Аппаратные кошельки - page 4.

bakasabo

legendary

Activity: 2520

Merit: 1218

Quote from: safar1980 on August 03, 2023, 01:03:32 PM

А по вашему пользователи хранят сид фразу на персональном компьютере?

Конечно. И не только сид фразу, но и все пароли от всего. Все ведь всегда думаю, что хакнут кого-то еще, но не его. Недавно как раз в англоязычной части форума был топик о том как пользователя высокого ранга хакнули. Вредоносное ПО было на его компе давно, и взломщик просто выжидал. Топик назывался что-то типа «не думал что это может произойти со мной».

Многие пользуются криптовалютой посредством использования компьютера, читаю новости о крипте на компьютере, скачивают файлы на компьютере, пользуются ежедневно компьютером, пароли придумывают такие, которые схожи с паролями на почту или комп. Слишком много компьютера в жизни, он слишком удобен и привычен. Все равно через него все проходит. Вот и сид фразы и пароли они оставляют на том устройстве, за которым чаще всего и проводят время.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 03, 2023, 01:03:32 PM

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

Думаю, что большинство пользователей либо прямо сейчас хранят секретные ключи на компьютере, либо когда-то копировали сид-фразу в файл, а потом удаляли оставив следы на жестком диске. В обоих случаях сид-фразу можно украсть удаленно, причем наличие аппаратного кошелька никак на это не влияет. Если пользователь решит ходлить в течение нескольких лет, то ему надо проводить ревизию своего сетапа, так как могут найтись дыры в определенном способе хранения. Хранение же в облаке - это одна сплошная дыра в безопасности, ревизии там проводить бесполезно, хранить там средства бессмысленно и опасно. Ну, а по поводу хранения дома в разных местах: чем больше копий, тем больше вероятность потерять одну из них. Здесь нужно сохранять баланс и распределять не в пределах одного помещения, а среди нескольких относительно удаленных локаций.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on August 02, 2023, 11:59:40 AM

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом.

Леджер, как я понял, предлагает услоугу, в которой пользователю советуют переложить всю заботу о безопасности своей заначки на плечи самой компании.

Отдай свои паспортные данные и ни о чём не думай, так простыми словами можно выразить то, что предлагает пользователям эта компания.

Вообще если кто-то думает, что существует 100% решение для безопасности его заначки, то он глубоко ошибается. Такого решения нет и скорее всего оно не появится и в будущем.

Её безопасность необходимо строить самому шаг за шагом, наращивая её слоями так, чтобы каждый новый слой накрывал собой слабые стороны старых слоёв, защищая в целом заначку от возникающих новых угроз.

Применительно к аппаратным кошелькам это может означать, что если уж пользователь выбрал их для хранения заначки, то каждый новый слой будет означать новый кошелёк от нового ппроизводителя и новая подпись к его новому мультисиг кошельку. Мультисиг схема при этом конечно усложняется и она должна соответствовать размеру самой заначки.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on August 01, 2023, 12:59:19 PM

Quote from: safar1980 on August 01, 2023, 04:38:42 AM

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 01, 2023, 04:38:42 AM

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on July 31, 2023, 12:13:55 PM

Quote from: safar1980 on July 31, 2023, 09:06:21 AM

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on July 31, 2023, 09:06:21 AM

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: satscraper on July 31, 2023, 01:30:19 AM

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

Если открыть сохраненный в редакторе, то там не скрыты публичные ключи, а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Читаю https://community.trustwallet.com/t/trust-wallet-rolls-out-encrypted-cloud-backup-recovery-feature/698307 и размышляю, на кого рассчитаны подобные решения, ведь даже из описания понятно, что это хранение в облаке никак не защищает вас от потери доступа к кошельку, а наоборот увеличивает вероятность такой потери. Во-первых, сид фраза шифруется с помощью пароля, который хранится у пользователя. В данном случае это означает, что потеря пароля равносильна потере доступа к кошельку и никакой проблемы "защиты от потери" тут не решается. Во-вторых, да, часть данных хранится в открытом виде и может быть полезна хакерам или еще кому для выявления потенциальных жертв. Даже если владельцы облака честнейшие люди, это не спасет от неожиданных сливов данных со всеми зашифрованными фразами и адресами. Хакеру останется только подобрать пароль, который у многих пользователей будет гораздо менее сложный, чем сама сид-фраза.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

Если открыть сохраненный в редакторе, то там не скрыты публичные ключи, а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

satscraper

hero member

Activity: 714

Merit: 1298

Тем кто интересуется Keystone 3 и думает о его приобретении может быть интересен свежий пост n0nce о возможной уязвимости этого кошелька, связанной с использованием встроенного в его нестандартную батарейку контролера заряда.

Теоретически этот контролер может исполнять зловредный код, встроенный злоумошленником, оказавшимся в цепочке поставок.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: satscraper on July 28, 2023, 10:27:03 AM

Quote from: safar1980 on July 28, 2023, 05:06:55 AM

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

Keystone многофункциональный кошелек и это делает его удобным именно для ежедневного использования. Для хранения такой набор функций не нужен.
Сейчас производителей этих кошельков больше, чем производителей телефонов, и много моделей появляются каждый новый квартал, поэтому сложно выбрать. До этого основными кошельками были трезор с леджером, а теперь все иначе.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on July 28, 2023, 05:06:55 AM

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on July 26, 2023, 12:46:42 PM

Quote from: satscraper on July 26, 2023, 10:21:45 AM

Я вот не пойму. На одном аппаратнике можно содать сколько угодно кошельков с разными сид фразами. Вводи себе эти сиды и получай для них свои кошельки

Для этого не нужен дополнительные SE. Другое дело если использовать эти дополнительные элементы для увеличения безопасности кошелька, например путем генерации энтропии в RNG этих элементов и её последующего смешивания.

Смысл затеи с несколькими SE только для того, чтобы создать нескольких кошельков остаётся для меня загадкой.

Все равно параноидальные личности будут использовать сторонние методы генерации энтропии, благо в Интернете полно гайдов как можно генерировать секреты абсолютно оффлайн. Так что здесь вопрос больше в методах хранения и безопасности сид-фразы уже после ввода в аппаратный кошелек. Если это какой-то инновационный метод с разделенинм, шифрованием и перемешиванием, то здесь тоже возникают вопросы в надежности кошелька. Многие пользователи предпочтут кошелек с проверенными временем технологиями и будут использовать его по старинке с одной сид-фразой. Зачем нужно больше одной сид-фразы я не знаю, лично у меня никогда не было необходимости в менеджементе нескольких кошельков одновремеено, тем более на одном устройстве, да и опять же это менее надежный сетап. Я склоняюсь к выводу, что увеличение количества SE и сид-фраз - это всего лишь маркетинговый прием без какой-либо реальной полезности.

Я выбираю другой кошелек, чтобы не хранить все на одном. Безопасность с сид фразами полезный и важный момент, но будет лучше если аппаратных кошелек никто не будет видеть и иметь к нему доступа кроме владельца. Для этой цели нужен кошелек без батареек с подключением к ПК.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on July 26, 2023, 01:24:32 PM

Есть кейсы когда множество сид фраз оказываются полезными. Но реализация этих многочисленных сид должна быть удобной для пользователя, прежде всего резервирование фраз должно быть удобным.

В ColdCard MK4 например это делается через детерминистическую энтропию. Одна мастер сид фраза способна сгенерировать, если не ошибаюсь. до 10000 сид потомков и пользователю не приходится бэкапить все 10000. Достаточно сделать бэкап одной только мастер сид фразы.

Точно то же самое позволяет сделать и Passport 2.

Это самое удобное решение для менеджмента нескольких сид-фраз, как только кто-то заговаривает про кошелек с мультисидами, то сразу надо тыкать носом в https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki Это решение подходит и для "семейных" кошельков, когда у одного шарящего человека хранятся бэкапы с основномым ключом, а остальные родственники пользуются детерминистскими кошельками и даже не думают о бэкапах. Хочется или нет, но именно на таких схемах типа BIP85 или https://fedimint.org/ будут основываться кастодиальные решения будущего: у одного человека или группы людей будут аппаратники с сингл или мультисигом, а зависимые будут пользоваться такими эфемерными одноразовыми ключами.

satscraper

hero member

Activity: 714

Merit: 1298

Есть кейсы когда множество сид фраз оказываются полезными. Но реализация этих многочисленных сид должна быть удобной для пользователя, прежде всего резервирование фраз должно быть удобным.

В ColdCard MK4 например это делается через детерминистическую энтропию. Одна мастер сид фраза способна сгенерировать, если не ошибаюсь. до 10000 сид потомков и пользователю не приходится бэкапить все 10000. Достаточно сделать бэкап одной только мастер сид фразы.

Точно то же самое позволяет сделать и Passport 2.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on July 26, 2023, 10:21:45 AM

Я вот не пойму. На одном аппаратнике можно содать сколько угодно кошельков с разными сид фразами. Вводи себе эти сиды и получай для них свои кошельки

Для этого не нужен дополнительные SE. Другое дело если использовать эти дополнительные элементы для увеличения безопасности кошелька, например путем генерации энтропии в RNG этих элементов и её последующего смешивания.

Смысл затеи с несколькими SE только для того, чтобы создать нескольких кошельков остаётся для меня загадкой.

Все равно параноидальные личности будут использовать сторонние методы генерации энтропии, благо в Интернете полно гайдов как можно генерировать секреты абсолютно оффлайн. Так что здесь вопрос больше в методах хранения и безопасности сид-фразы уже после ввода в аппаратный кошелек. Если это какой-то инновационный метод с разделенинм, шифрованием и перемешиванием, то здесь тоже возникают вопросы в надежности кошелька. Многие пользователи предпочтут кошелек с проверенными временем технологиями и будут использовать его по старинке с одной сид-фразой. Зачем нужно больше одной сид-фразы я не знаю, лично у меня никогда не было необходимости в менеджементе нескольких кошельков одновремеено, тем более на одном устройстве, да и опять же это менее надежный сетап. Я склоняюсь к выводу, что увеличение количества SE и сид-фраз - это всего лишь маркетинговый прием без какой-либо реальной полезности.

Topic: Аппаратные кошельки - page 4. (Read 154352 times)