновляйте ПО.
Стоит настроить KeepassXC и для хранения паролей для различных сервисов, заодно заменив в них двухфакторную авторизацию с СМС на OTP-пароль, который может храниться в том же KeepassXC.
Как вам такой формат повествования? Поставьте реакцию! Спасибо!
Короткое наблюдение!
Регулирование крипто-рынка становится все более навязчивым.
Когда-то наступит день, когда корпорации-гиганты начнут сами производить интегральные микросхемы (IC) и делать майнеры под себя. Будут майнить в объемах, которые и не снились текущей четверке производителей оборудования.
Чем это опасно?
Вся крипта сейчас размечается. Централизованные биржи вроде MEXC уже считаются high-risk exchange (все биржи без обязательного KYC), а значит, полученные оттуда крипто-активы - тоже.
Тот же binance заблокирует ваш депозит, если он сделан с кошелька с рейтингом риска 30%+
На руках продолжает оставаться много такого биткоина. А что можно сделать с "дедом"? Все очень просто:
Заберут на себя долю рынка майнинга, договорятся между собой (заставят регуляторы) не забирать из memory-pool (то, куда складывают транзакции ваши кошельки и откуда забирают майнеры) транзакции с "грязных" кошельков. А остальным майнерам скажут, чтобы тоже не забирали, иначе - преследование и санкции. И будут все эти биткоины без дела лежать заблокированными.
Институционалам - дабл выгода, они теперь заблокироввали из оборота львиную долю биткоинов. Те, что у правительства США залочены, они и так посчитаны, те, что у них в ETF тоже известны, так проще влиять на рынок и текущий объем.
А следующим шагом они еще и конфискуют деньги с тех "грязных" кошельков атакой 51% через договоренность между майнерами.
Крипту ждет два рынка: Сказочное регулирование и полностью серый (даже черный).
Всем хорошего сна! Это просто размышления о будущем, которыми решил с вами поделиться 🙂
Регулирование крипто-рынка становится все более навязчивым.
Когда-то наступит день, когда корпорации-гиганты начнут сами производить интегральные микросхемы (IC) и делать майнеры под себя. Будут майнить в объемах, которые и не снились текущей четверке производителей оборудования.
Чем это опасно?
Вся крипта сейчас размечается. Централизованные биржи вроде MEXC уже считаются high-risk exchange (все биржи без обязательного KYC), а значит, полученные оттуда крипто-активы - тоже.
Тот же binance заблокирует ваш депозит, если он сделан с кошелька с рейтингом риска 30%+
На руках продолжает оставаться много такого биткоина. А что можно сделать с "дедом"? Все очень просто:
Заберут на себя долю рынка майнинга, договорятся между собой (заставят регуляторы) не забирать из memory-pool (то, куда складывают транзакции ваши кошельки и откуда забирают майнеры) транзакции с "грязных" кошельков. А остальным майнерам скажут, чтобы тоже не забирали, иначе - преследование и санкции. И будут все эти биткоины без дела лежать заблокированными.
Институционалам - дабл выгода, они теперь заблокироввали из оборота львиную долю биткоинов. Те, что у правительства США залочены, они и так посчитаны, те, что у них в ETF тоже известны, так проще влиять на рынок и текущий объем.
А следующим шагом они еще и конфискуют деньги с тех "грязных" кошельков атакой 51% через договоренность между майнерами.
Крипту ждет два рынка: Сказочное регулирование и полностью серый (даже черный).
Всем хорошего сна! Это просто размышления о будущем, которыми решил с вами поделиться 🙂
Все мы не умеем ценить, пока не столкнемся с потерей.
Так происходит с попытками начать делать резервные копии данных, с взаимотношениями людей.
Если отталкиваться от Роберта Ланца и его Биоцентризма, то мы фактически живем в симуляции. Где наши органы чувств отправляют сигналы в мозг, который генерирует картинку, звук, ощущения, эмоции.
В безопасности, как и в жизни, лучше прорабатывать потенциальные проблемы заранее. Можно создать любую ситуацию в своем собственном сознании, полностью ее рассмотреть и пройти этот опыт. Вынести необходимость делать "резервные копии" или увидеть "уязвимость внешнего периметра".
Взлом инфраструктуры, ничем не отличается от взлома мозгов. Методология одинаковая.
Учитесь ломать мозги и жизнь станет проще!
Так происходит с попытками начать делать резервные копии данных, с взаимотношениями людей.
Если отталкиваться от Роберта Ланца и его Биоцентризма, то мы фактически живем в симуляции. Где наши органы чувств отправляют сигналы в мозг, который генерирует картинку, звук, ощущения, эмоции.
В безопасности, как и в жизни, лучше прорабатывать потенциальные проблемы заранее. Можно создать любую ситуацию в своем собственном сознании, полностью ее рассмотреть и пройти этот опыт. Вынести необходимость делать "резервные копии" или увидеть "уязвимость внешнего периметра".
Взлом инфраструктуры, ничем не отличается от взлома мозгов. Методология одинаковая.
Учитесь ломать мозги и жизнь станет проще!
В моем офисе есть мощная машинка, которая используется для AI. В ней установлено 7 видеокарт на водяном охлаждении.
Когда проводятся пентесты (тестирование на проникновение в компании), эта машинка используется для того, чтобы ломать какие-либо хеши (хеш-функция, в которую оборачивается ваш пароль, когда вы где-либо регистрируетесь в интернете).
Фактически можно перебирать по словарю (например, rockyou2024, который содержит 1 миллиард уникальных паролей) или простым перебором, перебирая все комбинации символов с клавиатуры. Суммарно это 95 символов (большие и маленькие буквы английского языка, цифры и все возможные спецсимволы).
Провел эксперимент: перебрать все возможные варианты длиной пароля от 1 до 7 символов. То есть 95 в 7-й степени для 7 символов + 95 в 6ой и так далее. Всего получается около 70 триллионов комбинаций пароля.
В 2000-м году на процессоре того времени перебрать 70 триллионов комбинаций пароля для хеш-функции MD5 занимало 191 год.
В 2006-м году вышла PlayStation 3, внутри которой был мощный графический процессор, продавалась она за 500 долларов, и на нее можно было поставить Linux (через jailbreak) и запустить перебор паролей. Это был прорыв в соотношении «стоимость = эффективность», так как 70 триллионов паролей перебирались уже от 90 до 30 дней. Сейчас сложно сказать, так как нет под рукой такой PlayStation, а старые цифры я точно не помню, но то был прорыв — с лет на дни.
Согласно закону Мура (перестал действовать в 2007ом году), количество транзисторов, размещаемых внутри процессора, каждые 24 месяца удваивается — значит, вычисления каждые два года улучшаются в два раза (хотя это и не совсем линейное сравнение). С выходом PlayStation 3, а затем всех этих дешевых, крутых видеокарт, все сломалось.
Вчера провел эксперимент и 70 триллионов комбинаций пароля перебрал на том самом компьютере из офиса за 8 часов. Чтобы такое провернуть в 2000-м году, нужно было потратить 2 млн долларов того времени (если учитывать инфляцию, то это как 4 млн сейчас), а текущая машинка в офисе стоит 30 тысяч долларов и делает это в разы быстрее.
В 2000-м году считалось надежным оставить пароль из 7 символов, так как никто не вскрыл бы такой пароль даже далеко вперед во времени. Поэтому даже профессионалы оставляли свой цифровой след в виде уникальных паролей, по которым теперь можно найти в прочих утечках их другие личности.
Когда проводятся пентесты (тестирование на проникновение в компании), эта машинка используется для того, чтобы ломать какие-либо хеши (хеш-функция, в которую оборачивается ваш пароль, когда вы где-либо регистрируетесь в интернете).
Фактически можно перебирать по словарю (например, rockyou2024, который содержит 1 миллиард уникальных паролей) или простым перебором, перебирая все комбинации символов с клавиатуры. Суммарно это 95 символов (большие и маленькие буквы английского языка, цифры и все возможные спецсимволы).
Провел эксперимент: перебрать все возможные варианты длиной пароля от 1 до 7 символов. То есть 95 в 7-й степени для 7 символов + 95 в 6ой и так далее. Всего получается около 70 триллионов комбинаций пароля.
В 2000-м году на процессоре того времени перебрать 70 триллионов комбинаций пароля для хеш-функции MD5 занимало 191 год.
В 2006-м году вышла PlayStation 3, внутри которой был мощный графический процессор, продавалась она за 500 долларов, и на нее можно было поставить Linux (через jailbreak) и запустить перебор паролей. Это был прорыв в соотношении «стоимость = эффективность», так как 70 триллионов паролей перебирались уже от 90 до 30 дней. Сейчас сложно сказать, так как нет под рукой такой PlayStation, а старые цифры я точно не помню, но то был прорыв — с лет на дни.
Согласно закону Мура (перестал действовать в 2007ом году), количество транзисторов, размещаемых внутри процессора, каждые 24 месяца удваивается — значит, вычисления каждые два года улучшаются в два раза (хотя это и не совсем линейное сравнение). С выходом PlayStation 3, а затем всех этих дешевых, крутых видеокарт, все сломалось.
Вчера провел эксперимент и 70 триллионов комбинаций пароля перебрал на том самом компьютере из офиса за 8 часов. Чтобы такое провернуть в 2000-м году, нужно было потратить 2 млн долларов того времени (если учитывать инфляцию, то это как 4 млн сейчас), а текущая машинка в офисе стоит 30 тысяч долларов и делает это в разы быстрее.
В 2000-м году считалось надежным оставить пароль из 7 символов, так как никто не вскрыл бы такой пароль даже далеко вперед во времени. Поэтому даже профессионалы оставляли свой цифровой след в виде уникальных паролей, по которым теперь можно найти в прочих утечках их другие личности.
Wikipedia
Закон Мура
эмпирическое наблюдение