Pages:
Author

Topic: Аппаратные кошельки - page 54. (Read 154352 times)

legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
September 13, 2019, 03:41:13 PM
~snip~

Я вот одного не понял: если они от шейпшифт, то там случаем не нужно будет КУС проходить, в кошельке то, а?  Grin Или в декстопном интерфейсе, чтобы пользоваться кошельком.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 13, 2019, 11:06:41 AM
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ?
Не понял, какая инфа?
отсюда
если бы он хранился в флеш-памяти микроконтроллера
он видимо там и хранится
(а если не там то где?)
нигде
В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола.
только тут нет защиты от пожара
Ну и что? При чем тут пожар? От пожара сид прятать нужно.
На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке.
то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и снимай битки ?
Пин-код защищает.
member
Activity: 826
Merit: 56
September 13, 2019, 09:50:11 AM
Я только что завершил большую статью по аппаратному кошельку Keepkey. Раскрыл практически весь его функционал. Каждый раздел статьи наполнен подробными описаниями, скриншотами, фотографиями, ссылками на видео.
https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/
спасибо за статью,
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ?
Не понял, какая инфа?
отсюда
если бы он хранился в флеш-памяти микроконтроллера
он видимо там и хранится
(а если не там то где?)
+
В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола.
только тут нет защиты от пожара
+
На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке.
то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и сливай кассу ?
https://yandex.ru/ где ищут воры тайники
https://yandex.ru/ Куда не надо прятать ценности
Quote
https://rg.ru/2007/06/29/vor.html
Простукивают стены и полы - паркет, панель, кафель, линолеум или утеплитель - не помеха. Проверяют и потолок, особенно если он подвесной. Изучают балкон или лоджию. Цветы нередко вырывают с корнем: вдруг в горшке - клад? Не щадят ни детские игрушки, ни музыкальные инструменты - после ухода воров плюшевые мишки безжалостно прооперированы, скрипки разбиты, у аккордеонов изрезаны меха.
jr. member
Activity: 31
Merit: 77
September 13, 2019, 05:05:35 AM
Я только что завершил большую статью по аппаратному кошельку Keepkey. Раскрыл практически весь его функционал. Каждый раздел статьи наполнен подробными описаниями, скриншотами, фотографиями, ссылками на видео. Одно написание текста и его шлифовка заняла около 21 часа непрерывной работы. Это без учета времени на фотосессию и перенос статьи на движок сайта. Выпускаю эту статью как очередное детище и очень хотел бы, что как можно больше людей смогло найти ответы на свои вопросы по использованию кошелька.

Важные части статьи – это обзор нового интерфейса ShapeShift, U2F аутентификация (с визуалкой) и ответы на вопросы.

Вначале статьи есть удобная навигация по ключевым разделам:
01. Введение
02. Упаковка и комплектация
03. Интерфейс Keepkey client
04. Новый интерфейс ShapeShift
05. Совместимость
06. Документация и поддержка
07. Безопасность
08. U2F аутентификация
09. Частые вопросы
10. О производителе
11. Технические характеристики
12. Сравнение с Trezor и Ledger
13. Видео-обзоры

Небольшое заключение от себя.
Хочу сказать, что до появления ShapeShift у меня складывалось ощущение, что этот кошелек будет либо выкуплен другим проектом, либо закончит свое существование. Так как он сильно отставал от конкурентов Trezor и Ledger: не было поддержки u2f, кодовой фразы, segwit адресов, менеджера паролей, меньшая мультивалютность и главное - не было нормального интерфейса! В смысле не интерфейса-криптовалютного кошелька, а интерфейса приложения Keepkey Client.
За 2019 год компания реально подтянулась: ввела u2f, кодовую фразу и появился наконец-то ShapeShift интерфейс с возможностью обменивать крипту.

Основным преимуществом кошелька перед конкурентами является действительно большой дисплей 256x64px. Для сравнения Trezor T 240x240, Nano X 128x64. На мой взгляд, это идеальный кошелек для людей предпочитающим большие шрифты. Более того, кошелек удобно размещает любые виды публичных адресов на одном экране.

Мои хотелки или недостатки Keepkey:
1) добавить шаг - проверки мнемонической фразы (после записи) - сейчас этот шаг вовсе отсутствует. На мой взгляд, очень странное решение. Если есть контрольная сумма, то почему бы не прогнать пользователя через проверку? Учитывая потенциальный риск невнимательности людей и риск утраты денег это ОБЯЗАТЕЛЬНО надо сделать!
2) добавить в ShapeShift поддержку аккаунтов больше индекса 0. Сейчас отображаются только аккаунты с нулевым индексом.
3) добавить user friendly возможность отображения xpub ключа
4) доработать ShapeShift, чтобы можно было задавать все настройки - от пин-кода, времени блокировки и до восстановления. Сейчас можно только очищать кошелек и создавать новый и все!
5) уменьшить конские комиссии при обмене валют.

Если вы считаете, что статья будет полезной для знакомых и друзей, то просьба поделиться ею. Это будет ценным вкладом в развитие нашего проекта.
Ссылка на статью - https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 08, 2019, 02:02:01 PM
вот так новость
а как проводится сие "физическое взаимодействие" ?
https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor
https://www.reddit.com/r/TREZOR/comments/c8wyzg/waiting_for_a_response_to_this_seed_extraction/
https://wallet.fail/
https://www.reddit.com/r/TREZOR/comments/aa2dl3/these_guys_just_demonstrated_key_extraction_of/
Quote
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ?
Не понял, какая инфа?
member
Activity: 826
Merit: 56
September 08, 2019, 01:32:06 PM
Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно.
вот так новость
а как проводится сие "физическое взаимодействие" ?
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ?
особливо трезор-Т интересует
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
September 08, 2019, 08:22:59 AM
Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.

Ну я намекал скорее на действия разработчиков. Думаю ты понимаешь что в таком случае сумма прошивки ничего не значит. Притом, уже было расследование, что если используется тип атаки MITM с перехватом посылки и потом модифицируется сам аппаратник, то никакие чек суммы не помогут. Ссылочка: https://xakep.ru/2018/12/29/trezor-ledger-flaws/

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 08, 2019, 06:01:48 AM
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное.
А надежность хранения крипты от этого "каждый раз" не повышается разве ?
Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно.

На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке.
member
Activity: 826
Merit: 56
September 08, 2019, 05:22:35 AM
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное.
А надежность хранения крипты от этого "каждый раз" не повышается разве ?
legendary
Activity: 1512
Merit: 1442
thefuzzstone.github.io
September 08, 2019, 12:32:30 AM
Твиттер мне рекламу тыкнул...



Ну вот, еще один "the most secure"... Жду интересных новостей, от наивных дурачков, которые потеряли бабло. Ну и конечно, "the most secure" не open source, они только "plan to make it open-source".

Ну зато на сайте у них модный промо-ролик. Покупайте, лол.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 08, 2019, 12:32:30 AM
У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто.
Да, вроде хороший кошелек, все продумано, но софтописатели там средненькие и неторопливые (кажется, в общем это свойственно французам). Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное.
Quote
Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
Это да, обязательно. Но там сейчас приложение есть для этого, можно и без сброса сид прочекать, если кто-то эту операцию сразу не сделал.
copper member
Activity: 2254
Merit: 915
White Russian
September 08, 2019, 12:08:13 AM
А можно поподробнее?
Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины...

А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ).
Вот еще одно нашел..
У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто. Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 07, 2019, 11:48:49 PM
проверка чек-суммы прошивки
у трезора тоже есть ?
Да, в Trezor One загрузчик(bootloader) и прошивка(firmware) как-то там друг друга проверяют ). А в Trezor T еще есть неперезаписываемый boardloader, проверяющий загрузчик, который в свою очередь проверяет прошивку.

Нашел, как в леджере происходит проверка, описано здесь или здесь.
member
Activity: 826
Merit: 56
September 07, 2019, 05:11:28 PM
проверка чек-суммы прошивки
у трезора тоже есть ?

Особенно понравилось с Джеки Чаном
а главное то как же
+ обновился
https://www.youtube.com/watch?v=9JUFd3XCi7M
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 07, 2019, 04:09:49 PM
А можно поподробнее?
Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины...

А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ).
Вот еще одно нашел..

Quote
где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно
Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
September 07, 2019, 03:43:35 PM
Я тут где-то уже докладывал, что на днях у меня леджер сам сбросился до заводского состояния при подключении к Ledger Live (баг какой-то у них там, обещают исправить в следующей прошивке). Представляю ощущения при отсутствии сида ).

А можно поподробнее? Довольно "интересная", а если серъезно, то опасная ситуация. Знать было бы полезно.

Притом что сброс до заводских настроек сам по себе может быть свидетельством очень нехороших вещей (где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно, а в Леджере один чип закрыт и кто его знает что там, а второй на половину под действием лицензии Леджера)
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 07, 2019, 12:08:27 PM
Не, у нас тут домашние кражи - редкость ).

Повторюсь, всегда можно несколько скрытых и легкодоступных мест придумать для хранения "флешки", которые никакой вор не найдет за короткое время. Да и не знают домушники скорее всего, что это за брелок такой ).

Quote
А учитывая что некоторые люди могут не сохранить бэкап, то потеря аппаратника (даже если просто своруют) это считай конец всего.
Думаю, таких дебилов почти нет. Но так им и надо ). Я тут где-то уже докладывал, что на днях у меня леджер сам сбросился до заводского состояния при подключении к Ledger Live (баг какой-то у них там, обещают исправить в следующей прошивке). Представляю ощущения при отсутствии сида ).
legendary
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
September 07, 2019, 11:15:22 AM

 Grin

Определенно заслуживает мерита. Особенно понравилось с Джеки Чаном

Короче говоря, слишком частный случай, не вижу смысла строить на этом стратегию безопасности. В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола.

Наоборот как раз. В основном хаты вскрывают обычное ворье, притом довольно часто. Два раза уже был понятым у знакомых и слышал полно таких историй. А учитывая что некоторые люди могут не сохранить бэкап, то потеря аппаратника (даже если просто своруют) это считай конец всего.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
September 06, 2019, 04:37:26 PM
аппаратник это плохая защита в случаях непрямого грабежа. Вломились к вам ночью воры, и начали шмонать вещи. А потом такие хоп - а там аппаратник. И это может их сподвигнуть не только немного вас расспросить (если вы будете дома) но и лучше обыскать квартиру, а вдруг где то припрятан листочек с дополнительной информацией.

А так да, я так и представляю как воры такие шмонают вещи, садятся за комп (поиграть наверное?) и видят там ярлык Электрума (если он прямо на рабочем столе, что тоже не часто). Тру стори.
Окей, при таком сценарии ваш вариант лучше ). Конечно, при условии, что воры не спутают аппаратник с флешкой (и вообще знают, что такое аппаратный криптокошелек), плюс файловая система компа зашифрована (иначе, найдя криптософт на жестком, тоже могут вернуться).
Короче говоря, слишком частный случай, не вижу смысла строить на этом стратегию безопасности. В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола.
Pages:
Jump to: