Аппаратные кошельки - page 4.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 03, 2023, 01:03:32 PM

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

Думаю, что большинство пользователей либо прямо сейчас хранят секретные ключи на компьютере, либо когда-то копировали сид-фразу в файл, а потом удаляли оставив следы на жестком диске. В обоих случаях сид-фразу можно украсть удаленно, причем наличие аппаратного кошелька никак на это не влияет. Если пользователь решит ходлить в течение нескольких лет, то ему надо проводить ревизию своего сетапа, так как могут найтись дыры в определенном способе хранения. Хранение же в облаке - это одна сплошная дыра в безопасности, ревизии там проводить бесполезно, хранить там средства бессмысленно и опасно. Ну, а по поводу хранения дома в разных местах: чем больше копий, тем больше вероятность потерять одну из них. Здесь нужно сохранять баланс и распределять не в пределах одного помещения, а среди нескольких относительно удаленных локаций.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on August 02, 2023, 11:59:40 AM

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом.

Леджер, как я понял, предлагает услоугу, в которой пользователю советуют переложить всю заботу о безопасности своей заначки на плечи самой компании.

Отдай свои паспортные данные и ни о чём не думай, так простыми словами можно выразить то, что предлагает пользователям эта компания.

Вообще если кто-то думает, что существует 100% решение для безопасности его заначки, то он глубоко ошибается. Такого решения нет и скорее всего оно не появится и в будущем.

Её безопасность необходимо строить самому шаг за шагом, наращивая её слоями так, чтобы каждый новый слой накрывал собой слабые стороны старых слоёв, защищая в целом заначку от возникающих новых угроз.

Применительно к аппаратным кошелькам это может означать, что если уж пользователь выбрал их для хранения заначки, то каждый новый слой будет означать новый кошелёк от нового ппроизводителя и новая подпись к его новому мультисиг кошельку. Мультисиг схема при этом конечно усложняется и она должна соответствовать размеру самой заначки.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 02, 2023, 09:40:50 AM

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on August 01, 2023, 12:59:19 PM

Quote from: safar1980 on August 01, 2023, 04:38:42 AM

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on August 01, 2023, 04:38:42 AM

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on July 31, 2023, 12:13:55 PM

Quote from: safar1980 on July 31, 2023, 09:06:21 AM

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on July 31, 2023, 09:06:21 AM

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: satscraper on July 31, 2023, 01:30:19 AM

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: safar1980 on July 30, 2023, 12:04:16 PM

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

Если открыть сохраненный в редакторе, то там не скрыты публичные ключи, а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Читаю https://community.trustwallet.com/t/trust-wallet-rolls-out-encrypted-cloud-backup-recovery-feature/698307 и размышляю, на кого рассчитаны подобные решения, ведь даже из описания понятно, что это хранение в облаке никак не защищает вас от потери доступа к кошельку, а наоборот увеличивает вероятность такой потери. Во-первых, сид фраза шифруется с помощью пароля, который хранится у пользователя. В данном случае это означает, что потеря пароля равносильна потере доступа к кошельку и никакой проблемы "защиты от потери" тут не решается. Во-вторых, да, часть данных хранится в открытом виде и может быть полезна хакерам или еще кому для выявления потенциальных жертв. Даже если владельцы облака честнейшие люди, это не спасет от неожиданных сливов данных со всеми зашифрованными фразами и адресами. Хакеру останется только подобрать пароль, который у многих пользователей будет гораздо менее сложный, чем сама сид-фраза.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли Cry

Если открыть сохраненный в редакторе, то там не скрыты публичные ключи, а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера

и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

satscraper

hero member

Activity: 714

Merit: 1298

Тем кто интересуется Keystone 3 и думает о его приобретении может быть интересен свежий пост n0nce о возможной уязвимости этого кошелька, связанной с использованием встроенного в его нестандартную батарейку контролера заряда.

Теоретически этот контролер может исполнять зловредный код, встроенный злоумошленником, оказавшимся в цепочке поставок.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: satscraper on July 28, 2023, 10:27:03 AM

Quote from: safar1980 on July 28, 2023, 05:06:55 AM

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

Keystone многофункциональный кошелек и это делает его удобным именно для ежедневного использования. Для хранения такой набор функций не нужен.
Сейчас производителей этих кошельков больше, чем производителей телефонов, и много моделей появляются каждый новый квартал, поэтому сложно выбрать. До этого основными кошельками были трезор с леджером, а теперь все иначе.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on July 28, 2023, 05:06:55 AM

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

safar1980

legendary

Activity: 1708

Merit: 1615

Payment Gateway Allows Recurring Payments

Quote from: witcher_sense on July 26, 2023, 12:46:42 PM

Quote from: satscraper on July 26, 2023, 10:21:45 AM

Я вот не пойму. На одном аппаратнике можно содать сколько угодно кошельков с разными сид фразами. Вводи себе эти сиды и получай для них свои кошельки

Для этого не нужен дополнительные SE. Другое дело если использовать эти дополнительные элементы для увеличения безопасности кошелька, например путем генерации энтропии в RNG этих элементов и её последующего смешивания.

Смысл затеи с несколькими SE только для того, чтобы создать нескольких кошельков остаётся для меня загадкой.

Все равно параноидальные личности будут использовать сторонние методы генерации энтропии, благо в Интернете полно гайдов как можно генерировать секреты абсолютно оффлайн. Так что здесь вопрос больше в методах хранения и безопасности сид-фразы уже после ввода в аппаратный кошелек. Если это какой-то инновационный метод с разделенинм, шифрованием и перемешиванием, то здесь тоже возникают вопросы в надежности кошелька. Многие пользователи предпочтут кошелек с проверенными временем технологиями и будут использовать его по старинке с одной сид-фразой. Зачем нужно больше одной сид-фразы я не знаю, лично у меня никогда не было необходимости в менеджементе нескольких кошельков одновремеено, тем более на одном устройстве, да и опять же это менее надежный сетап. Я склоняюсь к выводу, что увеличение количества SE и сид-фраз - это всего лишь маркетинговый прием без какой-либо реальной полезности.

Я выбираю другой кошелек, чтобы не хранить все на одном. Безопасность с сид фразами полезный и важный момент, но будет лучше если аппаратных кошелек никто не будет видеть и иметь к нему доступа кроме владельца. Для этой цели нужен кошелек без батареек с подключением к ПК.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on July 26, 2023, 01:24:32 PM

Есть кейсы когда множество сид фраз оказываются полезными. Но реализация этих многочисленных сид должна быть удобной для пользователя, прежде всего резервирование фраз должно быть удобным.

В ColdCard MK4 например это делается через детерминистическую энтропию. Одна мастер сид фраза способна сгенерировать, если не ошибаюсь. до 10000 сид потомков и пользователю не приходится бэкапить все 10000. Достаточно сделать бэкап одной только мастер сид фразы.

Точно то же самое позволяет сделать и Passport 2.

Это самое удобное решение для менеджмента нескольких сид-фраз, как только кто-то заговаривает про кошелек с мультисидами, то сразу надо тыкать носом в https://github.com/bitcoin/bips/blob/master/bip-0085.mediawiki Это решение подходит и для "семейных" кошельков, когда у одного шарящего человека хранятся бэкапы с основномым ключом, а остальные родственники пользуются детерминистскими кошельками и даже не думают о бэкапах. Хочется или нет, но именно на таких схемах типа BIP85 или https://fedimint.org/ будут основываться кастодиальные решения будущего: у одного человека или группы людей будут аппаратники с сингл или мультисигом, а зависимые будут пользоваться такими эфемерными одноразовыми ключами.

satscraper

hero member

Activity: 714

Merit: 1298

Есть кейсы когда множество сид фраз оказываются полезными. Но реализация этих многочисленных сид должна быть удобной для пользователя, прежде всего резервирование фраз должно быть удобным.

В ColdCard MK4 например это делается через детерминистическую энтропию. Одна мастер сид фраза способна сгенерировать, если не ошибаюсь. до 10000 сид потомков и пользователю не приходится бэкапить все 10000. Достаточно сделать бэкап одной только мастер сид фразы.

Точно то же самое позволяет сделать и Passport 2.

witcher_sense

legendary

Activity: 2450

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on July 26, 2023, 10:21:45 AM

Я вот не пойму. На одном аппаратнике можно содать сколько угодно кошельков с разными сид фразами. Вводи себе эти сиды и получай для них свои кошельки

Для этого не нужен дополнительные SE. Другое дело если использовать эти дополнительные элементы для увеличения безопасности кошелька, например путем генерации энтропии в RNG этих элементов и её последующего смешивания.

Смысл затеи с несколькими SE только для того, чтобы создать нескольких кошельков остаётся для меня загадкой.

Все равно параноидальные личности будут использовать сторонние методы генерации энтропии, благо в Интернете полно гайдов как можно генерировать секреты абсолютно оффлайн. Так что здесь вопрос больше в методах хранения и безопасности сид-фразы уже после ввода в аппаратный кошелек. Если это какой-то инновационный метод с разделенинм, шифрованием и перемешиванием, то здесь тоже возникают вопросы в надежности кошелька. Многие пользователи предпочтут кошелек с проверенными временем технологиями и будут использовать его по старинке с одной сид-фразой. Зачем нужно больше одной сид-фразы я не знаю, лично у меня никогда не было необходимости в менеджементе нескольких кошельков одновремеено, тем более на одном устройстве, да и опять же это менее надежный сетап. Я склоняюсь к выводу, что увеличение количества SE и сид-фраз - это всего лишь маркетинговый прием без какой-либо реальной полезности.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: safar1980 on July 26, 2023, 08:46:50 AM

Quote from: witcher_sense on July 25, 2023, 01:40:28 PM

Quote from: safar1980 on July 25, 2023, 07:45:13 AM

в Keystone 3 только 2 SE чипа отвечают за генерацию сидфразы и ее части хранятся на 2 чипах. При физическом взломе нада работать с 2 чипами, чтобы получить
нужные слова. А несколько логических кошельков в одном аппаратном для меня кажется удобной функцией.
Нападки на леджер закончились, но многочиповый стандарт для кошельков уже становится модным.

На форуме многие искали и ищут кошельки с такой функциональностью: некоторым пользователям нужно именно хранение нескольких сид-фраз и возможность работы с ними с помощью одного девайса. Не совсем понятно почему производители ограничились тремя кошельками, ведь теоретически можно было поддерживать такое количество, на которое хватает памяти. Хранение также можно разделить на несколько защищенных элементов, причем при попытке извлечения одного из элементов нужно предусмотреть удаление данных на другом. Ну, а идея с биометрией мне тоже кажется крайне неудачной: отпечаток пальца очень легко достать и подделать, безопасность такого аппаратника юудет сомнительной, особенно если не использовать дополнительную парольную фразу.

Я думаю 3 кошелька достаточно и то можно запутаться в них. Сидфраза хранится на 2 защищённых элементах, но без парольной фразы защита от спеца тоже сомнительная.
Защищенные элементы известные и у них найдутся уязвимости, когда профессиональные взломщики получат доступ.

Я вот не пойму. На одном аппаратнике можно содать сколько угодно кошельков с разными сид фразами. Вводи себе эти сиды и получай для них свои кошельки

Для этого не нужен дополнительные SE. Другое дело если использовать эти дополнительные элементы для увеличения безопасности кошелька, например путем генерации энтропии в RNG этих элементов и её последующего смешивания.

Смысл затеи с несколькими SE только для того, чтобы создать нескольких кошельков остаётся для меня загадкой.

Topic: Аппаратные кошельки - page 4. (Read 154216 times)