Pages:
Author

Topic: Леджер - аппаратный кошелек для хранения к - page 12. (Read 49695 times)

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Хранить все ключи не имеет смысла, так как для этого потребуется неизвестно какой объём этой самой энергонезависимой памяти.

Достаточно сохранить SEED и пассворд.
Да, вполне достаточно. Для ускорения операций можно было бы еще хранить корневой мастер-ключ, полкилобайта - не слишком много, но как там на самом деле устроено, я не знаю.
Quote
Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.
Я предпочитаю не верить ). Основная сумма у меня хранится в мультиподписном кошельке (с леджером).
hero member
Activity: 714
Merit: 1298
я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.


SEED (надо полагать вместе с пассвордом) сохраняется в BOLOS, операционке леджера,  записанной в энергонезависимую память  Secure Element

Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.


Бездоказательные рассуждения  о возможности вытащить в лабораторных условиях SEED вместе с пассвордом из энергонезависимой памяти Secure Element, получив физический доступ к устройству, близки к демагогии.


Будем верить компании Леджер до тех пор, пока кто-то не докажет обратное.


legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика.
А леджеровцы утверждают, что Secure Element неуязвим ).
Quote
Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек.
Достаточно. Но как его получить (если отбросить фантазии про камеры слежения)?
Quote
Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику.
Почему "значит"? Совсем неочевидно, я думаю (не уверен, ибо не искал эту информацию), что ключи генерируются только после ввода нужного пина.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.
Все что хранится в памяти может быть извлечено при правильном подходе и нужном оборудовании. Остальное уже лирика. Идея пассфразы всегда была в том, чтобы генерировать ключи на лету, при каждой новой загрузке набор ключей будет появляться заново и злоумышленник никогда не догадается, что пассфраза была даже при условии что он вложит огромные средства во взлом кошелька. Теперь же получается, что взламывать ничего и не нужно, достаточно заполучить ПИН и разблокировать кошелек. Вы говорите про два ПИНа, но сути это не меняет: вводить саму пассфразу не нужно, а значит ключи генерируются заранее и будут известны злоумышленнику. В нормальной же ситуации ПИН должен запрашиваться всегда и пассфраза должна запрашиваться всегда, даже если они не установлены. Злоумышленнику не нужно подкидывать идеи о вашей системе безопасности, просто скипая шаги для доступа к кошельку.
hero member
Activity: 714
Merit: 1298
Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.

Думаю witcher_sense прикалывается над нами. Ну не похож он на человека, способного ради набивки постов нести ахинею, которую даже ChatGPT себе не позволяет.

К слову, после установки пассворда и присваивании ему своего пина необходимо разорвать соединение  леджера с  USB. а затем соединить с USB и ввести этот пин, для того чтобы получить доступ к соответствующим адресам.

Я  чуть не обжогся не зная этой детали, когда купил новый s+ и установив пассворд от старого леджер  s пытался  сразу же без разрыва соединения  леджера  s+ с  USB получить на нём доступ к файлам  старых кошельков , на которых были мои средства. Электрум, к которому был подсоединён аппаратник отвечал, что расшифровать файлы старых кошельков не может. Можно только представить моё состояние.

И как оказалось, чтобы получить к ним доступ. всего то надо было разорвать соединенияе леджера с  USB и ввести  пин, присвоенный пассворду. Всё обошлось, но ситуация потрепала мои нервишки.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
Похоже, вы не в курсе, как в леджере это устроено. При включении леджера запрашивается пин-код, и, в зависимости от того, какой из двух пинов будет введен, откроется либо кошелек без пассфразы, либо с пассфразой. Таким образом, получив доступ к девайсу, злоумышленник никак не сможет понять, установлена пассфраза или нет.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.
Камеры слежения могут быть разными и я не говорил, что конкретно некачественные могут распознать движения и мелкие цифры на экране. Но в теории это возможно сделать даже в достаточно низком разрешении. Все будет зависеть от того, на каком расстоянии камера находится от кошелька. Тем более, если взять не абстрактные кошельки, то сейчас пошла мода на увеличение размера спмих аппаратников: хотя бы посмотрите на Ledger Stax или последнюю анонсированную модель ColCard размером с ладонь. Цифры там будут уже побольше, да и клавиатура может быть проще отслежена.

Quote
Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)
Лежа на спине головой к экрану ноубука с поднятыми руками вверх. Это одна из поз, для других можно почитать Камасутру.

Quote
А как он узнает, что она сохранена в памяти?
А как пользователь узнает? Либо ее вообще вводить не надо, либо это делается одним нажатием кнопки.
legendary
Activity: 3262
Merit: 3675
Top Crypto Casino
До 18 апреля при оформлении заказа на покупку Ledger через официальный сайт можно получить до 30$ в BTC. Возможно для кого-то это будет дополнительным стимулом к покупке аппаратного кошелька)

При заказе NANO X получите 30 баксов, а при заказе более простой версии NANO S PLUS получите 20 баксов. Подарок будет в виде физической подарочной карты, которая будет лежать в конверте вместе с вашим кошельком.




C деталями можно ознакомиться на странице шопа.
Доставка в РФ естественно недоступна)

+ есть возможность принять участие в программе Пригласи друга: https://support.ledger.com/hc/en-us/articles/6232510219933-How-to-Join-the-Refer-a-Friend-program (может быть полезным владельцам сайтов по тематике крипты, тг каналам и т.д.).





hero member
Activity: 714
Merit: 1298
witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр

Сомневаюсь, что для оплаты товаров  в магазине достают леджер.

Обычно для оплаты товаров  в магазине используется карточка (или мобильный кошелек), на которую заранее переводятся биткойны.  Я это делаю дома.

Даже когда приходилась обналичивать биткойны в автомате, полученный QR вводил в Электрум с подсоединённым Леджер ,сидя где-то в укромном месте.  Сейчас вообще перестал обналичивать в банкомате из-за больших комиссий. Гораздо выгоднее это делать через ту же карточку.

У Леджер код это 8 цифр, не 10.

Как сказал игорь72 они очень мелкие.

Камера ноутбука разглядеть их наверное может если ей показывать дисплей. Никто, находясь в здравом уме это делать не будет.

Вообще при работе с ноутбуком камера должна быть закрыта. Кажется ещё сноуден об этом говорил.

 У меня она вообще почти всегда закрыта и открываю очень редко. Да и код вводится дисплеем, расположенным к моему лицу, а не к камере. Другой "позы" представит себе не могу.

У уличных камер нет никаких шансов разглядеть пин. Ну разве только если не поднести к ним дисплей леджера. Но кто ж это будет делать.

legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения.
Давайте не какой-нибудь абстрактный аппаратник иметь в виду, а леджер (раз уж мы в теме по леджеру). Так вот, на дисплее леджера символы достаточно мелкие, я их с 30 сантиметров с трудом вижу без очков, а вы говорите о каких-то не самых качественных камерах слежения, находящихся на расстоянии нескольких метров в самом лучшем случае. Потом, в публичном месте я вполне могу прикрывать дисплей рукой при вводе пина. В общем, маловероятно это.
Quote
Через веб-камеру ноутбука, кстати, тоже.
Это ж в какой позе нужно вводить пин, чтобы он попадал в поле зрения камеры ноутбука?)
Quote
Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.
А как он узнает, что она сохранена в памяти?
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.
Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.
Ждём разъяснений.
PIN-код своровать сейчас не проблема: если вы пользуетесь аппаратником на улице или оплачиваете в магазине, то комбинация может быть засвечена через камеры слежения. Через веб-камеру ноутбука, кстати, тоже. Коды состоят из 10 цифр и воспроизвести из гораздо легче, чем рандомные тыканья по клавиатуре с целью поймать нужную букву. Злоумышленник при получении физического доступа к аппаратнику сможет его разблокировать с помощью пина, но средства он там не обнаружит, потому что они защищены парольной фразой. Если он подглядел и парольную фразу и попытается ее ваести, то не факт, что средства будут обнаружены: никакой ошибки не возникает, так как любая фраза является "правильной". У него могут возникнуть сомнения, что у вас вообще есть какие-то деньги. Но если фраза сохранена в памяти, то никакой неуверенности не возникнет: эту парольную фразу вы точно вводили если кошелек ее запомнил.
hero member
Activity: 714
Merit: 1298
Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно.




Сколько тебе кнопок надо, три, пять, десять?


Ну хотя бы такую виртуальную клавиатуру как в Trezor T или Keystone. И веди себя прилично, не “тыкай”.

У леджера есть виртуальная клавиатура, Искомые две кнопки служат в том числе и для управления этой клавиатурой.

Допускаю что ты не сумел разобраться как с помощью двух кнопок управлять  этой клавиатурой, но это не делает кошелек леджер неудобным для установки добавочного временного пассворда.  Для меня наоборот всё очень удобно. Думаю, что это относится и к остальным пользователями, способности которых позволили им разобраться в  виртуальной клавиатуре леджер.

Кошельки типа Keystone для меня были бы очень неудобными, так как я отношусь к тем, кому приходится не меньше чем раз тридцать в год пересекать границы между различными государствами.

Форум, а тем более биткойн форум,  это открытая площадка и ты не тот человек, чтобы указывать мне на ней что-то.
newbie
Activity: 19
Merit: 22
Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно.




Сколько тебе кнопок надо, три, пять, десять?


Ну хотя бы такую виртуальную клавиатуру как в Trezor T или Keystone. И веди себя прилично, не “тыкай”.
hero member
Activity: 714
Merit: 1298
Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно.




Глубочайшая мысль.  Можно сказать даже бездонная мысль из разряда перлов.Cheesy

Сколько тебе кнопок надо, три, пять, десять?
newbie
Activity: 19
Merit: 22
Не знаю почему Леджер сделал такое дизайнерское решение, но сохранять парольную фразу в памяти это очень плохая идея, потому что в таком случае она не сможет защитить вас от хакерской атаки. Парольная фраза не должна ассоциироваться с кошельком, она не должна вызывать ошибок при неправильном вводе и вводить ее нужно каждый раз для доступа к кошельку.

Здесь с Вами полностью соглашусь. Ledger решила сохранять парольную фразу в памяти, так как вводить ее постоянно используя всего 2 кнопки крайне не удобно. Для тех, кто хочет часто использовать различные парольные фразы есть другие аппаратные кошельки, которые лучше под это заточены.


[для меня важно, чтобы эти адреса не пересекались в будущем. 


Не проморгать пересечение адресов из одного набора задача не из простых. Она требует суперсосредоточенности и супервнимательности от пользователя при их выборе и тут без пота не обойдётся.

Не потея, ортогональности адресов, используемых в различных проектах, можно достичь если для каждого из проектов брать адреса из различнах наборов, которые создаются на кошельке Леджер одним из способов :

  • каждый набор создаётся из своего сида.(По мне это очень не удобно).
  • каждый набор создаётся из одного и того же сида  "усиленного" отличающимся  дополнительным 25-словом. Слова мугут быть очень простыми для запоминания, например 01, 02, 03 и так далее(Очень удобно),
  • каждый набор создаётся из одного и того же сида но  соответствует отличающемуся от других наборов путём деривации. (Опасно, потому что можно легко забыть уникальный путь деривации, особенно когда их много)

Выбирайте что нравится. Если бы передо мною стояла такая же как у вас задача, то я бы вторую выбрал опцию.

Все ваши советы для владельца кошелька Ledger не имеют никакого отношения.


Неужели никакого. Остаётся только рассмеяться в ответ.


У Вас задача набивать посты, или давать полезные советы людям, которые в них нуждаются?
Если всё-таки второе и не знаете как грамотно сформировать свою мысль, то лучше промолчите - за умного сойдёте.

Кроме того пользователь Witcher-sense в постах выше уже ответил пользователю Lannakosa как решить ее проблему с созданием различных аккаунтов. Вы же своими не уместными советами только вносите дополнительную путаницу.
hero member
Activity: 714
Merit: 1298
[для меня важно, чтобы эти адреса не пересекались в будущем.  


Не проморгать пересечение адресов из одного набора задача не из простых. Она требует суперсосредоточенности и супервнимательности от пользователя при их выборе и тут без пота не обойдётся.

Не потея, ортогональности адресов, используемых в различных проектах, можно достичь если для каждого из проектов брать адреса из различнах наборов, которые создаются на кошельке Леджер одним из способов :

  • каждый набор создаётся из своего сида.(По мне это очень не удобно).
  • каждый набор создаётся из одного и того же сида  "усиленного" отличающимся  дополнительным 25-словом. Слова мугут быть очень простыми для запоминания, например 01, 02, 03 и так далее(Очень удобно),
  • каждый набор создаётся из одного и того же сида но  соответствует отличающемуся от других наборов путём деривации. (Опасно, потому что можно легко забыть уникальный путь деривации, особенно когда их много)

Выбирайте что нравится. Если бы передо мною стояла такая же как у вас задача, то я бы вторую выбрал опцию.

Все ваши советы для владельца кошелька Ledger не имеют никакого отношения.


Неужели никакого. Остаётся только рассмеяться в ответ.

Автозаполнение или кэширование сводит на нет все ее преимущества, так как любой получивший физический доступ к аппаратному кошельку быстро определит где ваши средства.
Каким образом?

witcher_sense наверное имел ввиду, что если бы парольные фразы сохранялись, и их было много, то вероятность ввести с трёх попыток нужный ПИН была бы намного выше, чем в случае с двумя ПИНами.


Другого объяснения не нахожу, но допускаю что witcher_sense знает что-то, что не известно мне.


Ждём разъяснений.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Автозаполнение или кэширование сводит на нет все ее преимущества, так как любой получивший физический доступ к аппаратному кошельку быстро определит где ваши средства.
Каким образом?
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
2. Ledger позволяет сохранить в памяти только одну парольную фразу (25 слово) или постоянно вводить временную, что делать в нем крайне не удобно.
Не знаю почему Леджер сделал такое дизайнерское решение, но сохранять парольную фразу в памяти это очень плохая идея, потому что в таком случае она не сможет защитить вас от хакерской атаки. Парольная фраза не должна ассоциироваться с кошельком, она не должна вызывать ошибок при неправильном вводе и вводить ее нужно каждый раз для доступа к кошельку. Автозаполнение или кэширование сводит на нет все ее преимущества, так как любой получивший физический доступ к аппаратному кошельку быстро определит где ваши средства. Если вам не удобно вводить ыразу каждый раз, то используйте несколько кошельков: один для холодного хранения, другой для более частых переводов, для каждодневных переводов, и так далее. Еще интереснее, можно использовать только один сид для всех этих целей, кошелек для частых трат можно вообще не запароливать, а для холодного кошелька придумать пароль подлиннее. Но хранить пароль вместе с кошельком...
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Для биткоина я бы советовал подключить Леджер к Electrum (или Sparrow, если он больше нравится), там гораздо удобнее пользоваться coin control, да и вообще удобнее. Я, например, уже и не помню, отправлял хотя бы раз за 5 лет битки родным софтом леджера или нет, все время с электрума.
Это Electrum будет использоваться как Ledger Live?
Да, Electrum будет использоваться как интерфейс для леджера
Quote
Я недавно видела что Леджер теперь можно конектить с Trust wallet, расширение для браузера, но для меня использование леджера с Electrum или Trust wallet остаётся неизученным, не понимаю как это сделать.
Насчет Trust wallet я знаю мало (стараюсь обходить стороной кошельки с закрытым кодом), а в Electrum (имеется в виду десктопный клиент, в мобильном нет поддержки аппаратников) это делается так: новый кошелек - стандартный - аппаратный ключ - выбрать тип адресов и, при необходимости, путь деривации.
sr. member
Activity: 504
Merit: 433
Для биткоина я бы советовал подключить Леджер к Electrum (или Sparrow, если он больше нравится), там гораздо удобнее пользоваться coin control, да и вообще удобнее. Я, например, уже и не помню, отправлял хотя бы раз за 5 лет битки родным софтом леджера или нет, все время с электрума.
Это Electrum будет использоваться как Ledger Live? Я недавно видела что Леджер теперь можно конектить с Trust wallet, расширение для браузера, но для меня использование леджера с Electrum или Trust wallet остаётся неизученным, не понимаю как это сделать.
Pages:
Jump to: