Dobre praktyki

Początkujący
Posty: 1
Rejestracja: 19 marca 2021
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Dobre praktyki

Postautor: johnrawls » piątek, 19 marca 2021, 21:30

Cześć, chciałbym zapytać was o dobre praktyki w kwestii bezpieczeństwa z punktu widzenia użytkownika portfeli softowych (np. electrum i exodus) oraz sprzętowych (np. ledger).

1. Aktualizacje portfeli
1a. Jaki sposób aktualizacji jest bardziej bezpieczny, samemu ściągając ze strony i instalując czy klikanie w powiadomienia w aplikacji jak jest np. w exodusie? Wydaje mi się, że na stronie możemy sprawdzić sumę kontrolną pliku i podpis, a powiadomienie może zostać wygenerowane przez złośliwe oprogramowanie i nie wiem jak można by to zweryfikować. Z drugiej strony powiadomienia ułatwią używanie zawsze aktualnej wersji portfela.
1b. Kiedy podatności z nieaktualnej wersji mogą być wykorzystane? Czy tylko jak wpisuje hasło do nieaktualnego oprogramowania portfela? Czy też np. jak wyszła aktualizacja portfela i przez x czasu jej nie ściągam ale też nie loguje się do portfela i nie robię transakcji to czy środki mogą być zagrożone?
1c. Czy nieaktualny watch-only portfel może być wykorzystany do ataku na nasze środki czy aktualizacją oprogramowania watch-only nie musimy się przejmować? Rozumiem że Ledger Live to jest watch-only bo klucze są w sprzęcie i tam podpisujemy transakcje?
1d. Jeżeli ściągacie bezpośrednio ze strony internetowej to czy jest różnica pod względem bezpieczeństwa czy to będzie wersja portable, standalone czy do instalacji?
2. System operacyjny.
2a. Wiadomo, że windows jest najmniej bezpieczny, ale jeżeli do tej pory używałem windowsa i dalej nie mogę z niego zrezygnować to jakie są opcje? Czy jest różnica pod względem bezpieczeństwa czy wydzielę partycję na drugi system operacyjny na komputerze czy dokupię dysk zewnętrzny i na nim zainstaluje linuxa?
2b. Czy jak zmigruje portfele softowe na linuxa to zostawienie ich nieużywanych na windowsie stanowi zagrożenie? W sensie czy zagrożeniem są głównie keyloggery do przechwycenia hasła czy są też inne sposoby kradzieży środków niż przechwycenie hasła/seed?
2c. Linux TAILS live jest najbezpieczniejszym środowiskiem, ale tam tylko mogę jednorazowo zainstalować soft i zaimportować seed? Zapisanie pliku portfela nie jest możliwe?
2d. Jak oceniacie bezpieczeństwo używania portfela softowego na niezrootowanym androidzie w porównaniu do zainstalowanego linux mint oraz windows? Mniej czy bardziej bezpieczne?
2e. Pytanie do osób które używają portfeli na androidzie. Nie boicie się że dane wpisywane klawiaturą są zbierane i mogą kiedyś wyciec? Używacie klawiatury systemowej czy instalujecie inną? Myślicie, że jest mniejsze ryzyko wycieku haseł z aplikacji open-source jak OpenBoard czy aplikacji od dużego dostawcy jak G-board tylko z wyłączonym połączeniem do internetu przez Net Guard?
3. Hasło/PIN, seed, passphrase
3a. Seed zawsze offline, ale czy trzymacie hasła/PIN oraz passphrase w keepass?
3b. Dzielicie seed na kilka lokalizacji czy trzymacie w całości ale zabezpieczone passphrase i środki na adresach wygenerowanych przez passphrase?
3c. Sprawdzacie czy zapisaliście seed dobrze i czy odtworzenie portfela działa? Portfele softowe chyba najbezpieczniej odtworzyć testowo z seeda na Linux Tails i ewentualnie włączyć internet po, żeby sprawdzić czy saldo jest poprawne. A co z portfelami sprzętowymi, testujecie recovery tylko i wyłącznie na innym trezor/ledger?
3d. Czy jeżeli chcecie portfel softowy przenieść na inne urządzenie to odtwarzacie z seeda? Czy raczej uważacie to za zbyt niebezpieczne i tworzycie nowy portfel? Czy uważacie, że odtworzenie portfela z seeda na androidzie albo na zainstalowanym linux mint i później przechowywanie walut na takim portfelu softowym za niebezpieczne?
4. Backup
4a. Czy backupujecie oprócz seed także dane lokalne portfela poprzez backup pliku portfela? Jeżeli tak to czy jest to w ramach backupu wszystkich danych komputera? Taki backup trzymacie w chmurze?
4b. Jeżeli robicie backup pliku portfela to czy dodatkowo szyfrujecie taką kopie? Jeżeli tak to czy używacie szyfrowania linuxa lub bitlocker w windows czy lepiej np. VeraCrypt?

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości