7 przykazań użytkownika Bitcoin

Rozmowny
Posty: 110
Rejestracja: 8 kwietnia 2013
Reputacja: 8
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: Adun » niedziela, 24 listopada 2013, 06:20

Dejmien pisze:Ogolnie to chyba trudno zlapac keyloggera na kompie jak sie ma antywirusa wiec mysle ze te kombinowanie coraz to wiekszym zabezpieczeniem portfela to jest troche paranoja.
To interesujące, bo z tego co wyczytałem o keyloggerach to mogą się zagnieździć na komputerze niezależnie od oprogramowania antywirusowego. Czy jakiś z bardziej doświadczonych użytkowników może się wypowiedzieć nt. keyloggerów i powyżej przeze mnie opisanego sposobu zabezpieczenia hasła do portfela?

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12950
Rejestracja: 16 kwietnia 2012
Reputacja: 1765
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: 7 przykazań użytkownika Bitcoin

Postautor: rav3n_pl » niedziela, 24 listopada 2013, 11:36

Wpisywać hasło z klawiatury ekranowej :D
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

Weteran
Posty: 1154
Rejestracja: 15 czerwca 2011
Reputacja: 317
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: qertoip » niedziela, 24 listopada 2013, 12:55

Adun pisze:Mam 'pomysł' na bezpieczny portfel. Powiedzcie mi tylko, czy taki sposób jest dobry:
1. Sciagam Mutlibita i instaluje go na pendrivie na swoim komputerze, na którym pracuje na codzien i synchronizuje sie z siecia.
2. Polaczam pendrive z porfelem do urzazenia, ktore nigdy wiecej nie polaczy sie z netem (świeżo po formacie/nowy z samym systemem)
3. Tworze mocne haslo i zapisuje kopie na sprzecie + na doatkowym pendrive.
4. Przelewam Bitcoiny z gieldy na moj adres, ale nikt nie ma prawa znać mojego hasla ponieważ tworzylem je offline.

I jak? :P
1. Będziesz jeszcze potrzebował transakcji offline aby wypłacić zaoszczędzone bitcoiny z komputera bez podłączania go do sieci.
2. Jest ryzyko, że zapomnisz hasło.
3. Jeśli zapiszesz hasło w password managerze, jest ryzyko że baza haseł wycieknie lub utracisz ją w zdarzeniu losowym.

Podsumowując, doszedłeś do punktu gdzie największym ryzykiem jest utrata hasła do bitcoinów. Dlatego często zaleca się utworzenie portfela papierowego bez żadnego szyfrowania. To znów rodzi nowe zagrożenia, czy ufasz swoim domownikom / współlokatorom / pracownikom banku, ryzyko nawet przypadkowej kradzieży czy pożaru itd.

Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.

Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie ;)
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Rozmowny
Posty: 110
Rejestracja: 8 kwietnia 2013
Reputacja: 8
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: Adun » niedziela, 24 listopada 2013, 17:13

Wpisywać hasło z klawiatury ekranowej :D
Ponoć klawiatura ekranowa wysyła "taki sam sygnał" (używając swojego laickiego języka :P) jak wciśnięcie klawisza na kompie. Nie mniej jest to dodatkowe zabezpieczenie, które może wyeliminować chociaż część keyloggerów.
1. Będziesz jeszcze potrzebował transakcji offline aby wypłacić zaoszczędzone bitcoiny z komputera bez podłączania go do sieci.
Z drugiej strony moge dokonać transakcji online i chwilę po tym przełączyć portfel do urządzenia offline, na którym zmienie hasło i zapiszę kopie kluczy, a nastepnie znowu podłączę portfel do maszyny online, żeby zaktualizować nowe hasło z siecią. Okno czasowe, przy wcześniejszym przygotowaniu nowego hasła będzie krótkie i bezpieczne dla moich btc. Chyba? :P
2. Jest ryzyko, że zapomnisz hasło.
Jeśli będę miał je zaszyfrowane truecryptem i trzymał w dwóch kopiach, na dwóch różnych nośnikach oraz zapamiętam je, to chyba mam szanse nie utracić tegoż hasła?

Weteran
Awatar użytkownika
Posty: 1494
Rejestracja: 7 czerwca 2011
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: Przemo » poniedziałek, 25 listopada 2013, 13:32

qertoip pisze:Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.
Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie ;)
I tak i nie.
Wystarczy mieć komputer odłączony od sieci i na nim wygenerować portfel, przesłać na adres wielką sumę bitków, portfel zaszyfrować mocnym hasłem (najlepiej jakąś sobie dobrze znaną frazą, zdaniem, którego się nie zapomni), portfel trzymać na tym kompie oraz w dwóch innych miejscach na przykład gdzieś w sieci.
Do tego można to wydrukować niezahasłowane na papierze i dać do sejfu w banku czy gdzieś do notariusza na wypadek jakbyśmy stracili pamięć czy umarli.

