I might be overly paranoid (and, handling other people's money, you might want to be too), but I'm not entirely sold on the security of brainwallets in the first place. And even though your phone is offline in the exact moment you type the password, you are still typing your password on a device that regularly connects to the internet, and is used for other things in other contexts. If your phone indeed was compromised and frequently connects to the internet, typing the password while standing in a vault with no connection would only offer a modicum of additional security.
I think Armory has some interesting use-cases involving offline signing of transactions, I would suggest taking a closer look at it. Also, you might want to consider a Trezor (http://www.bitcointrezor.com/).
From the post on Reddit, I also got the impression that both partners needed to add some knowledge (simultaneously) to the password to make it correct. What happens if (heaven forbid!) one or both of you suffers any kind of accident?
Topic: - - page 13. (Read 59272 times)
I dag har jeg vært en tur i banken og lagt inn litt paper wallets. Jeg har skrevet litt mer om det på Facebook
Det går alltid an å sikre ting bedre, f.eks. å legge halvparten av passordet i en bankboks og halvparten i en annen, men metoden vi bruker nå er bra nok for mengden bitcoin vi lagrer.
Det går alltid an å sikre ting bedre, f.eks. å legge halvparten av passordet i en bankboks og halvparten i en annen, men metoden vi bruker nå er bra nok for mengden bitcoin vi lagrer.
Why use passwords instead of just the private key? I mean, there is much more entropy in the private key than in most (even superstrong!) passwords! Also, a password often contains certain mnemonic devices - meaning you might in fact remember it (i.e. not rubber-hose proof), and also decreasing entropy further.
Further, please describe a little more closely how you transfer from your cold wallet to your hot wallet. If you, at some point, are required to type your password into an internet-connected computer, it's all futile.
I apologise for being rude - I realise these things are difficult - but these "security precautions" you have described sound more like "security theater" to me.
Er API-nøkkelen framleis SHA256 av brukarnamn + passord som vert sendt med som argument til GET, eller har de klekt ut noko betre? 
Ja, jeg har overveid alternativene og står ved valget mitt. Å bygge sikkerhet oppå TLS er security through obscurity. Jeg setter pris på at du vil hjelpe å sikre Justcoin og at du veier inn med din erfaring, spesielt ang. adgangsnivåer for API-nøkler.TLS sikrar ikkje i det heile mot mange typar åtak og brukarfeil. Nettopp difor er det lagd fleire standardar for å fungere saman med TLS for å forbetre tryggleiken. Dei er på ingen måte obskure, men secure by design. Til dømes signert REST (brukt av MtGox, Bitcurex og Amazon). Det sikrar mot åtak som TLS ikkje gjev noko vern mot. Kvar request må vere signert og unik. Enkelte (Localbitcoins, Bitcoin-Central, Google, Facebook) brukar OAuth 2 til API-autentisering og autorisering, men OAuth 2 er ikkje sikrare enn TLS. (OAuth 1 kan signere requestar, men har andre problem.)
Kva om ein brukar skriv feil ein gong han skal bruke APIet og hamnar på justcoin.co (førebels ikkje registert) i staden for justcoin.com? Då har eigaren av justcoin.co API-nøkkelen til brukaren i loggen sin. So enkelt er det å få API-nøkkelen på avvege. Ville ein gjennomsnittsbrukar då tenkt at eigaren av justcoin.co no har full tilgong til kontoen, sjølv om brukaren har tofaktorautentisering på web-grensesnittet? Med signerte requestar kan du ta det heilt med ro. Dei er verdilause for alle andre. Det er eitt døme der at TLS ikkje gjev noko vern, medan signert REST er sikkert.
Eg brukte forresten nett på båten mellom Hirtshals og Bergen her om dagen. Det var gratis og tregt som fy, og all trafikk, inkludert SSL, gjekk via ein proxy som komprimerte bilete og cacha grundig. No godtek ikkje eg kva som helst av sertifikat, men ein brukar som "måtte" ha tilgong til Justcoin der og då ville kanskje gjort det. *Poff*. Med signerte requestar er det derimot trygt, og eg kunne handle gjennom APIet til MtGox utan å vere redd for at brukbar autentiseringsinformasjon kom på avvege.
Vi har nå støtte for Google Authenticator. Om du skrur det på, må du bruke det hver gang du logger inn. Jeg anbefaler alle sterkt å skru det på. Det er umulig å vite om man har fått virus på maskinen sin, uansett hvor forsiktig man er eller hvilket operativsystem man bruker.
Er API-nøkkelen framleis SHA256 av brukarnamn + passord som vert sendt med som argument til GET, eller har de klekt ut noko betre? No skal det seiast at eg, etter å ha jobba med Unix og Linux i over 15 år, alltid utan nokon som helst brannmur eller anna fjas mellom meg og det opne nettet, aldri har sett eit virus på Linux. Dersom slike faktisk finst, skal ein vere ein sjeldan kombinasjon av uforsiktig og kunnskapsrik for å installere det.
Varför måste man verifiera med sin telefon?
På grunn av dette: https://www.google.no/search?q=mtgox+account+hacked+site:bitcointalk.org
Et forslag er at dere implementerer verving av nye brukere + premie/bonus 
Quote
Har du et eksempel på en tjeneste som har et slikt system som virker seriøst og ikke som et pyramidespill?
"https://crypto-trade.com" gir ut verve bonus fra de man verver (hvis de gjør salg da).
What is a referral?
A referral is a person whom you referred to join crypto-trade.com by giving him/her your referral link which you can find above. How it works?
First of all give your referral link to a person.As soon as the person clicks on your referral link he/she is redirected to the registration page with your username in "Referred by" field. After successful registration , you become his/her upline , so from then on every trade he/she makes , you will get 5% of trade fee as commission.
Noe ala dette hadde vært kult på justcoin.
Her er f.eks min ref link: https://crypto-trade.com/ref/TheChries
Akkurat registrert meg 
Ser ut som en grei side.
En ting jeg savner er historikk på tidligere salg (ikke bare personlig, men en felles historikk).
Har også ønske om at dere begynner med Primecoin: BTC/XPM eller XPM/BTC, det hadde vært helt fantastisk
Et forslag er at dere implementerer verving av nye brukere + premie/bonus
Ser ut som en grei side.En ting jeg savner er historikk på tidligere salg (ikke bare personlig, men en felles historikk).
Har også ønske om at dere begynner med Primecoin: BTC/XPM eller XPM/BTC, det hadde vært helt fantastisk
Et forslag er at dere implementerer verving av nye brukere + premie/bonus
Vi kan forsøke å selge litt BTC på justcoin.com framover vi også....
Flott! Send mail til [email protected] om du lurer på noe.
Noe annet dere også kan vurdere er såkalt "dark pool" funksjonalitet. I stedet for tradisjonelle bid/ask ordrebøker så matcher man til en beregnet dynamisk mid-price, som tar utgangspunkt i noen av de største børsene (Mt.Gox etc..) Ordreboken er i såfall usynlig inntil match.
About Dark Pools
• Buyers and sellers submit orders
into a dark pool. All orders are
hidden until after execution.
• Orders can optionally be assigned a
minimum execution size and/or a
limit price.
• When buy/sell orders can be
matched, the execution price is the
mid-point price of the primary
(reference) venue.
• Dark pool orders can be used to
minimise the ‘price impact’ of
trading.
• Dark pool trades occur at a better
price than aggressive orders sent to
the primary venue. (Improvement of
half the spread).
• Since resting dark pool orders are
hidden, there is no way of knowing
if an aggressive order will execute
until it is sent.
• At times, the reference price may be
unreliable and out of synch with
other venues creating the potential
for adverse selection.
About Dark Pools
• Buyers and sellers submit orders
into a dark pool. All orders are
hidden until after execution.
• Orders can optionally be assigned a
minimum execution size and/or a
limit price.
• When buy/sell orders can be
matched, the execution price is the
mid-point price of the primary
(reference) venue.
• Dark pool orders can be used to
minimise the ‘price impact’ of
trading.
• Dark pool trades occur at a better
price than aggressive orders sent to
the primary venue. (Improvement of
half the spread).
• Since resting dark pool orders are
hidden, there is no way of knowing
if an aggressive order will execute
until it is sent.
• At times, the reference price may be
unreliable and out of synch with
other venues creating the potential
for adverse selection.
Jump to: