Pages:
Author

Topic: dubbi e domande sulla sicurezza - page 2. (Read 1425 times)

member
Activity: 112
Merit: 10
August 17, 2017, 10:40:47 AM
#20
per le pass..chiaro sempre 2 ..pc + wallet..una ventina di caratteri, maiusc minusc, numeri e simboli...direi diano una buona sicurezza
qualsiasi attacco, avrebbe il suo bel da fare...cmq tutto vero quanto sopra, direi non si può mai sapere.

Certo che se adesso dico, un bel po di quel che già c'è si evolva, ......dal servizio classico bancario che conosciamo ad un mondo più aperto di servizi
.....immagino verrà giù il finimondo  Grin Grin Grin

io ho una domanda a riguardo: ma un keylogger, se io copio-incollo la password (invece di scriverla), è in grado di rubarla uguale?
sr. member
Activity: 894
Merit: 378
August 17, 2017, 07:53:13 AM
#19
per le pass..chiaro sempre 2 ..pc + wallet..una ventina di caratteri, maiusc minusc, numeri e simboli...direi diano una buona sicurezza
qualsiasi attacco, avrebbe il suo bel da fare...cmq tutto vero quanto sopra, direi non si può mai sapere.

Certo che se adesso dico, un bel po di quel che già c'è si evolva, ......dal servizio classico bancario che conosciamo ad un mondo più aperto di servizi
.....immagino verrà giù il finimondo  Grin Grin Grin
legendary
Activity: 3276
Merit: 2898
August 17, 2017, 05:03:33 AM
#18
sul limite di quanto ti rubano, dipende da quanti wallet hai. Un ladro potrebbe sapere che usi le crypto, ma non quali e con che quantità. Gli dai un bell wallet sacrificale e via. Sui mixer, ovviamente, c'è poco da fare, e peggio con crypto anonime tipo zcash.


beh se arriva un tizio  ti lega da qualche parte e ti fa un bel "lavoro medioevale al buco del culo"
(per citare una famoso film che rende l'idea) non so se dopo sei cosi' tranquillo...

e comunque si, il "wallet sacrificale" e' un primo passo in sicurezza personale, ma secondo me non sufficente,
e' l'equivalente della seconda cassaforte in casa, ma non credo ci sia qualche ladro che ancora se la beve.

comunque, non voglio fare terrorismo, voglio solo sensibilizzare sul fatto che  
non sono "solamente" problemi tecnici, ci sono anche aspetti molto piu' quotidiani e brutali.





legendary
Activity: 1273
Merit: 1004
August 17, 2017, 05:00:09 AM
#17

ma dici che vieni minacciato da dei malviventi per farti aprire il wallet e magari farti fare proprio una transazione? Oppure di farti dare il seed?

ah questo non lo so, pero' considerando che:

1) se uno possiede delle crypto, ha il modo di accedervi (e in molti casi e' anche l'unica persona)

2) una volta venuti in possesso di questo metodo la transazione si puo' fare velocemente e
non si torna indietro.

quindi sicuramente un ladro dovrebbe fare di tutto per generare subito una transazione,
aspettare che ci sia almeno una conferma, e poi ciao saluti e baci.

ribadisco, l'aspetto di sicurezza personale diventera' molto importante in futuro, per
quando uno si sia ingegnato con password, sandbox, e quel cavolo che ti pare,
i ladro sa una cosa: TU SAI COME ACCEDERE, quindi deve solo "convincerti" a farlo...

È vero, ma questo problema è arginabe, o meglio lo puoi limitare. Basta che ti crei doppi wallet per ogni moneta che hai, in uno ci tieni il tuo malloppo, nell'altro solo una parte, non piccolissima per non destare troppi sospetti. Così se ti vengono i ladri in casa sacrifichi i wallet più piccoli! Un po' come fanno i commercianti più accorti, tenendo 2 casse, una vera e l'altra semivuota per eventuali rapine!
full member
Activity: 188
Merit: 100
https://www.larvalabs.com/cryptopunks/details/9724
August 17, 2017, 04:20:27 AM
#16
è equivalente al furto su bancomat. ma a quel punto, una denuncia alla polizia permette di tracciare l'origine del furto: appena muovi soldi dalll'indirizzo X, basta seguire i soldi, a meno di mixer. E' alla base del concetto che bitcoin è pseudo anonimo. Chiedo conferma.

Io credo sia assolutamente diverso da un furto di bancomat.

Primo non ci sono limiti di quello che puoi possedere in crypto, su un bancomat ti rubano
al massimo qualche mila euro, in crypto il limite e' solo quante ne hai.

E come rintracciabilita' siamo su due mondi diversi:
gli strumenti per anonimizzare sono diversi: mixer, crypto anonime, gli stessi exchange...
puoi rubare milioni di euro in crypto (bitcoin compresi) e farla tranquillamente franca.



sul limite di quanto ti rubano, dipende da quanti wallet hai. Un ladro potrebbe sapere che usi le crypto, ma non quali e con che quantità. Gli dai un bell wallet sacrificale e via. Sui mixer, ovviamente, c'è poco da fare, e peggio con crypto anonime tipo zcash.
legendary
Activity: 3276
Merit: 2898
August 17, 2017, 04:15:11 AM
#15
è equivalente al furto su bancomat. ma a quel punto, una denuncia alla polizia permette di tracciare l'origine del furto: appena muovi soldi dalll'indirizzo X, basta seguire i soldi, a meno di mixer. E' alla base del concetto che bitcoin è pseudo anonimo. Chiedo conferma.

Io credo sia assolutamente diverso da un furto di bancomat.

Primo non ci sono limiti di quello che puoi possedere in crypto, su un bancomat ti rubano
al massimo qualche mila euro, in crypto il limite e' solo quante ne hai.

E come rintracciabilita' siamo su due mondi diversi:
gli strumenti per anonimizzare sono diversi: mixer, crypto anonime, gli stessi exchange...
puoi rubare milioni di euro in crypto (bitcoin compresi) e farla tranquillamente franca.

full member
Activity: 188
Merit: 100
https://www.larvalabs.com/cryptopunks/details/9724
August 17, 2017, 04:08:46 AM
#14
è equivalente al furto su bancomat. ma a quel punto, una denuncia alla polizia permette di tracciare l'origine del furto: appena muovi soldi dalll'indirizzo X, basta seguire i soldi, a meno di mixer. E' alla base del concetto che bitcoin è pseudo anonimo. Chiedo conferma.

edit: non ricordo quale software, non di crypto mi pare, ha una seconda password che serve a "congelare" la vecchia password in caso di estorsione. E' un principio che si potrebbe applicare anche ai wallet, in qualche maniera.
legendary
Activity: 3276
Merit: 2898
August 17, 2017, 03:01:55 AM
#13

ma dici che vieni minacciato da dei malviventi per farti aprire il wallet e magari farti fare proprio una transazione? Oppure di farti dare il seed?

ah questo non lo so, pero' considerando che:

1) se uno possiede delle crypto, ha il modo di accedervi (e in molti casi e' anche l'unica persona)

2) una volta venuti in possesso di questo metodo la transazione si puo' fare velocemente e
non si torna indietro.

quindi sicuramente un ladro dovrebbe fare di tutto per generare subito una transazione,
aspettare che ci sia almeno una conferma, e poi ciao saluti e baci.

ribadisco, l'aspetto di sicurezza personale diventera' molto importante in futuro, per
quando uno si sia ingegnato con password, sandbox, e quel cavolo che ti pare,
i ladro sa una cosa: TU SAI COME ACCEDERE, quindi deve solo "convincerti" a farlo...
member
Activity: 112
Merit: 10
August 17, 2017, 02:53:38 AM
#12
approfitto del thread per approfondire un aspetto della sicurezza non tecnico,
ma assolutamente importante.

immagino che ancora la criminalita' comune (per intenderci non gli hacker,
ma bensi' i ladri che girano per le case) sia poco "avvezza" alle cripto,
ma fra poco tempo, sicuramente cominceranno ad andare in giro in modo mirato
in cerca di questo nuovo tipo di bottino.

E immagino uno scenario veramente poco carino:

Si sparge la voce che tizio tratta criptovalute. da qui da dire
"sai che tizio ha fatto un sacco di soldi con le cripto" il passo e' breve.

e immagino la scena di tizio che una sera riceve una visita poco gradita,
di persone che hanno intenzione di fargli dire come accedere alle sue riserve..

e non essendoci intemediari, e' ovvio che tizio DEVE SAPERE come
si fa ad accedere ai sui capitali in cripto....

quindi immagino sia importante pensare anche a misure di sicurezza
personale, presumibilmente passive, per evitare spiacevoli dialoghi
(e temo che ne basti uno di questi dialoghi...)




ma dici che vieni minacciato da dei malviventi per farti aprire il wallet e magari farti fare proprio una transazione? Oppure di farti dare il seed?
member
Activity: 112
Merit: 10
August 17, 2017, 02:49:21 AM
#11
Per prima cosa grazie mille per questa risposta!

Ciao a tutti,
chiedo scusa se magari queste domande potranno sembrare stupide o ingenue.

Mi servirebbe un attimo arrivare ad un punto di chiarezza sufficiente per capire come proteggere i miei btc. E' chiaro che con l'aumentare vertiginoso del prezzo che c'è stato quest'anno, sia opportuno essere più attenti. Anche molti pochi btc iniziano ad essere molti soldi.

Regola numero 1, ampiamente ricordata in questo forum: non tenere niente sugli exchange, ma quindi tutto su un wallet locale.
Regola numero 2, anch'essa ampiamente ricordata in questo forum: crittografare il proprio wallet con una password robusta. Prima domanda: c'è un limite al numero di caratteri oltre il quale una password è considerata sufficientemente sicura?
Tutto è relativo. Se hai tanti soldi vengono a casa tua a chiederti "gentilmente" la password. Se hai windows creano facilmente un virus invisibile agli antivirus che ruba tutto quello che digiti e che si copia il wallet protetto da password.

Comunque io ho scritto un testo:

www.kensan.it/articoli/Password_sicurezza.php

in cui fatte alcune supposizioni estremamente stringenti arrivo ad affermare che con una password casuale da 15 caratteri+4 cifre è possibile mettere al sicuro almeno 1 milione di euro in bitcoin.

Ho letto il tuo link, molto interessante.
Non avevo mai letto un calcolo relativo alla spesa della corrente, ma sempre al tempo impiegato!

Regola numero 3, non lasciare le proprie chiavi private esportate dal wallet su un pc o comunque su un pc con accesso a internet. Questa non mi sembra di averla letta, ma mi sembra una conseguenza logica data l'importanza che hanno le chiavi private e le voci che sento su questi malware che riescono a rubartele.
Le chavi private non devono mai essere messi su alcun pc ma solo stampate con una stampante laser, plastificate e messe in sicurezza in cassaforte. Possibilmente tutta l'operazione deve avvenire in sicurezza ovvero su pc privi di virus. Comunque vale l'adagio di non investire mai più soldi in bitcoin di quelli che si è disposti a perdere.

Questo quello che succede se si usa una getto d'inchiostro:

http://www.kensan.it/articoli/QR_code_recupero.php

Il detto di essere la banca di se stessi comporta una serie di conseguenze spiacevoli tra cui avere un pc sicuro e quindi essere degli informatici esperti. Io in particolare uso linux. Questa è la conseguenza di non tenere i soldi sugli exchange.

Chiaro e lampante.
Domanda: se io ho solo le chiavi private (ma niente seed o wallet.dat), alla fine riesco lo stesso ad accedere ai btc di un portafoglio vero? Basta che ne creo un nuovo e importo tali chiavi. E' corretto?
E' per questo che anch'esse sono così importati, vero?


Regola numero 4, non lasciare le parole del seed su un file sul pc. Ecco, questa me la potete spiegare? C'è davvero il rischio che riescano a trovare le parole su un qualsiasi file di testo?

Risposta secca: sì, posso farlo io e quindi possono farlo qualsiasi virus. Il seed o le chiavi private hanno una struttura fissa che un malware può riconoscere con esattezza. In particolare il seed è un piccolo dizionario di 2000 parole (se non erro) tra cui ne è scelta qualche decina, quindi un virus può esaminare tutti i file di testo (con calma tanto ha tempo da vendere) e vedere se un file contiene di seguito le parole del seed dal dizionario. Se la risposta è affermativa ha trovato il seed e lo spedisce al campo base.

mmm.. ma come fa il virus a conoscere le 2000 parole del dizionario?


Ora, premesso che so che si puà raggiungere un livello di sicurezza maggiore oltre a quello consentito con queste regole (per esempio mi spiegavano che si può tenere il wallet su un pc sempre offline e poi solo firmare la transazione da un pc online), avrei alcune domande:

1)Cosa backuppare:
Ho un po' di confusione in testa a riguardo.
Al momento io ho dei backup su supporti esterni sia dell'intero eseguibile (electrum-2.8.3) sia dell'intera cartella electrum sotto Appdata/Roaming.
A quanto intuisco è...superfluo. Mi è sufficiente avere il wallet.dat E il seed. Oppure solo il seed? Oppure solo il wallet.dat?
Di base, se io dovessi anche solo cambiare pc, basta che reistallo electrum e successivamente creo un nuovo wallet dicendo che ho già il seed? Oppure ci sono altre procedure in cui il seed non serve?

2)come funzionano questi malware.
Di base io non ho ancora ben chiaro cosa serva per accedere ai btc di un wallet: password, chiavi private, seed e le relazioni tra essi.
E' chiaro che sul wallet che ho istallato sul mio pc, mi basta la password, ma se io ho solo il wallet? Che combinazione mi serve di quei 3 elementi?
Per esempio, se un qualche malware riesce a rubarmi durante una transazione le chiavi private (oppure solo una parte), cosa possono fare?

Scusate per le tante parole,
Spero possiate aiutarmi.

Grazie in anticipo!



Dal mio punto di vista quel che non sono le chiavi private sono un piccolo rischio ma in generale viene ritenuto da quasi tutti che basta e avanza mettere il seed in un posto sicuro (stampato e messo in cassaforte), Non serve salvare la password che protegge il wallet. Il seed permette di ricostruire il wallet in caso in cui si perde la password o in cui va a fuoco il pc. In pratica il seed ha sostituito la chiave privata.

Secondo me occorre però seguire l'evoluzione della tecnologia perché nulla vieta che tra qualche anno ci si ritrovi con wallet bitcoin che non sono più compatibili con i vecchi seed e quindi si è a rischio futuro. Certo si può sempre installare un vecchio electrum compatibile con le nostre obsolete seed ma è complicato.

Ecco, questo è un punto interessante.
Se semplicemente electrum non verrà più supportato, tra, non so, 1 anno, un portafoglio creato con seed su electrum può essere spostato su un altro software che gestisce sempre seed?

Quote
Quote
Per esempio, se un qualche malware riesce a rubarmi durante una transazione le chiavi private (oppure solo una parte), cosa possono fare?

Se il pc è compromesso non puoi fare nulla e perdi i tuoi soldi, per questo essere la banca di se stessi comporta l'essere informatici esperti o comunque diventarlo. Da ricordare che i virus nel mondo naturale colpiscono dove non c'è diversità genetica, le monocolture sono falcidiate dai virus e parassiti, le piante di banane (banano) crescono per talea e sono geneticamente identiche, si presume che alcune malattie metteranno in ginocchio la produzione di banane cavenedish come è già avvenuto in interi continenti.

Per questo avere un mac è meglio di avere un windows, ed è meglio avere una ubuntu ed è meglio avere una debian, ecc, ecc. Poi se uno ha pochi soldi può giocarci come vuole e tenerli su windows.

Quote
Di base, se io dovessi anche solo cambiare pc, basta che reistallo electrum e successivamente creo un nuovo wallet dicendo che ho già il seed?

Se non passano anni ed electrum non cambia il modo di gestire i seed allora basta il solo seed.

Compri un pc nuovo, installi electrum, inserisci il seed vecchio che hai stampato e hai tutti i tuoi soldi. Per proteggere il wallet ti verrà chiesta una password che sceglierai ex-novo.
[/quote]

A questo punto ho una domanda.

Io ho il mio seed su carta.
Ho la mia password memorizzata nel mio cervello.

Ho intenzione di holdare i miei btc ancora a lungo.

Mi è sufficiente a questo punto prendere il wallet.dat metterlo su un paio di chiavette usb e NON tenerlo più sul pc? In questo caso, qualsiasi virus/malware non potrà fare niente, no?
Poi se io volessi fare una transazione, mi basta copiare il wallet di nuovo nel suo path (previa certezza di non avere malware) e operare.
Ma fino a che il wallet.dat non è presente, non possono fare niente. E' corretto?