Uważam, że samo przechowywanie nie jest niebezpieczne.

Niebezpieczne jest tylko wysyłanie bitków - czyli moment w którym musimy wpisać hasło do portfela.

Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?
Sklep integracją z allegro i hurtowniami - niedługo z obsługą Bitcoin
Chcesz założyć sklep internetowy? Nic prostszego.

Weteran
Posty: 1154
Rejestracja: 15 czerwca 2011
Reputacja: 317
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: qertoip » poniedziałek, 25 listopada 2013, 13:51

Przemo pisze:
qertoip pisze:Podsumowując, bezpieczne przechowywanie dużych kwot kryptowalut to bardzo trudny problem.
Mam tu na myśli nie 10.000 PLN tylko kwoty, które mogą zrujnować życie ;)
I tak i nie.
Czynisz tu co najmniej dwa założenia:
- implementacja szyfrowania portfela w danym kliencie nie ma błędów (skoro umieszczamy kopie w sieci)
- bank/notariusz sam nie użyje / nie zgubi / nie ukradną mu papierowego portfela

Dla mnie to jest OK do sporych kwot, powiedzmy 50.000 zł ale jeśli hipotetycznie rozważam kwoty mogące zrujnować życie - powiedzmy wiele milionów złotych - zwłaszcza nieswoich bitcoinów - to bałbym się czynić takie założenia.

Nie mam gotowego rozwiązania ale na pewno w każdej ścieżce do bitcoinów musi być minimum dwuwarstwowe zabezpieczenie. Nigdy nie można polegać na jednej warstwie zabezpieczeń (np. "ufamy skrytkom bankowym" albo "ufamy implementacji szyfrowania portfela w Bitcoin-QT").
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Orator
Posty: 838
Rejestracja: 16 czerwca 2011
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: jerry » poniedziałek, 25 listopada 2013, 21:25

Przemo pisze:...
Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?
Taką funkcję na portfel Armory. Generujemy transakcję na portfelu online, przenosimy na pendrivie do portfela offline, podpisujemy i przenosimy transakcję do portfela online. Privkeye nie opuszczają portfela offline.

Podobnie działa portfel sprzętowy Tresor, przy współpracy z Multibitem. Zastrzegam, że na razie nie sprawdzałem tego w praktyce :)

Dyskutant
Posty: 233
Rejestracja: 6 lipca 2011
Reputacja: 34
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: Wojciech » poniedziałek, 25 listopada 2013, 22:57

Moim zdaniem Armory to świetnie zapowiadający się projekt. Bardzo prosta obsługa i zaawansowane funkcje. Polecam dla zaawansowanych.
Muszą niestety jeszcze poprawić trochę kod do wersji stabilnej bez zżerania ogromnych ilości pamięci.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 12950
Rejestracja: 16 kwietnia 2012
Reputacja: 1765
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: 7 przykazań użytkownika Bitcoin

Postautor: rav3n_pl » wtorek, 26 listopada 2013, 12:41

Przemo pisze:Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?
Wymaga to znania inputów, więc historię adresu musimy ściągnąć online, skopiować do skrytpu offline który podpisuje tx i możemy ją puścić online.
Niestety, "łatwiej" się nie da.
Chyba, że importujesz priva, wysyłasz co chcesz i puszczasz resztę na kolejny offline.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.17.0.1

Dyskutant
Posty: 174
Rejestracja: 28 listopada 2013
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: vanpytel » piątek, 29 listopada 2013, 09:45

Ja tworze takie rozwiązanie
1. Tworze dysk TrueCrypt
2. Instaluje system (windows/linux) na wirtualboxie
4. Odpalam odpowiednie klienty + synchronizacja + hasła na portfele
3. Dysk wirtualboxa jest zapisywany na dysku TC.
5 Hasła zapisuje w keepass (lub je zapamiętać, ale 256 bitowe ciężko zapamietać).
6 Teraz dysk TC mogę wysłać w chmurę np: dropbox.

W razie awarii mam kopie :)

Weteran
Posty: 1154
Rejestracja: 15 czerwca 2011
Reputacja: 317
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: 7 przykazań użytkownika Bitcoin

Postautor: qertoip » piątek, 29 listopada 2013, 10:10

rav3n_pl pisze:
Przemo pisze:Powinien powstać łatwy mechanizm, który działa na kompie odłączonym od sieci, wpisujemy hasło do portfela on nam generuje transakcje offline, którą przenosimy na pendrive do kompa online, wrzucamy do realizacji i już. Nawet jak ktoś nam przechwyci taki kod transakcji to nic nie zrobi bo ona ma podpis pasujący tylko do adresu doecelowego i kwoty.
Nie znam dobrze tych mechanizmów offline, nie ma takich łatwych?
Wymaga to znania inputów, więc historię adresu musimy ściągnąć online, skopiować do skrytpu offline który podpisuje tx i możemy ją puścić online.
Niestety, "łatwiej" się nie da.
Uściślijmy ;-)

Historię rzeczywiście trzeba ściągnąć online, to się nazwya watching-only-wallet.

Historii nie trzeba natomiast kopiować do komputera offline.

To działa tak:
1) tworzymy transakcję na komputerze online
2) podpisujemy transakcję na komputerze offline
3) wysyłamy transakcję na komputerze online

Podsumowując, komputer offline służy tylko do podpisywania transakcji. Nie ma historii, nie zna salda, nie zna inputów adresu -> nie może samodzielnie utworzyć transakcji ale może ją podpisać, bo do tego wystarczą klucze prywatne.
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Moderator
Awatar użytkownika
Posty: 10305
Rejestracja: 16 lutego 2013
Reputacja: 2905
Reputacja postu: 
1
Napiwki za post: 0 BTC

7 przykazań użytkownika Bitcoin

Postautor: Bit-els » poniedziałek, 21 stycznia 2019, 12:03

Odświeżam temat dla nowych użytkowników i dodaję propozycję bezpiecznej klawiatury mobilnej.
https://play.google.com/store/apps/deta ... pckeyboard

Praktycznie bez żądań uprawnień. Z góry trzeba odrzucić wszystkie samouczące się klawiatury typu swiftkey. One przesyłają wszystko na swoje serwery. Niby poza hasłami... :mrgreen:
Kto ma jakikolwiek portfel crypto na tel powinien przynajmniej używać fabrycznej. I wyłączyć inteligentne podpowiedzi. A najlepiej właśnie tę powyższą.
Tu jeszcze art
https://www.dobreprogramy.pl/Hackers-Ke ... 53822.html

Weteran
Awatar użytkownika
Posty: 3574
Rejestracja: 17 listopada 2011
Reputacja: 1915
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: śląskie dolnośląskie małopolska

7 przykazań użytkownika Bitcoin

Postautor: koparki » poniedziałek, 21 stycznia 2019, 12:43

fajna klawiatura, oraz cenna uwaga co do klawiatur ekranowych . Ja zachęcam do całkowitego usunięcia z systemu wszelkich usług powiązanych z Google, zwłaszcza gdy dany smartfon jest portfelem. Istnieje bogaty soft opensource zastępujący ekosystem googla , bez żądań uprawnień, bez spersonalizowanego logowania się , bez klawiatur i aplikacji które przekazują wszystko do korporacyjnej chmury.
np tu: https://f-droid.org

Skoda że twórca na gitchub nie udostępnia binarek.
Tutaj jest binarka , plik APK dla osób które mają usunięte z systemu wszelkie usługi powiązane z google:
https://f-droid.org/en/packages/org.poc ... ckeyboard/

Zawsze mam rację
Awatar użytkownika
Posty: 6106
Rejestracja: 15 lutego 2011
Reputacja: 3702
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

7 przykazań użytkownika Bitcoin

Postautor: ShadowOfHarbringer » poniedziałek, 21 stycznia 2019, 15:04

Bit-els pisze: poniedziałek, 21 stycznia 2019, 12:03 Odświeżam temat dla nowych użytkowników i dodaję propozycję bezpiecznej klawiatury mobilnej.
https://play.google.com/store/apps/deta ... pckeyboard

Praktycznie bez żądań uprawnień. Z góry trzeba odrzucić wszystkie samouczące się klawiatury typu swiftkey.
Wiesz co, ja powiem inaczej.

Przeanalizowałem jak działa struktura bezpieczeństwa w Androidzie (a szczególnie żałosne szyfrowanie oraz non-stop podsłuch Google'a) i doszedłem do wniosku że używanie zwykłego telefonu androida z usługami google i appkami ze sklepu google'a do logowania się gdziekolwiek totalnie mija się z celem i jest ekstremalnie niebezpieczne.

Obecnie loguję się na swoje serwisy tylko z laptopa, który jest podłączony do tel. z Androidem tylko przez WiFi + szyfrowane połączenie. Jest to jedyny sposób na zapewnienie sobie "rozsądnego" poziomu bezpieczeństwa.

Jak będę znowu chciał z telefonu wchodzić gdzieś na SSH, na konto w banku czy inne secure serwisy to kupię sobie chyba taki telefon specjalnie do tego:
https://puri.sm/products/librem-5/
"A poza tym uważam, że Bitcoin Core, SegWit i Lightning Network powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości