dubbi e domande sulla sicurezza | Bitcointalksearch.org

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: joosh on August 20, 2017, 02:48:57 PM

Consiglio di stampare la passphrase su carta e tenerla in cassaforte. Delle chiavette non ci si può fidare, possono diventare illeggibili in qualsiasi momento. Annotati sul foglietto di carta anche il wallet (nome e versione) utilizzato perchè non tutti i wallet sono compatibili e usando la passphrase su un wallet diverso potresti non riuscire a recuperare i tuoi Bitcoin.

sisi sono d'accordo, il seed va gestito comunque separatamente!

joosh

newbie

Activity: 46

Merit: 0

Consiglio di stampare la passphrase su carta e tenerla in cassaforte. Delle chiavette non ci si può fidare, possono diventare illeggibili in qualsiasi momento. Annotati sul foglietto di carta anche il wallet (nome e versione) utilizzato perchè non tutti i wallet sono compatibili e usando la passphrase su un wallet diverso potresti non riuscire a recuperare i tuoi Bitcoin.

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: Sandro kensan on August 20, 2017, 01:57:21 PM

Quote from: asdlolciterquit_2 on August 18, 2017, 03:09:55 PM

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

Le chiavette smettono di funzionare e anche spesso. Non so la durata di una chiavetta ma non penso sia grande. Poi io avevo una chiavetta da 32 MB che aveva una capacità di molto inferiore, un tarocco.

Invece il paper wallet è proprio quello che vedi e quello che ti aspetti in durata.

Per esempio i CD dicevano durassero una eternità, poi si è visto che hanno una durata limitata e anche molto limitata.

si, questa è una cosa di cui devo tener conto!
Ma nella peggiore delle ipotesi, posso comunque usare solo il seed!

Sandro kensan

hero member

Activity: 708

Merit: 506

I support freedom of choice

Quote from: asdlolciterquit_2 on August 18, 2017, 03:09:55 PM

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

Le chiavette smettono di funzionare e anche spesso. Non so la durata di una chiavetta ma non penso sia grande. Poi io avevo una chiavetta da 32 MB che aveva una capacità di molto inferiore, un tarocco.

Invece il paper wallet è proprio quello che vedi e quello che ti aspetti in durata.

Per esempio i CD dicevano durassero una eternità, poi si è visto che hanno una durata limitata e anche molto limitata.

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 20, 2017, 11:02:00 AM

No aspetta, forse stiamo andando in loop... Wink

Io stavo rispondendo alla parte di domanda che avevi fatto al post #11:

Quote

Mi è sufficiente a questo punto prendere il wallet.dat metterlo su un paio di chiavette usb e NON tenerlo più sul pc? In questo caso, qualsiasi virus/malware non potrà fare niente, no?

per questo dicevo che non sarebbe stato più sicuro rispetto alla soluzione cold wallet.

Comunque:

Quote

ma che potrebbe succedere se un virus trovare l'eseguibile?

potrebbe succedere che a quel punto il virus SAPREBBE che usi Electrum, quindi l'attacco sarebbe decisamente più mirato.

mmmm, più mirato...se è un virus che cerca btc, i path e i sw alla fine non sono poi così tanti...no?
certo alla fine la sicurezza non è mai troppa...

duesoldi

legendary

Activity: 2562

Merit: 2640

No aspetta, forse stiamo andando in loop... Wink

Io stavo rispondendo alla parte di domanda che avevi fatto al post #11:

Quote

Mi è sufficiente a questo punto prendere il wallet.dat metterlo su un paio di chiavette usb e NON tenerlo più sul pc? In questo caso, qualsiasi virus/malware non potrà fare niente, no?

per questo dicevo che non sarebbe stato più sicuro rispetto alla soluzione cold wallet.

Comunque:

Quote

ma che potrebbe succedere se un virus trovare l'eseguibile?

potrebbe succedere che a quel punto il virus SAPREBBE che usi Electrum, quindi l'attacco sarebbe decisamente più mirato.

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 19, 2017, 12:51:50 PM

Quote from: asdlolciterquit_2 on August 19, 2017, 12:15:32 PM

Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

Non saprei.... se l'intenzione fosse di non usare il wallet per tot mesi non faresti prima a disinstallare tutto e poi reinstallare e ricreare il wallet reintroducendo le parole del seed? Così un eventuale virus non troverebbe nulla nel pc (intendo nemmeno l'eseguibile di electrum).
Secondo me la soluzione dello spostare il wallet.dat su usb non è né carne né pesce, nel senso che non ti da vantaggi rispetto ai due casi estremi che sono: uso di electrum online da una parte, e cold wallet dall'altro.
Ma ovviamente è una mia opinione.

ma che potrebbe succedere se un virus trovare l'eseguibile?
di base poi electrum non è istallato, io ho la versione "stand alone" che non si istalla.

Dovrei cancellare la cartella sotto roaming/appdata? ma a quanto so non credo aumenti la sicurezza fare così, perchè qualsiasi malware cosa ci fa con quei dati?

duesoldi

legendary

Activity: 2562

Merit: 2640

Stavo leggendo qualcosa nella sezione inglese (su altri temi) e ho trovato questo recente post che parla di una via "alternativa" al cold wallet. Alternativa nel senso che cita anche gli hidden volume di veracrypt per occultare il wallet:

https://bitcointalksearch.org/topic/instructions-on-crypto-security-for-high-risk-individuals-2093647

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: asdlolciterquit_2 on August 19, 2017, 12:15:32 PM

Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

Non saprei.... se l'intenzione fosse di non usare il wallet per tot mesi non faresti prima a disinstallare tutto e poi reinstallare e ricreare il wallet reintroducendo le parole del seed? Così un eventuale virus non troverebbe nulla nel pc (intendo nemmeno l'eseguibile di electrum).
Secondo me la soluzione dello spostare il wallet.dat su usb non è né carne né pesce, nel senso che non ti da vantaggi rispetto ai due casi estremi che sono: uso di electrum online da una parte, e cold wallet dall'altro.
Ma ovviamente è una mia opinione.

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 19, 2017, 06:20:26 AM

Sì ma come ti dicevo prima o poi questa chiavetta dovrai attaccarla al pc per copiare il wallet? in quel momento se il pc fosse infettato avresti il problema....

Invece con il cold wallet questo tipo di problema non l'avresti perché nel pc online non ci sarebbe alcun modo di mettere le mani sulle chiavi private (che risiederebbero solo e per definizione nel pc offline). L'unico file che sposti tra pc online e offline è quello della transazione (da firmare/firmata) che è un file di testo facilissimo da controllare per un antivirus.

no ma ok, mi torna.
Ma nell'ottica di non usare il wallet per tot mesi, penso che possa essere una buona soluzione, no?

Poi se deciderò di non holdare più, allora potrò pensare con calma a come intervenire.

duesoldi

legendary

Activity: 2562

Merit: 2640

Sì ma come ti dicevo prima o poi questa chiavetta dovrai attaccarla al pc per copiare il wallet? in quel momento se il pc fosse infettato avresti il problema....

Invece con il cold wallet questo tipo di problema non l'avresti perché nel pc online non ci sarebbe alcun modo di mettere le mani sulle chiavi private (che risiederebbero solo e per definizione nel pc offline). L'unico file che sposti tra pc online e offline è quello della transazione (da firmare/firmata) che è un file di testo facilissimo da controllare per un antivirus.

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 18, 2017, 02:41:09 PM

Ma prima o poi dovrai collegarla al pc, no ? e quando lo avrai fatto spiegami che differenza pensi ci possa essere con un secondo pc tenuto offline in modo da realizzare il cold wallet descritto nel link

ma io sono convinto che il cold wallet sia meglio eh!

Ma una chiavetta è molto più semplice da implementare. Ci vogliono 10 secondi, veramente.

Vorrei capire ci sono grosse falle di sicurezza che non vedo...

duesoldi

legendary

Activity: 2562

Merit: 2640

Ma prima o poi dovrai collegarla al pc, no ? e quando lo avrai fatto spiegami che differenza pensi ci possa essere con un secondo pc tenuto offline in modo da realizzare il cold wallet descritto nel link

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 18, 2017, 09:44:56 AM

Quanto pensi che possa essere sicura una chiavetta usb che "prima o poi" attaccheresti ad un pc online ?
E comunque potrebbe essere più sicura del pc stesso?

Credo che alla fine quel che vuoi fare sia molto vicino al lavorare con un cold wallet. Non ho capito dal tuo primo post se ne hai solo sentito parlare o se avevi approfondito la modalità operativa per cui ti riporto il link dove è spiegato molto bene come fare:

https://bitcointalksearch.org/topic/guida-cold-storage-sicuro-con-electrum-612624

la chiavetta fintanto che è offline (e lo è di base), è al sicuro no?
L'idea appunto è che non venga utilizzata.
E' sicuramente più sicura del pc, no?

E' chiaro che poi il punto critico sarà il pc, una volta che decido di fare una transazione.

duesoldi

legendary

Activity: 2562

Merit: 2640

Quanto pensi che possa essere sicura una chiavetta usb che "prima o poi" attaccheresti ad un pc online ?
E comunque potrebbe essere più sicura del pc stesso?

Credo che alla fine quel che vuoi fare sia molto vicino al lavorare con un cold wallet. Non ho capito dal tuo primo post se ne hai solo sentito parlare o se avevi approfondito la modalità operativa per cui ti riporto il link dove è spiegato molto bene come fare:

https://bitcointalksearch.org/topic/guida-cold-storage-sicuro-con-electrum-612624

asdlolciterquit_2

member

Activity: 112

Merit: 10

relativamente alla mia idea di cancellare il wallet.dat dal pc online e averlo solo su pennette usb, che ne pensate? Mi mette al sicuro?

MrEHQE

full member

Activity: 188

Merit: 100

https://www.larvalabs.com/cryptopunks/details/9724

bene, adesso prendiamo in mano i codici di electrum e implementiamo Cheesy

asdlolciterquit_2

member

Activity: 112

Merit: 10

Quote from: duesoldi on August 17, 2017, 03:21:25 PM

Quote from: MrEHQE on August 17, 2017, 05:08:46 AM

edit: non ricordo quale software, non di crypto mi pare, ha una seconda password che serve a "congelare" la vecchia password in caso di estorsione. E' un principio che si potrebbe applicare anche ai wallet, in qualche maniera.

Io ricordo che truecrypt consente di creare un hidden volume cui accedi solo con una pwd diversa da quella che usi per il volume principale.
Probabilmente tu ti riferisci a qualcosa di diverso visto che parli di "congelare" la prima pwd (e non è il caso del funzionamento di truecrypt) ma l'idea di base è sempre quella: usare due pwd diverse per fare una cosa analoga, solo che ognuna delle due pwd ti da accesso a dati (spazi) diversi.

Altro esempio. Negli antifurto moderni (quelli delle abitazioni per essere chiaro) di solito c'è un automatismo per cui:

se inserisci il tuo codice personale disattivi l'antifurto
se invece inserisci il codice aumentato di un'unità, viene fatta partire la chiamata anti coercizione (oltre a disabilitare l'antifurto)

è una funzione orma standard e l'idea è proprio far si che oltre all'azione nota (disabilitare l'antifurto - cosa che chi ti minaccia si aspetta tu faccia) ne venga compiuta anche una seconda ignota agli altri.

un wallet con una password "particolare/secondaria" in grado di attivare altri meccanismi mi sembra veramente un'ottima idea. Va implementato però con una certa accortezza...

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: MrEHQE on August 17, 2017, 05:08:46 AM

edit: non ricordo quale software, non di crypto mi pare, ha una seconda password che serve a "congelare" la vecchia password in caso di estorsione. E' un principio che si potrebbe applicare anche ai wallet, in qualche maniera.

Io ricordo che truecrypt consente di creare un hidden volume cui accedi solo con una pwd diversa da quella che usi per il volume principale.
Probabilmente tu ti riferisci a qualcosa di diverso visto che parli di "congelare" la prima pwd (e non è il caso del funzionamento di truecrypt) ma l'idea di base è sempre quella: usare due pwd diverse per fare una cosa analoga, solo che ognuna delle due pwd ti da accesso a dati (spazi) diversi.

Altro esempio. Negli antifurto moderni (quelli delle abitazioni per essere chiaro) di solito c'è un automatismo per cui:

se inserisci il tuo codice personale disattivi l'antifurto
se invece inserisci il codice aumentato di un'unità, viene fatta partire la chiamata anti coercizione (oltre a disabilitare l'antifurto)

è una funzione orma standard e l'idea è proprio far si che oltre all'azione nota (disabilitare l'antifurto - cosa che chi ti minaccia si aspetta tu faccia) ne venga compiuta anche una seconda ignota agli altri.

duesoldi

legendary

Activity: 2562

Merit: 2640

Quote from: asdlolciterquit_2 on August 17, 2017, 11:40:47 AM

io ho una domanda a riguardo: ma un keylogger, se io copio-incollo la password (invece di scriverla), è in grado di rubarla uguale?

Quando copi e incolli metti i dati nella clipboard, quindi è sufficiente che il keylogger salvi anche quella.... direi di sì insomma.
Per questo si dice che l'unico computer "sicuro" è un computer spento Wink

Topic: dubbi e domande sulla sicurezza (Read 1340 times)