Portfele Sprzętowe vs. Portfele Papierowe

Postautor: **pm7** » wtorek, 31 stycznia 2017, 12:32

Pewnie, możecie zwiększyć bezpieczeństwo portfela w maszynie wirtualnej. Ale ile byście wysiłku nie poświęcili, polegacie wyłącznie na tym, że atakujący nie poświęci wam osobistej uwagi. Naprawdę tak trudno uruchamiać komputer z pendrive/CD z czystym systemem, albo jeżeli potrzebujecie dostępu do portfeli na bieżąco to tak drogi jest portfel sprzętowy, albo osobny komputer? Można obecnie kupić używanego, sprawnego laptopa z gwarancją za ile, 200zł?

Czy znacie jakieś przypadki faktycznej kradzieży/zhakowania portfeli bitcoin? Nie chodzi mi o historie wyczytane w sieci czy zasłyszane od znajomego znajomego, ale o prawdziwe potwierdzone przypadki. Im więcej czytam na ten temat tym bardziej zastanawiam się czy te obawy o bezpieczeństo mają uzasadnienie. Mam wrażenie, że niektórzy zabezpieczają bardziej kryptoportfele od kont bankowych (czy ktoś w ogóle bierze pod uwagę korzystanie z osobnego komputera do łączenia się ze swoim kontem w "prawdziwym" banku?). Papierowy portfel nie wydaje mi się bezpieczniejszy od innych rozwiązać. Tak naprawdę przy tym poziomie strachu to zdaje się najmniej bezpiecznym. Wystarczy, że wyjedziemy na wakacje, ktoś się włamie do naszego mieszkania, ukradnie magiczną karteczkę, zorientuje się, że to bitcoinowych skarbów i wyczyści nam konto.

Teraz tak na serio. Czy to już przesada, czy faktycznie tak zabezpiecza się własne krypto (komputer offline, generowanie kluczy, drukowanie, itp., ewentualnie portfel typu Ledger Nano S)? Czy te wszystkie portfele (electrum, jaxx, exodus, multibit) są dla zielonych, którzy chcą podarować oszczędności złodziejom czyhającym na każdym kroku?

YouTube

marlone pisze: Czy te wszystkie portfele (electrum, jaxx, exodus, multibit)

Wrzucasz do jednego worka portfele które zupełnie inaczej działają i dają zupełnie różne poziomy zabezpieczeń.
Żeby ukraść BTC wystarczy zdobyć klucz/klucze prywatne. I nikt nie jest w stanie udowodnić faktu kradzieży.

Postautor: **marlone** » wtorek, 20 czerwca 2017, 11:05

Żeby ukraść BTC wystarczy zdobyć klucz/klucze prywatne.

Tylko czy faktycznie jest to takie proste przy zachowaniu minumum zasad bezpieczeństwa? Czy komukolwiek z forum/ze znanych forumowiczom osób wykradziono takie klucze?

YouTube · Postautor: **rav3n_pl** » wtorek, 20 czerwca 2017, 11:45

Ktoś się przyzna? XD
Minimum to za mało, jak pokazały ostatnie ataki nowego kryptolokera.
To JEST proste, jak masz syf na kompie, a złapać syfa na wingrozie - wystarczy wejść na odpowiednią stronę.

Postautor: **marlone** » wtorek, 20 czerwca 2017, 12:04

Ktoś się przyzna? XD

No właśnie pewnie nikt. I tak naprawdę nie wiadomo czy kradzieży nie było, czy nie było tylko informacji o takowych.

Minimum to za mało, jak pokazały ostatnie ataki nowego kryptolokera.

Możesz rzucić jakimś linkiem? Z chęcią przeczytam.

To JEST proste, jak masz syf na kompie

Idąc tym tokiem to codziennie powinny być informacje o kolejnych wlamaniach na konta bankowe. Jakoś dziwnie się składa, że mimo faktu, że konta obsługiwane przez internet ma 100x więcej (1000,10000?) osób niż dostęp do krypto, nie słychać o łatwych przejęciach kodów dostępowych.

Rynkiem kryptowalut interesują się w dużej mierze osoby "techniczne" - często informatycy. Może stąd takie przejęcie kwestią bezpieczeństwa? Po prostu więcej ludzi tutaj ma coś do powiedzenia w tym temacie.

YouTube · Postautor: **rav3n_pl** » wtorek, 20 czerwca 2017, 12:10

marlone pisze: codziennie powinny być informacje o kolejnych wlamaniach na konta bankowe

Przecież banki płacą żeby takie informacje NIE wydostawały się na światło dzienne... Wiemy tylko o małym procencie zdarzeń które najczęściej są wybitnymi fakapami po stronie banków a nie userów.
Z drugiej strony całe masy ludzi dało się zarazić keyloggerami z maili od poczty, ups, dhl, pzu i kilku innych kilkuliterowych agencji. Ile było szumu o podmianie numerów kont bankowych, już nie pamiętasz? I to NIE był jeden przypadek ale setki/tysiące zdarzeń. Nawet kody jednorazowe czy sms nie pomagają.
Trzymanie kasy na portfelu sprzętowym likwiduje możliwość wycieku kluczy prywatnych, bo portfel sprzętowy sam podpisuje transakcje i nie wypuszcza "na zewnątrz" kluczy prywatnych.
Portfel papierowy ma sens, ale tylko jako jednorazowa operacja - nigdy nie powinno się ponownie używać raz użytego adresu.
Co do robiena offline, kostakmi czy kartami - unikamy możliwości "odgadnięcia" stanu generatora losowego. Prawdziwą losowość (a nie komputerową pseudolosowość) dają tylko fizyczne zdarzenia.

Postautor: **marlone** » wtorek, 20 czerwca 2017, 12:14

Trzymanie kasy na portfelu sprzętowym likwiduje możliwość wycieku kluczy prywatnych

Czyli Twoim zdaniem inwestycja w Ledger Nano S ma sens? Orientujesz się może czy kupowanie z innego źródła niż oficjalne (ebay itp.) jest bezpieczne? Na https://www.ledgerwallet.com na wysyłkę trzeba czekać kilka miesięcy...

YouTube · Postautor: **rav3n_pl** » wtorek, 20 czerwca 2017, 14:14

Napisz na FB na bitcoin polska, może ktoś ma na zbyciu. Ja mam Trezora

Postautor: **marlone** » środa, 21 czerwca 2017, 12:49

@rav3n_pl Przepraszam za banalne pytania, ale wolę się upewnić niż potem żałować zakupu. Co będzie jak dajmy na to zgubię taki portfel (ledger, trezor)? Wystarczy posiadać zapisany backup słow i można wszystko odtworzyć w innym portfelu?

YouTube · Postautor: **rav3n_pl** » środa, 21 czerwca 2017, 12:50

Tak. I oczywiście od razu przelać wszystko na adres nowego portfela z innego seeda. Tak na wszelki wypadek.

Postautor: **kkkk** » środa, 28 czerwca 2017, 21:06

marlone pisze: Wystarczy, że wyjedziemy na wakacje, ktoś się włamie do naszego mieszkania, ukradnie magiczną karteczkę, zorientuje się, że to bitcoinowych skarbów i wyczyści nam konto.

"The advantage to encrypting your paper wallet's private key with a password is that if your paper wallet is stolen or otherwise exposed, the balance on the wallet is safe unless the passphrase used to encrypt the wallet is guessed. However, if you encrypt your private key with BIP38 and you lose your passphrase, it will be impossible for you to recover the funds you have sent to this wallet."

A co do pobrania i czekania miesiąc na aferę, to jeśli pobieracie z github to widać kiedy był ostatni upload. Teraz wisi wersja która ma już 6 miesięcy.

Postautor: **Bit-els** » środa, 28 czerwca 2017, 21:19

Po wygenerowaniu szyfrowanego paper walleta trzeba sprawdzić czy odszyfrowywanie działa. Tak polecają na bitaddress.org

Postautor: **redbog** » środa, 28 czerwca 2017, 21:32

marlone pisze: Czy te wszystkie portfele (electrum, jaxx, exodus, multibit) są dla zielonych, którzy chcą podarować oszczędności złodziejom czyhającym na każdym kroku?

Electrum w wersji offline na zaszyfrowanym linuxie uważam za najbezpieczniejsze z możliwych rozwiązań do przechowywania btc. Do tego bhp z laptopa offline transferuje środki tylko na swój hot wallet i dopiero później w świat. Na laptopie offline mam też zapisany adres swojego hot walleta i przed kazdym podpisaniem transakcji sprawdzam czy się zgadza adres i kwota.

Bit-els pisze: Po wygenerowaniu szyfrowanego paper walleta trzeba sprawdzić czy odszyfrowywanie działa. Tak polecają na bitaddress.org

Czy ktoś słyszał o przypadku że klucz prywatny z paper walletu nie zadziałał? Myślę że to nie możliwe gdyż wtedy nie miałby sensu papier. Jeśli po wygenerowaniu trzeba by było sprawdzać klucz prywatny przelewając krypto na jakiś inny portfel to automatycznie ujawniamy tajemnice jaką jest private key. Jakoś nie widzę sensu w tym

Oczywiście, że papierowy portfel jest bardziej bezpieczny. Co za pytanie?>

Postautor: **Bit-els** » sobota, 18 listopada 2017, 17:31

@vegasnight9, to jest poziom paranoid level hard. PM7 pisał, że to praktycznie niemożliwe.
Choć moglby taki bład w obliczeniach powstać, masz 100% pewności, że nie?
Ale wystarczy z zestawu stworzonych zaimportowac jeden z dołu listy. I wtedy masz pewność, że reszta jest ok.

Albo masz smartfon testowy, nigdy nie łączony z netem. I sprawdzasz czy wczytuje.

Oczywiście to poziom hard, hard level.

Z tym że, gdyby jednak szansa była jak jeden do mln, że coś pojdzie nie tak, a z adresu bez działajacego klucza już nie wyjmiesz kasy, to przy dużych kwotach zrobiłbym teścik.

Jak to się ma do starań z ukryciem bezpiecznym sztabki złota na przykład

Postautor: **pm7** » sobota, 18 listopada 2017, 23:03

Bit-els pisze: @vegasnight9, to jest poziom paranoid level hard. PM7 pisał, że to praktycznie niemożliwe.
Choć moglby taki bład w obliczeniach powstać, masz 100% pewności, że nie?
Ale wystarczy z zestawu stworzonych zaimportowac jeden z dołu listy. I wtedy masz pewność, że reszta jest ok.

Doprecyzuję: oceniam szanse niezadziałania normalnie wygenerowanego portfela papierowego na bardzo niskie. To powiedziawszy, nie zalecałbym wysyłać w ciemno olbrzymich środków na taki portfel

Sprawdzenie jednego z adresów rzeczywiście zmniejsza szansę, że coś jest nie tak z resztą, a nie wpływa na ich bezpieczeństwo.

Bit-els pisze: Z tym że, gdyby jednak szansa była jak jeden do mln, że coś pojdzie nie tak, a z adresu bez działajacego klucza już nie wyjmiesz kasy, to przy dużych kwotach zrobiłbym teścik.

Zdecydowanie tak. A najlepiej duże kwoty dzielić między wiele portfeli i w ogóle rozważyć używanie multisig i/lub portfeli sprzętowych.