A importancia dos lacres nas caixas das Hardwallets

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Concordo!
Além de ser mais seguro também é possível "reduzir custos" e alcançar mais vítimas com esse tipo de golpe.
Os próprios órgão de segurança reconhecer que esse é novo modelo do crime que começou com aquelas ligações de dentro dos presídios e hoje possui sofisticadas "centrais bancárias" que conseguem enganar até mesmo quem já ouviu falar desse tipo de golpe.
O problema é que os órgãos de combate à esse tipo de crime parecem não conseguir acompanhar o crescimento tecnológico da bandidagem.

Agora, na real, por mais que não seja muito prático, eu ainda acho que as papper-wallet ou semelhantes (iron-wallet, etc) ainda são mais seguras do que qualquer dispositivo físico quando o assunto é cold-wallet em que a sua intenção é apenas de guardar bitcoin para sacar em um futuro distante.... tendo a segurança de armazenar a private-key em um lugar "não tão escondido" que você consiga encontrar após alguns anos, todas essas brechas de segurança tecnológicas são eliminadas.

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

uma grande vantagem do shamir é que ele te protege contra o ataque da chave de fenda de 5 reais.
ou pelo menos de compra tempo

fiquei curioso de ouvir os problemas dele, tem algum relato?

Forsyth Jones

hero member

Activity: 1120

Merit: 540

Duelbits - Play for Free | Win for Real

Quote from: joker_josue on September 06, 2024, 02:22:07 AM

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

Eu não recomendo esse método, acho inseguro e muito fácil de causar confusão mental como perder a ordem correta das palavras.

Quote from: Lucasgabd on September 06, 2024, 01:36:21 PM

corte~

É bom ter mais de um método de recuperação, mas há quem diga que o shamir backup não é tão seguro assim, preciso me aprofundar mais.

Deem uma olhada de como funciona o seed-otp na prática: seed-otp demo

Github

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

Quote from: Forsyth Jones on September 05, 2024, 04:14:22 PM

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

Eu lembro de usar o shamir backup assim que foi lançado na Trezor, mas sinceramente? Anotar 33 palavras e mais um conjunto necessários pra recuperar a carteira parece ser muito exagerado, mas agora o shamir backup permite 20 palavras, muito melhor, ainda não testei, mas pretendo testar novamente quando eu tiver animo pra anotar esse tanto de palavras.

Um método interessante é você criar um mnemônico falso, uma isca, mas isso na verdade é o seu mnemônico criptografado e que se combinado com uma senha (otp-key) a sua frase mnemônica verdadeira é revelada.

Mas esse método ainda apresenta falhas, ao criptografar o mnemônico, ele cria um mnemônico inválido, ou seja, se a pessoa copiar este mnemônico na electrum e selecionar o bip39, vai ver que é um mnemônico inválido. Mas dá pra enganar e fazer qualquer um pensar que é o seu mnemônico, quando na verdade ele carrega um segredo que só decriptado com a chave-otp.

Eu postei sobre isso um dia lá na grinda, valhe a pena conferir: https://bitcointalksearch.org/topic/cipher-method-to-encrypt-recovery-seed-words-using-a-unique-key-seed-otp-5495690

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

se preferir você pode fazer um shamir com uma seed de 24 ou 12 palavras também por si mesmo
mais palavras vão tornar a chave mais segura e possibilitar shamirs mais complexos (5 de 7 por exemplo) mas não é estritamente necessário fazer pela ferramenta deles
dá pra usar uma alternativa "no dedo" mesmo
"poor man's shamir", algo assim

Quote from: joker_josue on September 06, 2024, 02:22:07 AM

Quote from: Forsyth Jones on September 05, 2024, 04:14:22 PM

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

pode ser, só não vai se confundir e nunca mais conseguir recuperar seu backup

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: Forsyth Jones on September 05, 2024, 04:14:22 PM

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

Então, mas não seria mais pratico fazer mais ou menos isso já na seedphrase normal?
Por exemplo, eu aponto a frase normal trocando as palavras do local, sabendo que a palavra numero x é na realidade a numero y, e vice versa.

Forsyth Jones

hero member

Activity: 1120

Merit: 540

Duelbits - Play for Free | Win for Real

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

Eu lembro de usar o shamir backup assim que foi lançado na Trezor, mas sinceramente? Anotar 33 palavras e mais um conjunto necessários pra recuperar a carteira parece ser muito exagerado, mas agora o shamir backup permite 20 palavras, muito melhor, ainda não testei, mas pretendo testar novamente quando eu tiver animo pra anotar esse tanto de palavras.

Um método interessante é você criar um mnemônico falso, uma isca, mas isso na verdade é o seu mnemônico criptografado e que se combinado com uma senha (otp-key) a sua frase mnemônica verdadeira é revelada.

Mas esse método ainda apresenta falhas, ao criptografar o mnemônico, ele cria um mnemônico inválido, ou seja, se a pessoa copiar este mnemônico na electrum e selecionar o bip39, vai ver que é um mnemônico inválido. Mas dá pra enganar e fazer qualquer um pensar que é o seu mnemônico, quando na verdade ele carrega um segredo que só decriptado com a chave-otp.

Eu postei sobre isso um dia lá na grinda, valhe a pena conferir: https://bitcointalksearch.org/topic/cipher-method-to-encrypt-recovery-seed-words-using-a-unique-key-seed-otp-5495690

Com isso, você tem duas proteções adicionais: frase mnemônica criptografada semelhante a uma seedphrase normal com a mesma extensão e a passphrase, ou seja, o ladrão teria dois trabalhos.

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

Quote from: Paredao on September 04, 2024, 01:41:16 PM

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Sim, com certeza. Como faz falta um bom e velho cartório, onde se tinha que autenticar toda a documentação e depois caso ocorresse alguma fraude dava para processar. Hoje a bandidagem faz tudo pela internet. Viva a liberdade !!!!!!

hahaha me divirto com seus posts Paredao
acha que nos cartórios não tinha/tem nenhum golpe ou mesmo engenharia social?

e sim, a anonimização e o novo território de liberdade que e crypto possibilita coisas boas e ruins, assim é a vida com a maioria das novas tecnologias.

Quote from: Forsyth Jones on September 04, 2024, 03:29:19 PM

Quote from: joker_josue on September 04, 2024, 01:36:13 PM

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

No keepass, um gerenciador de senhas mais famoso do mundo e opensource, inclusive eu utilizo ele há 7 anos ou mais, tem uma função que, além de gerar senhas com caracteres aleatórios e complexos, geram palavras semelhantes a um mnemônico, mas usando palavras um pouco mais complexas como: outcome scrutiny ladies slept unlearned...

Seguindo essa dica de segurança, além de ser mais fácil de memorizar e de guardar, uma lista de palavras é mais fácil do que memorizar caracteres como: jS?Zpkt}r8bgalH}A-P$ e dependendo da extensão das palavras, possui o mesmo nível de segurança do que o exemplo de senha citado.

Um outro problema a ser resolvido quando usamos passphrase é que não devemos deixar que tanto a seed + passphrase caiam em mãos erradas, por isso não devem ser guardadas juntas, então ou memorizamos a passphrase ou deixamos ela guardada geograficamente longe da seedphrase. Como resolver esse problema?

legal, não sabia isso sobre o keepass

você fez a pergunta e já deu a resolução
só fazer um backup, preferencialmente estilo Shamir, e armazenar a passphrase e a seed em locais separados
pronto.

Forsyth Jones

hero member

Activity: 1120

Merit: 540

Duelbits - Play for Free | Win for Real

Quote from: joker_josue on September 04, 2024, 01:36:13 PM

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

No keepass, um gerenciador de senhas mais famoso do mundo e opensource, inclusive eu utilizo ele há 7 anos ou mais, tem uma função que, além de gerar senhas com caracteres aleatórios e complexos, geram palavras semelhantes a um mnemônico, mas usando palavras um pouco mais complexas como: outcome scrutiny ladies slept unlearned...

Seguindo essa dica de segurança, além de ser mais fácil de memorizar e de guardar, uma lista de palavras é mais fácil do que memorizar caracteres como: jS?Zpkt}r8bgalH}A-P$ e dependendo da extensão das palavras, possui o mesmo nível de segurança do que o exemplo de senha citado.

Um outro problema a ser resolvido quando usamos passphrase é que não devemos deixar que tanto a seed + passphrase caiam em mãos erradas, por isso não devem ser guardadas juntas, então ou memorizamos a passphrase ou deixamos ela guardada geograficamente longe da seedphrase. Como resolver esse problema?

Paredao

legendary

Activity: 3304

Merit: 1617

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

Sim, com certeza. Como faz falta um bom e velho cartório, onde se tinha que autenticar toda a documentação e depois caso ocorresse alguma fraude dava para processar. Hoje a bandidagem faz tudo pela internet. Viva a liberdade !!!!!!

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: Lucasgabd on September 04, 2024, 12:39:48 PM

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

Site interessante. Mas não é para usar num cenário real. Agora para simulação e testes, bem interessante para se ter uma ideia da complexidade que se deve procurar aplicar.

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

Quote from: Disruptivas on August 28, 2024, 05:06:03 PM

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

eita, que sacanagem
de novo, daria para mitigar o risco disso usando uma passphrase

(falando nisso sem querer descobri esse site super legal, olha só https://www.useapassphrase.com/ )

mas realmente, melhor SÓ comprar de revendedores autorizados

Quote from: tg88 on August 29, 2024, 05:38:35 PM

Quote from: rdluffy on August 29, 2024, 08:25:26 AM

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado Roll Eyes

. Parece que ele confiava bastante no amigo.

acredito que a tendência é que as pessoas mal intencionadas cada vez mais migrem para golpes de engenharia social ao invés de usar violência direta
pra que se arriscar se dá para enganar alguém sem sair de casa?

bem triste...

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: tg88 on August 29, 2024, 05:38:35 PM

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado Roll Eyes

. Parece que ele confiava bastante no amigo.

Com amigos desses quem precisa de inimigos?

Concordo, que os golpes centram-se mais na engenharia social. O golpe a nível de técnico, exige um conhecimento mais complexo e muito mais tempo e custos, tempo esse que pode nunca ser 100% recompensado. Enquanto na engenharia social, a recompensa é mais provável, ou pelo menos não exige tanto tempo gasto. Porque com o mesmo tempo, pode-se trabalhar varias potencias vitimas.

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: Lucasgabd on August 27, 2024, 11:45:20 AM

na Trezor T o lacre vem de uma forma que quando você remove fica uma cola, realmente difícil de falsificar, mas vamos lá, digamos que alguém conseguiu

crie sua seed e use uma passphrase por padrão, sempre

como a passphrase é opcional e pode ser QUALQUER coisa fica praticamente impossível descobrirem

Ah os lacres VOID? Vai se iludindo pensando que eles são seguros... com uma rápida pesquisa no youtube tu encontra pelo menos 10 molequinhos que recém "desmamaram" te ensinando como remover eles sem que a garantia saiba que tu mexeu no PC ou Videogame.
Já fiz teste de alguns, aquele "casca de ovo" ainda é o melhor, porém ele é muito frágil e não serve para a maioria das aplicações.

Enfim... lacre de segurança é igual cadeado, afasta alguns meliantes mais pé de chinelo, porém não garante a segurança do seu negócio.

Sobre as hardware-wallets, o melhor mesmo ainda é comprar de fontes confiáveis e se possível fazer uma inspeção visual criteriosa quando recebê-lo.
Eu realmente não entendo como é que existem pessoas que compram de sites não oficiais, tentando economizar migalhas na compra de um COFRE onde irão depositar milhares de $$$, tem que ser muito burro mesmo.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: rdluffy on August 29, 2024, 08:25:26 AM

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

Pois é pelo que andei vendo os golpes envolvendo hard wallets geralmente são menos sofisticados na parte técnica e mais focados na engenharia social mesmo. Pela versão contada pela vitima tudo indica que foi isso mesmo, ele já recebeu com a seed pronta e teve seu trabalho poupado Roll Eyes

. Parece que ele confiava bastante no amigo.

rdluffy

legendary

Activity: 2366

Merit: 1408

Quote from: tg88 on August 28, 2024, 05:41:58 PM

Influenciador perde R$ 1,2 milhão em criptomoedas após comprar carteira Trezor de fonte duvidosa

Pois é se ele tivesse lido esse tópico já teria evitado esse golpe facilmente. Mas a história é bem curiosa pois ele já era influencer e um seguidor convenceu ele a entrar no mundo cripto e presenteou ele com essa hardwallet com a seed gerada previamente Roll Eyes

Prenderam esse amigo porem não encontraram os milhões, se meu saldo sumisse assim e eu tivesse recebido uma hard wallet de presente com a seed já preenchida logo eu também já saberia quem foi.

Será que o cara nem resetou a carteira?

E também sempre há a possibilidade de alguém alterar algo na carteira para talvez gerar seeds que o hacker já criou, dando a falsa impressão que foi gerada pela sua hardwallet mesmo, mas aí precisa ser muito bom para fazer essa alteração

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Pois... o problema do Bitcoin, que não é problema, é quem esta fora disto e entrar por meio de alguém é se esse alguém é bandido.
Claro que isso não justifica, estamos a falar de dinheiro que dá trabalho para conseguir, e por isso deve ser usado sempre com cuidado, não importa qual a recomendação que se tenha.

A pessoa deve sempre ler e informar-se máximo possível sobre o Bitcoin ou outro qualquer ativo que irá investir.

tg88

legendary

Activity: 2492

Merit: 1429

Payment Gateway Allows Recurring Payments

Quote from: Disruptivas on August 28, 2024, 05:06:03 PM

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

Influenciador perde R$ 1,2 milhão em criptomoedas após comprar carteira Trezor de fonte duvidosa

Pois é se ele tivesse lido esse tópico já teria evitado esse golpe facilmente. Mas a história é bem curiosa pois ele já era influencer e um seguidor convenceu ele a entrar no mundo cripto e presenteou ele com essa hardwallet com a seed gerada previamente Roll Eyes

Prenderam esse amigo porem não encontraram os milhões, se meu saldo sumisse assim e eu tivesse recebido uma hard wallet de presente com a seed já preenchida logo eu também já saberia quem foi.

Disruptivas

legendary

Activity: 1428

Merit: 1568

Hoje saiu uma notícia sobre um cara que perdeu o equivalente a R$ 1.2 milhão por ter comprado uma hardware da Trezor de um fabricante não autorizado.

A notícia diz:

Embora carteiras de hardware sejam muito seguras, o problema é que essa pessoa teria gerado e guardado as 12 palavras que davam acesso à carteira de Ferrer.''

Pelo que entendi, um ''amigo/conhecido'' deu a wallet pra ele de presente.... mas eis que foi um presente de troia e depois drenou os fundos do moço.

Claro que não tem no final do dia nada a ver com a segurança das hardware, mas eis um tipo de presente que é dificil de aceitar rs

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

na Trezor T o lacre vem de uma forma que quando você remove fica uma cola, realmente difícil de falsificar, mas vamos lá, digamos que alguém conseguiu

crie sua seed e use uma passphrase por padrão, sempre

como a passphrase é opcional e pode ser QUALQUER coisa fica praticamente impossível descobrirem

bitmover

legendary

Activity: 2352

Merit: 6089

bitcoindata.science

Quote from: joker_josue on August 25, 2024, 12:13:23 PM

Quote from: tg88 on August 25, 2024, 06:56:58 AM

Hummmm esse ponto que eu ainda não tinha entendido, então sempre que eu retornar o padrão de fábrica eu consigo gerar uma nova seed? Por isso que eu não estava entendendo direito e pensava que a segurança era mais frágil do que realmente é na prática. Mas acho que eu abriria a minha sim pra dar aquela verificada básica.

Exato. Por isso, a primeira coisa que tem de ser feito assim que se liga o equipamento é criar uma seed. Se isso não acontecer, é sinal que algo não está bem.

Basta errar a senha sucessivas vezes que dá um factory reset, em geral 3 erros na maioria das wallets.

O problema de não ter lacre é que você pode obter um dispositivo totalmente adulterado com outro hardware dentro...

Topic: A importancia dos lacres nas caixas das Hardwallets (Read 446 times)