Леджер - аппаратный кошелек для хранения к - page 10.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on April 14, 2023, 06:26:41 AM

Ну вообще то если действовать совсем повзрослому, то эти 48 слов надо бы держать не на одной бумажке, а хотя бы разъединить их на две части и хранить в двух разных местах, а это уже удвоенный риск потери одной из частей.

Зачем? По этой логике и 12 слов нужно на части делить? Мне такое не очень нравится. Просто нужно найти надежное место для хранения. А если уж делить, то хотя бы на 3 части с избыточной информацией на случай утраты одной из частей.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on April 14, 2023, 06:13:38 AM

Quote from: satscraper on April 14, 2023, 05:56:39 AM

мороки больше когда подписываешь.

Да, процесс занимает лишнюю минуту, но, так как это не оперативные средства, это совсем не напрягает. Зато, пока подписываешь на втором устройстве, есть возможность еще раз все перепроверить. Из минусов - невозможность подписать сообщение с такого адреса и немного более тяжелые транзакции (180 вбайт против 141 за 1 вход/2выхода), но это меня тоже не волнует, написал для тех, кто задумается о таком же способе хранения.

Ну вообще то если действовать совсем повзрослому, то эти 48 слов надо бы держать не на одной бумажке, а хотя бы разъединить их на две части и хранить в двух разных местах, а это уже удвоенный риск потери одной из частей.

Мне тут недавно пришлось восстанавливать свой леджер из сид и пассворда, которые хранились в двух местах.

Где хранил сид помню отлично, а вот куда запрятал пассворд до сих пор вспомнить не удалось.

Благо дело после нескольких неудачных попыток удалось восстановить его из памяти.

Страшно подумать, что было бы если бы не удалось.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on April 14, 2023, 05:56:39 AM

мороки больше когда подписываешь.

Да, процесс занимает лишнюю минуту, но, так как это не оперативные средства, это совсем не напрягает. Зато, пока подписываешь на втором устройстве, есть возможность еще раз все перепроверить. Из минусов - невозможность подписать сообщение с такого адреса и немного более тяжелые транзакции (180 вбайт против 141 за 1 вход/2выхода), но это меня тоже не волнует, написал для тех, кто задумается о таком же способе хранения.

Quote

UPD. читал что некоторые хранят на стальных шайбах. Для 48 слов в два раз больше шайб нужно Grin

Ну да ). Я храню "в облаке", у меня такой проблемы нет.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on April 14, 2023, 05:42:44 AM

Какая разница между хранением на бумажке 24 слов и 48?

А ну да, я об этом не подумал, разницы никакой. Но мороки должно быть больше когда подписываешь, как мне кажется.

UPD. читал что некоторые хранят на стальных шайбах. Для 48 слов в два раз больше шайб нужно Grin

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on April 14, 2023, 05:37:22 AM

Ну если на балансе миллионы, тогда конечно может быть как вариант.

К сожалению, не миллионы. Но мне так лучше спится ).

Quote

А так на мой взгляд спорное решение, пому что надо уже "заботиться" о двух подписантах. Потеря хотя бы одного из них приведёт в потери всего, что имеешь.

А в чем забота? Какая разница между хранением на бумажке 24 слов и 48?

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on April 14, 2023, 04:45:16 AM

Основная сумма у меня хранится в мультиподписном кошельке (с леджером).

Ну если на балансе миллионы, тогда конечно может быть как вариант.

А так на мой взгляд спорное решение, пому что надо уже "заботиться" о двух подписантах. Потеря хотя бы одного из них приведёт в потери всего, что имеешь.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: satscraper on April 14, 2023, 04:27:18 AM

Хранить все ключи не имеет смысла, так как для этого потребуется неизвестно какой объём этой самой энергонезависимой памяти.

Достаточно сохранить SEED и пассворд.

Да, вполне достаточно. Для ускорения операций можно было бы еще хранить корневой мастер-ключ, полкилобайта - не слишком много, но как там на самом деле устроено, я не знаю.

Quote

Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.

Я предпочитаю не верить ). Основная сумма у меня хранится в мультиподписном кошельке (с леджером).

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on April 14, 2023, 02:07:34 AM

я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.

SEED (надо полагать вместе с пассвордом) сохраняется в BOLOS, операционке леджера, записанной в энергонезависимую память Secure Element

Quote from: witcher_sense on April 14, 2023, 12:35:46 AM

Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.

Бездоказательные рассуждения о возможности вытащить в лабораторных условиях SEED вместе с пассвордом из энергонезависимой памяти Secure Element, получив физический доступ к устройству, близки к демагогии.

Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: witcher_sense on April 14, 2023, 12:35:46 AM

Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.

А леджеровцы утверждают, что Secure Element неуязвим ).

Quote

Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек.

Достаточно. Но как его получить (если отбросить фантазии про камеры слежения)?

Quote

Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику.

Почему "значит"? Совсем неочевидно, я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on April 10, 2023, 07:45:30 AM

Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.

Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика. Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек. Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику. В нормальной же ситуации ПИН должен запрашиваться всегда и пассфраза должна запрашиваться всегда, даже если они не установлены. Злоумышленнику не нужно подкидывать идеи о вашей системе безопасности, просто скипая шаги для доступа к кошельку.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: igor72 on April 10, 2023, 07:45:30 AM

Quote from: witcher_sense on April 10, 2023, 07:17:34 AM

Quote

А как он узнает, что она сохранена в памяти?

А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.

Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.

Думаю witcher_sense прикалывается над нами. Ну не похож он на человека, способного ради набивки постов нести ахинею, которую даже ChatGPT себе не позволяет.

К слову, после установки пассворда и присваивании ему своего пина необходимо разорвать соединение леджера с USB. а затем соединить с USB и ввести этот пин, для того чтобы получить доступ к соответствующим адресам.

Я чуть не обжогся не зная этой детали, когда купил новый s+ и установив пассворд от старого леджер s пытался сразу же без разрыва соединения леджера s+ с USB получить на нём доступ к файлам старых кошельков , на которых были мои средства. Электрум, к которому был подсоединён аппаратник отвечал, что расшифровать файлы старых кошельков не может. Можно только представить моё состояние.

И как оказалось, чтобы получить к ним доступ. всего то надо было разорвать соединенияе леджера с USB и ввести пин, присвоенный пассворду. Всё обошлось, но ситуация потрепала мои нервишки.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: witcher_sense on April 10, 2023, 07:17:34 AM

Quote

А как он узнает, что она сохранена в памяти?

А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.

Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on April 06, 2023, 07:12:33 AM

Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.

Камеры слежения могут быть разными и я не говорил, что конкретно некачественные могут распознать движения и мелкие цифры на экране. Но в теории это возможно сделать даже в достаточно низком разрешении. Все будет зависеть от того, на каком расстоянии камера находится от кошелька. Тем более, если взять не абстрактные кошельки, то сейчас пошла мода на увеличение размера спмих аппаратников: хотя бы посмотрите на Ledger Stax или последнюю анонсированную модель ColCard размером с ладонь. Цифры там будут уже побольше, да и клавиатура может быть проще отслежена.

Quote

Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)

Лежа на спине головой к экрану ноубука с поднятыми руками вверх. Это одна из поз, для других можно почитать Камасутру.

Quote

А как он узнает, что она сохранена в памяти?

А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.

klarki

legendary

Activity: 3220

Merit: 3545

Top Crypto Casino

До 18 апреля при оформлении заказа на покупку Ledger через официальный сайт можно получить до 30$ в BTC. Возможно для кого-то это будет дополнительным стимулом к покупке аппаратного кошелька)

При заказе NANO X получите 30 баксов, а при заказе более простой версии NANO S PLUS получите 20 баксов. Подарок будет в виде физической подарочной карты, которая будет лежать в конверте вместе с вашим кошельком.

C деталями можно ознакомиться на странице шопа.
Доставка в РФ естественно недоступна)

+ есть возможность принять участие в программе Пригласи друга: https://support.ledger.com/hc/en-us/articles/6232510219933-How-to-Join-the-Refer-a-Friend-program (может быть полезным владельцам сайтов по тематике крипты, тг каналам и т.д.).

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: witcher_sense on April 06, 2023, 06:34:43 AM

Quote from: satscraper on April 04, 2023, 04:26:58 PM

witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.

PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр

Сомневаюсь, что для оплаты товаров в магазине достают леджер.

Обычно для оплаты товаров в магазине используется карточка (или мобильный кошелек), на которую заранее переводятся биткойны. Я это делаю дома.

Даже когда приходилась обналичивать биткойны в автомате, полученный QR вводил в Электрум с подсоединённым Леджер ,сидя где-то в укромном месте. Сейчас вообще перестал обналичивать в банкомате из-за больших комиссий. Гораздо выгоднее это делать через ту же карточку.

У Леджер код это 8 цифр, не 10.

Как сказал игорь72 они очень мелкие.

Камера ноутбука разглядеть их наверное может если ей показывать дисплей. Никто, находясь в здравом уме это делать не будет.

Вообще при работе с ноутбуком камера должна быть закрыта. Кажется ещё сноуден об этом говорил.

У меня она вообще почти всегда закрыта и открываю очень редко. Да и код вводится дисплеем, расположенным к моему лицу, а не к камере. Другой "позы" представит себе не могу.

У уличных камер нет никаких шансов разглядеть пин. Ну разве только если не поднести к ним дисплей леджера. Но кто ж это будет делать.

igor72

legendary

Activity: 1820

Merit: 1972

Crypto Swap Exchange

Quote from: witcher_sense on April 06, 2023, 06:34:43 AM

PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения.

Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.

Quote

Через веб-камеру ноутбука, кстати, тоже.

Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)

Quote

Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.

А как он узнает, что она сохранена в памяти?

witcher_sense

legendary

Activity: 2310

Merit: 4313

🔐BitcoinMessage.Tools🔑

Quote from: satscraper on April 04, 2023, 04:26:58 PM

witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.

PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр и воспроизвести из гораздо легче, чем рандомные тыканья по клавиатуре с целью поймать нужную букву. Злоумышленник при получении физического доступа к аппаратнику сможет его разблокировать с помощью пина, но средства он там не обнаружит, потому что они защищены парольной фразой. Если он подглядел и парольную фразу и попытается ее ваести, то не факт, что средства будут обнаружены: никакой ошибки не возникает, так как любая фраза является "правильной". У него могут возникнуть сомнения, что у вас вообще есть какие-то деньги. Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.

satscraper

hero member

Activity: 714

Merit: 1298

Cashback 15%

Quote from: Polkat on April 05, 2023, 07:37:04 AM

Quote from: satscraper on April 05, 2023, 06:46:00 AM

Quote from: Polkat on April 05, 2023, 04:01:32 AM

Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно.

Сколько тебе кнопок надо, три, пять, десять?

Ну хотя бы такую виртуальную клавиатуру как в Trezor T или Keystone. И веди себя прилично, не “тыкай”.

У леджера есть виртуальная клавиатура, Искомые две кнопки служат в том числе и для управления этой клавиатурой.

Допускаю что ты не сумел разобраться как с помощью двух кнопок управлять этой клавиатурой, но это не делает кошелек леджер неудобным для установки добавочного временного пассворда. Для меня наоборот всё очень удобно. Думаю, что это относится и к остальным пользователями, способности которых позволили им разобраться в виртуальной клавиатуре леджер.

Кошельки типа Keystone для меня были бы очень неудобными, так как я отношусь к тем, кому приходится не меньше чем раз тридцать в год пересекать границы между различными государствами.

Форум, а тем более биткойн форум, это открытая площадка и ты не тот человек, чтобы указывать мне на ней что-то.

Polkat

newbie

Activity: 19

Merit: 22