Grazie ancora!
legendary
Activity: 3276
Merit: 2898
August 16, 2017, 12:41:39 PM
#10
approfitto del thread per approfondire un aspetto della sicurezza non tecnico,
ma assolutamente importante.

immagino che ancora la criminalita' comune (per intenderci non gli hacker,
ma bensi' i ladri che girano per le case) sia poco "avvezza" alle cripto,
ma fra poco tempo, sicuramente cominceranno ad andare in giro in modo mirato
in cerca di questo nuovo tipo di bottino.

E immagino uno scenario veramente poco carino:

Si sparge la voce che tizio tratta criptovalute. da qui da dire
"sai che tizio ha fatto un sacco di soldi con le cripto" il passo e' breve.

e immagino la scena di tizio che una sera riceve una visita poco gradita,
di persone che hanno intenzione di fargli dire come accedere alle sue riserve..

e non essendoci intemediari, e' ovvio che tizio DEVE SAPERE come
si fa ad accedere ai sui capitali in cripto....

quindi immagino sia importante pensare anche a misure di sicurezza
personale, presumibilmente passive, per evitare spiacevoli dialoghi
(e temo che ne basti uno di questi dialoghi...)


hero member
Activity: 708
Merit: 506
I support freedom of choice
August 16, 2017, 11:07:56 AM
#9
Ah non sapevo fosse così facile...
Beh cmque idee di questo tipo sono facilmente estendibili facendo in modo che il risultato sia più difficile da interpretare. Esempio (nuova regola):
in ogni parola del seed introduco un numero che mi dice quante lettere cancellare dopo quel numero prima di ottenere la parola corretta.
Ovvero  help potrei trasformarla in  he2oulp3
(ed il 3 finale messo solo per confondere le idee non avendo altre lettere dopo da cancellare)

Questa secondo me sarebbe difficile da "interpretare" per un virus.

Ho tempo e quindi tanto per parlare di come farei io. Invierei tutti i file che contengono la parola seed e che siano brevi, oppure invierei i file che contengono esattamente il numero di parole del seed e che non sono nel dizionario italiano inglese.

Ma i costruttori di virus ne sanno molto più di me...
legendary
Activity: 2562
Merit: 2640
August 16, 2017, 10:59:53 AM
#8
Ah non sapevo fosse così facile...
Beh cmque idee di questo tipo sono facilmente estendibili facendo in modo che il risultato sia più difficile da interpretare. Esempio (nuova regola):
in ogni parola del seed introduco un numero che mi dice quante lettere cancellare dopo quel numero prima di ottenere la parola corretta.
Ovvero  help potrei trasformarla in  he2oulp3
(ed il 3 finale messo solo per confondere le idee non avendo altre lettere dopo da cancellare)

Questa secondo me sarebbe difficile da "interpretare" per un virus.
hero member
Activity: 708
Merit: 506
I support freedom of choice
August 16, 2017, 10:46:13 AM
#7
Oh, devo dire: complimento a Sandro per questa OTTIMA sintesi!

Per mitigare il pericolo espresso nella risposta al punto  4) un suggerimento può essere aggiungere una lettera a caso in qualsiasi posizione delle parole in modo da non farle riconoscere come appartenenti al dizionario. Esempio   help potrebbe diventare healp.
L'importante è che tu riesca a trovare una regola che ti consenta di riconoscere a distanza di anni quale sia l'errore volutamente inserito nelle parole - e qui la fantasia si può sbizzarrire ma è bene che ognuno ci metta del proprio.


Se programmi in php sai che c'è una funzione che ti dice quanto simili sono due parole, per esempio per il mio sito kensan.it ho fatto in modo che l'accesso ai testi che ho scritto generasse una pagina 404 in cui se al posto del link:
www.kensan.it/articoli/Password_sicurezza.php
ci fosse:
www.kensan.it/articoli/Password_sicurezzza.php
si vieni invitati alla pagina giusta. Ovviamente questo vale per qualsiasi variante e si può stabilire il livello di similitudine. Quindi se per caso il virus conosce o sospetta questa abitudine dei possessori di bitcoin può facilmente ovviare al problema come ho fatto io per il mio sito. Venti parole simili consecutive a quelle del dizionario dei seed indicano chiaramente che si tratta di un seed. È più facile che dopo due anni uno non riconosca più le parole del seed che un virus non possa riconoscere che si tratti di un seed. Poi è la solita caccia del ladro che sorpassa la guardia e viceversa.

edit:

Se uno è un informatico potrebbe memorizzare non il seed ma i suoi hash e poi costruirsi un programmino per invertire il seed col brute force partendo dal dizionario. Oppure il seed crittografato a partire da un salt (password) memorizzata in chiaro insieme al file. Comunque è meglio non memorizzare mai il seed in chiaro sul pc perché è a facile rischio furto soprattutto su un pc windows di un utente non informatico. Almeno un virus deve essere molto evoluto per rubare il wallet quando è protetto da password (forte), col seed in chiaro od oscurato parzialmente il gioco è molto semplice, troppo semplice.
legendary
Activity: 2562
Merit: 2640
August 16, 2017, 10:33:37 AM
#6
Oh, devo dire: complimento a Sandro per questa OTTIMA sintesi!

Per mitigare il pericolo espresso nella risposta al punto  4) un suggerimento può essere aggiungere una lettera a caso in qualsiasi posizione delle parole in modo da non farle riconoscere come appartenenti al dizionario. Esempio   help potrebbe diventare healp.
L'importante è che tu riesca a trovare una regola che ti consenta di riconoscere a distanza di anni quale sia l'errore volutamente inserito nelle parole - e qui la fantasia si può sbizzarrire ma è bene che ognuno ci metta del proprio.
hero member
Activity: 708
Merit: 506
I support freedom of choice
August 16, 2017, 09:28:04 AM
#5
Ciao a tutti,
chiedo scusa se magari queste domande potranno sembrare stupide o ingenue.

Mi servirebbe un attimo arrivare ad un punto di chiarezza sufficiente per capire come proteggere i miei btc. E' chiaro che con l'aumentare vertiginoso del prezzo che c'è stato quest'anno, sia opportuno essere più attenti. Anche molti pochi btc iniziano ad essere molti soldi.

Regola numero 1, ampiamente ricordata in questo forum: non tenere niente sugli exchange, ma quindi tutto su un wallet locale.
Regola numero 2, anch'essa ampiamente ricordata in questo forum: crittografare il proprio wallet con una password robusta. Prima domanda: c'è un limite al numero di caratteri oltre il quale una password è considerata sufficientemente sicura?
Tutto è relativo. Se hai tanti soldi vengono a casa tua a chiederti "gentilmente" la password. Se hai windows creano facilmente un virus invisibile agli antivirus che ruba tutto quello che digiti e che si copia il wallet protetto da password.

Comunque io ho scritto un testo:

www.kensan.it/articoli/Password_sicurezza.php

in cui fatte alcune supposizioni estremamente stringenti arrivo ad affermare che con una password casuale da 15 caratteri+4 cifre è possibile mettere al sicuro almeno 1 milione di euro in bitcoin.

Regola numero 3, non lasciare le proprie chiavi private esportate dal wallet su un pc o comunque su un pc con accesso a internet. Questa non mi sembra di averla letta, ma mi sembra una conseguenza logica data l'importanza che hanno le chiavi private e le voci che sento su questi malware che riescono a rubartele.
Le chavi private non devono mai essere messi su alcun pc ma solo stampate con una stampante laser, plastificate e messe in sicurezza in cassaforte. Possibilmente tutta l'operazione deve avvenire in sicurezza ovvero su pc privi di virus. Comunque vale l'adagio di non investire mai più soldi in bitcoin di quelli che si è disposti a perdere.

Questo quello che succede se si usa una getto d'inchiostro:

http://www.kensan.it/articoli/QR_code_recupero.php

Il detto di essere la banca di se stessi comporta una serie di conseguenze spiacevoli tra cui avere un pc sicuro e quindi essere degli informatici esperti. Io in particolare uso linux. Questa è la conseguenza di non tenere i soldi sugli exchange.


Regola numero 4, non lasciare le parole del seed su un file sul pc. Ecco, questa me la potete spiegare? C'è davvero il rischio che riescano a trovare le parole su un qualsiasi file di testo?

Risposta secca: sì, posso farlo io e quindi possono farlo qualsiasi virus. Il seed o le chiavi private hanno una struttura fissa che un malware può riconoscere con esattezza. In particolare il seed è un piccolo dizionario di 2000 parole (se non erro) tra cui ne è scelta qualche decina, quindi un virus può esaminare tutti i file di testo (con calma tanto ha tempo da vendere) e vedere se un file contiene di seguito le parole del seed dal dizionario. Se la risposta è affermativa ha trovato il seed e lo spedisce al campo base.


Ora, premesso che so che si puà raggiungere un livello di sicurezza maggiore oltre a quello consentito con queste regole (per esempio mi spiegavano che si può tenere il wallet su un pc sempre offline e poi solo firmare la transazione da un pc online), avrei alcune domande:

1)Cosa backuppare:
Ho un po' di confusione in testa a riguardo.
Al momento io ho dei backup su supporti esterni sia dell'intero eseguibile (electrum-2.8.3) sia dell'intera cartella electrum sotto Appdata/Roaming.
A quanto intuisco è...superfluo. Mi è sufficiente avere il wallet.dat E il seed. Oppure solo il seed? Oppure solo il wallet.dat?
Di base, se io dovessi anche solo cambiare pc, basta che reistallo electrum e successivamente creo un nuovo wallet dicendo che ho già il seed? Oppure ci sono altre procedure in cui il seed non serve?

2)come funzionano questi malware.
Di base io non ho ancora ben chiaro cosa serva per accedere ai btc di un wallet: password, chiavi private, seed e le relazioni tra essi.
E' chiaro che sul wallet che ho istallato sul mio pc, mi basta la password, ma se io ho solo il wallet? Che combinazione mi serve di quei 3 elementi?
Per esempio, se un qualche malware riesce a rubarmi durante una transazione le chiavi private (oppure solo una parte), cosa possono fare?

Scusate per le tante parole,
Spero possiate aiutarmi.

Grazie in anticipo!



Dal mio punto di vista quel che non sono le chiavi private sono un piccolo rischio ma in generale viene ritenuto da quasi tutti che basta e avanza mettere il seed in un posto sicuro (stampato e messo in cassaforte), Non serve salvare la password che protegge il wallet. Il seed permette di ricostruire il wallet in caso in cui si perde la password o in cui va a fuoco il pc. In pratica il seed ha sostituito la chiave privata.

Secondo me occorre però seguire l'evoluzione della tecnologia perché nulla vieta che tra qualche anno ci si ritrovi con wallet bitcoin che non sono più compatibili con i vecchi seed e quindi si è a rischio futuro. Certo si può sempre installare un vecchio electrum compatibile con le nostre obsolete seed ma è complicato.

Quote
Per esempio, se un qualche malware riesce a rubarmi durante una transazione le chiavi private (oppure solo una parte), cosa possono fare?

Se il pc è compromesso non puoi fare nulla e perdi i tuoi soldi, per questo essere la banca di se stessi comporta l'essere informatici esperti o comunque diventarlo. Da ricordare che i virus nel mondo naturale colpiscono dove non c'è diversità genetica, le monocolture sono falcidiate dai virus e parassiti, le piante di banane (banano) crescono per talea e sono geneticamente identiche, si presume che alcune malattie metteranno in ginocchio la produzione di banane cavenedish come è già avvenuto in interi continenti.

Per questo avere un mac è meglio di avere un windows, ed è meglio avere una ubuntu ed è meglio avere una debian, ecc, ecc. Poi se uno ha pochi soldi può giocarci come vuole e tenerli su windows.

Quote
Di base, se io dovessi anche solo cambiare pc, basta che reistallo electrum e successivamente creo un nuovo wallet dicendo che ho già il seed?

Se non passano anni ed electrum non cambia il modo di gestire i seed allora basta il solo seed.

Compri un pc nuovo, installi electrum, inserisci il seed vecchio che hai stampato e hai tutti i tuoi soldi. Per proteggere il wallet ti verrà chiesta una password che sceglierai ex-novo.
legendary
Activity: 1316
Merit: 1001
August 16, 2017, 05:19:27 AM
#4
57 views e nessuna risposta. Sad
Considerando che penso che queste cose interessino a tutti, o sono cose che già sapete oppure anche altri hanno questi dubbi e aspettano una risposta.

Provo a fare una domanda più semplice:
Se io ho il mio wallet.dat e basta, cosa mi serve per accedere? la password e basta è sufficiente? Mi serve anche il seed? O solo il seed?

Grazie mille!

sono anche domande già risposte tante volte, che avresti trovato facendo una semplice ricerca.
se parli di electrum, basta il seed, niente wallet.dat o altro, con quello recuperi tutto
full member
Activity: 183
Merit: 100
August 16, 2017, 05:15:41 AM
#3
57 views e nessuna risposta. Sad
...
Sono tutte domande molto pertinenti, alle quali io, da buon newbie assetato di sapere, avrei letto ben volentieri le risposte. Però tieni presente il periodo. Siamo tutti in ferie e molti di noi hanno in testa ben altro che le cripto Smiley . Si tratta solo di aver pazienza. Vedrai che qualche esperto ci risponderà  Wink.
member
Activity: 112
Merit: 10
August 16, 2017, 02:48:42 AM
#2
57 views e nessuna risposta. Sad
Considerando che penso che queste cose interessino a tutti, o sono cose che già sapete oppure anche altri hanno questi dubbi e aspettano una risposta.

Provo a fare una domanda più semplice:
Se io ho il mio wallet.dat e basta, cosa mi serve per accedere? la password e basta è sufficiente? Mi serve anche il seed? O solo il seed?

Grazie mille!
member
Activity: 112
Merit: 10
August 15, 2017, 04:11:51 AM
#1
Ciao a tutti,
chiedo scusa se magari queste domande potranno sembrare stupide o ingenue.

Mi servirebbe un attimo arrivare ad un punto di chiarezza sufficiente per capire come proteggere i miei btc. E' chiaro che con l'aumentare vertiginoso del prezzo che c'è stato quest'anno, sia opportuno essere più attenti. Anche molti pochi btc iniziano ad essere molti soldi.

Regola numero 1, ampiamente ricordata in questo forum: non tenere niente sugli exchange, ma quindi tutto su un wallet locale.
Regola numero 2, anch'essa ampiamente ricordata in questo forum: crittografare il proprio wallet con una password robusta. Prima domanda: c'è un limite al numero di caratteri oltre il quale una password è considerata sufficientemente sicura?
Regola numero 3, non lasciare le proprie chiavi private esportate dal wallet su un pc o comunque su un pc con accesso a internet. Questa non mi sembra di averla letta, ma mi sembra una conseguenza logica data l'importanza che hanno le chiavi private e le voci che sento su questi malware che riescono a rubartele.
Regola numero 4, non lasciare le parole del seed su un file sul pc. Ecco, questa me la potete spiegare? C'è davvero il rischio che riescano a trovare le parole su un qualsiasi file di testo?

Ora, premesso che so che si puà raggiungere un livello di sicurezza maggiore oltre a quello consentito con queste regole (per esempio mi spiegavano che si può tenere il wallet su un pc sempre offline e poi solo firmare la transazione da un pc online), avrei alcune domande:

1)Cosa backuppare:
Ho un po' di confusione in testa a riguardo.
Al momento io ho dei backup su supporti esterni sia dell'intero eseguibile (electrum-2.8.3) sia dell'intera cartella electrum sotto Appdata/Roaming.
A quanto intuisco è...superfluo. Mi è sufficiente avere il wallet.dat E il seed. Oppure solo il seed? Oppure solo il wallet.dat?
Di base, se io dovessi anche solo cambiare pc, basta che reistallo electrum e successivamente creo un nuovo wallet dicendo che ho già il seed? Oppure ci sono altre procedure in cui il seed non serve?

2)come funzionano questi malware.
Di base io non ho ancora ben chiaro cosa serva per accedere ai btc di un wallet: password, chiavi private, seed e le relazioni tra essi.
E' chiaro che sul wallet che ho istallato sul mio pc, mi basta la password, ma se io ho solo il wallet? Che combinazione mi serve di quei 3 elementi?
Per esempio, se un qualche malware riesce a rubarmi durante una transazione le chiavi private (oppure solo una parte), cosa possono fare?

Scusate per le tante parole,
Spero possiate aiutarmi.

Grazie in anticipo!

Pages:
Jump to: