Pages:
Author

Topic: Леджер - аппаратный кошелек для хранения к - page 11. (Read 49371 times)

hero member
Activity: 714
Merit: 1298
Задача как я говорил не забыть эти места. Записать опасно, потому что получаем рекурсию - надо и эту запись где-то прятать. Grin

Главное еще потом карту с красным крестиком составить, чтобы места не забыть.



Так её тоже нужно запрятать и записать где она запрятана.  Потом эту запись нужно запрятать в другое место и создать соответствующую карту, запрятанную в новое место. И так по кругу до бесконечности. Чистая рекурсия.

 Я после того как забыл место в своей квартире где спрятал свой пассворд, восстановив его после нескольких попыток из памяти, записал магическое  слово  фломастером на обратной стороне язычка одного из своих ботинок. Надеюсь, что теперь найти его смогу,  так как ботинок у меня не так уж много.


Наводка гопникам.  Проверяйте ботинки прохожих и может быть вам улыбнётся счастье.  Grin

legendary
Activity: 2394
Merit: 1476
Задача как я говорил не забыть эти места. Записать опасно, потому что получаем рекурсию - надо и эту запись где-то прятать. Grin

Главное еще потом карту с красным крестиком составить, чтобы места не забыть.

hero member
Activity: 714
Merit: 1298

Ну вообще то если действовать совсем повзрослому, то эти 48 слов надо бы держать не на одной бумажке, а хотя бы разъединить их на две части и хранить в двух разных местах, а это уже удвоенный риск потери одной из частей.
Зачем? По этой логике и 12 слов нужно на части делить? Мне такое не очень нравится. Просто нужно найти надежное место для хранения. А если уж делить, то хотя бы на 3 части с избыточной информацией на случай утраты одной из частей.

Зачем,? чтобы увеличить безопасность.  Вероятность того, что кто-то найдет две части меньше.

Мне тоже такой подход не нравится. Но фразу и пассворд хранил и храню  в двух местах.

Задача как я говорил не забыть эти места. Записать опасно, потому что получаем рекурсию - надо и эту запись где-то прятать. Grin

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange

Ну вообще то если действовать совсем повзрослому, то эти 48 слов надо бы держать не на одной бумажке, а хотя бы разъединить их на две части и хранить в двух разных местах, а это уже удвоенный риск потери одной из частей.
Зачем? По этой логике и 12 слов нужно на части делить? Мне такое не очень нравится. Просто нужно найти надежное место для хранения. А если уж делить, то хотя бы на 3 части с избыточной информацией на случай утраты одной из частей.
hero member
Activity: 714
Merit: 1298
мороки больше когда подписываешь.
Да, процесс занимает лишнюю минуту, но, так как это не оперативные средства, это совсем не напрягает. Зато, пока подписываешь на втором устройстве, есть возможность еще раз все перепроверить. Из минусов - невозможность подписать сообщение с такого адреса и немного более тяжелые транзакции (180 вбайт против 141 за 1 вход/2выхода), но это меня тоже не волнует, написал для тех, кто задумается о таком же способе хранения.

Ну вообще то если действовать совсем повзрослому, то эти 48 слов надо бы держать не на одной бумажке, а хотя бы разъединить их на две части и хранить в двух разных местах, а это уже удвоенный риск потери одной из частей.


Мне тут недавно пришлось  восстанавливать свой леджер из сид и пассворда, которые хранились в двух местах.

Где хранил сид помню отлично, а вот куда запрятал пассворд до сих пор вспомнить не удалось.

Благо дело после нескольких неудачных попыток удалось восстановить его из памяти.

Страшно подумать, что было бы если бы не удалось.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
мороки больше когда подписываешь.
Да, процесс занимает лишнюю минуту, но, так как это не оперативные средства, это совсем не напрягает. Зато, пока подписываешь на втором устройстве, есть возможность еще раз все перепроверить. Из минусов - невозможность подписать сообщение с такого адреса и немного более тяжелые транзакции (180 вбайт против 141 за 1 вход/2выхода), но это меня тоже не волнует, написал для тех, кто задумается о таком же способе хранения.

Quote
UPD. читал что некоторые хранят на стальных шайбах. Для 48 слов в два раз больше шайб нужно  Grin
Ну да ). Я храню "в облаке", у меня такой проблемы нет.
hero member
Activity: 714
Merit: 1298
Какая разница между хранением на бумажке 24 слов и 48?

А ну да, я об этом не подумал, разницы никакой. Но мороки должно быть больше когда подписываешь, как мне кажется.

UPD. читал что некоторые хранят на стальных шайбах. Для 48 слов в два раз больше шайб нужно  Grin

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Ну если на балансе миллионы, тогда конечно может быть как вариант.
К сожалению, не миллионы. Но мне так лучше спится ).
Quote
А так на мой взгляд спорное решение, пому что надо уже "заботиться" о двух подписантах. Потеря хотя бы одного из них приведёт в потери всего, что имеешь.
А в чем забота? Какая разница между хранением на бумажке 24 слов и 48?
hero member
Activity: 714
Merit: 1298
Основная сумма у меня хранится в мультиподписном кошельке (с леджером).

Ну если на балансе миллионы, тогда конечно может быть как вариант.

А так на мой взгляд спорное решение, пому что надо уже "заботиться" о двух подписантах. Потеря хотя бы одного из них приведёт в потери всего, что имеешь.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Хранить все ключи не имеет смысла, так как для этого потребуется неизвестно какой объём этой самой энергонезависимой памяти.

Достаточно сохранить SEED и пассворд.
Да, вполне достаточно. Для ускорения операций можно было бы еще хранить корневой мастер-ключ, полкилобайта - не слишком много, но как там на самом деле устроено, я не знаю.
Quote
Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.
Я предпочитаю не верить ). Основная сумма у меня хранится в мультиподписном кошельке (с леджером).
hero member
Activity: 714
Merit: 1298
я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.


SEED (надо полагать вместе с пассвордом) сохраняется в BOLOS, операционке леджера,  записанной в энергонезависимую память  Secure Element

Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.


Бездоказательные рассуждения  о возможности вытащить в лабораторных условиях SEED вместе с пассвордом из энергонезависимой памяти Secure Element, получив физический доступ к устройству, близки к демагогии.


Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.


legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.
А леджеровцы утверждают, что Secure Element неуязвим ).
Quote
Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек.
Достаточно. Но как его получить (если отбросить фантазии про камеры слежения)?
Quote
Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику.
Почему "значит"? Совсем неочевидно, я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.
legendary
Activity: 2450
Merit: 4414
🔐BitcoinMessage.Tools🔑
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.
Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика. Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек. Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику. В нормальной же ситуации ПИН должен запрашиваться всегда и пассфраза должна запрашиваться всегда, даже если они не установлены. Злоумышленнику не нужно подкидывать идеи о вашей системе безопасности, просто скипая шаги для доступа к кошельку.
hero member
Activity: 714
Merit: 1298
Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.

Думаю witcher_sense прикалывается над нами. Ну не похож он на человека, способного ради набивки постов нести ахинею, которую даже ChatGPT себе не позволяет.

К слову, после установки пассворда и присваивании ему своего пина необходимо разорвать соединение  леджера с  USB. а затем соединить с USB и ввести этот пин, для того чтобы получить доступ к соответствующим адресам.

Я  чуть не обжогся не зная этой детали, когда купил новый s+ и установив пассворд от старого леджер  s пытался  сразу же без разрыва соединения  леджера  s+ с  USB получить на нём доступ к файлам  старых кошельков , на которых были мои средства. Электрум, к которому был подсоединён аппаратник отвечал, что расшифровать файлы старых кошельков не может. Можно только представить моё состояние.

И как оказалось, чтобы получить к ним доступ. всего то надо было разорвать соединенияе леджера с  USB и ввести  пин, присвоенный пассворду. Всё обошлось, но ситуация потрепала мои нервишки.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.
legendary
Activity: 2450
Merit: 4414
🔐BitcoinMessage.Tools🔑
Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.
Камеры слежения могут быть разными и я не говорил, что конкретно некачественные могут распознать движения и мелкие цифры на экране. Но в теории это возможно сделать даже в достаточно низком разрешении. Все будет зависеть от того, на каком расстоянии камера находится от кошелька. Тем более, если взять не абстрактные кошельки, то сейчас пошла мода на увеличение размера спмих аппаратников: хотя бы посмотрите на Ledger Stax или последнюю анонсированную модель ColCard размером с ладонь. Цифры там будут уже побольше, да и клавиатура может быть проще отслежена.

Quote
Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)
Лежа на спине головой к экрану ноубука с поднятыми руками вверх. Это одна из поз, для других можно почитать Камасутру.

Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
legendary
Activity: 3262
Merit: 3675
Top Crypto Casino
До 18 апреля при оформлении заказа на покупку Ledger через официальный сайт можно получить до 30$ в BTC. Возможно для кого-то это будет дополнительным стимулом к покупке аппаратного кошелька)

При заказе NANO X получите 30 баксов, а при заказе более простой версии NANO S PLUS получите 20 баксов. Подарок будет в виде физической подарочной карты, которая будет лежать в конверте вместе с вашим кошельком.




C деталями можно ознакомиться на странице шопа.
Доставка в РФ естественно недоступна)

+ есть возможность принять участие в программе Пригласи друга: https://support.ledger.com/hc/en-us/articles/6232510219933-How-to-Join-the-Refer-a-Friend-program (может быть полезным владельцам сайтов по тематике крипты, тг каналам и т.д.).





hero member
Activity: 714
Merit: 1298
witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр

Сомневаюсь, что для оплаты товаров  в магазине достают леджер.

Обычно для оплаты товаров  в магазине используется карточка (или мобильный кошелек), на которую заранее переводятся биткойны.  Я это делаю дома.

Даже когда приходилась обналичивать биткойны в автомате, полученный QR вводил в Электрум с подсоединённым Леджер ,сидя где-то в укромном месте.  Сейчас вообще перестал обналичивать в банкомате из-за больших комиссий. Гораздо выгоднее это делать через ту же карточку.

У Леджер код это 8 цифр, не 10.

Как сказал игорь72 они очень мелкие.

Камера ноутбука разглядеть их наверное может если ей показывать дисплей. Никто, находясь в здравом уме это делать не будет.

Вообще при работе с ноутбуком камера должна быть закрыта. Кажется ещё сноуден об этом говорил.

 У меня она вообще почти всегда закрыта и открываю очень редко. Да и код вводится дисплеем, расположенным к моему лицу, а не к камере. Другой "позы" представит себе не могу.

У уличных камер нет никаких шансов разглядеть пин. Ну разве только если не поднести к ним дисплей леджера. Но кто ж это будет делать.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения.
Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.
Quote
Через веб-камеру ноутбука, кстати, тоже.
Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)
Quote
Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.
А как он узнает, что она сохранена в памяти?
legendary
Activity: 2450
Merit: 4414
🔐BitcoinMessage.Tools🔑
witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр и воспроизвести из гораздо легче, чем рандомные тыканья по клавиатуре с целью поймать нужную букву. Злоумышленник при получении физического доступа к аппаратнику сможет его разблокировать с помощью пина, но средства он там не обнаружит, потому что они защищены парольной фразой. Если он подглядел и парольную фразу и попытается ее ваести, то не факт, что средства будут обнаружены: никакой ошибки не возникает, так как любая фраза является "правильной". У него могут возникнуть сомнения, что у вас вообще есть какие-то деньги. Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.
Pages:
Jump to: