Topic: Giocherellare con il ledger nano S (Read 502 times)

Su ledger è così bro
Hai un solo seed

-- da quel seed generi tutti gli address con le giuste derivazioni (lo fa da solo) quindi generi anche address eth (uno solo)
address di tutto

quindi se mi creo un seed a mano, poi lo posso provare anche con le shitcoin

Non credo proprio.
Come sapete tutti non mi interesso granché di stiction, ma ogni coin secondo me ha delle word diverse.
Voglio dire, può essere che con le parole di BTC poi ti trovi  poter controllare indirizzi dei vari fork. Ma direi che è molto difficile che con lo stesso seed tu possa controllare BTC e XMR o ETH, ad esempio.

se faccio il seed, come da immagine
in realta posso usare QUALSIASI crypto e non solo bitcoin
quel seed serve per creare il seed di ledger no?

altrimenti mi sono perso qualcosa .. se si parla di seed di 24 e' il seed di ledger (anche di bitcoin)

In che senso? in quel modo generi un indirizzo di Bitcoin, mica di Banano! Credo che l'unica sia provarlo in TestNET, se proprio non vuoi rischiare dei satoshi reali!

ok, allora lunedi lo resetto e provo ... dovrei stamparmi lo sheet vuoto
cmq mi eccita molto provarlo (mi gasa e non poco)
quindi sicuro sicuro lo faccio al 100% e poi uso una coin secondaria (banano) per inviare avanti e indietro qualcosa

Direi di sì.
Basta che ti auto-invii un ammontare predefinito da un indirizzo al medesimo indirizzo!
Quella è la prova definitiva che sei in controllo della chive privata

ho un altro ledger di lavoro
quindi provero in quello.. ovviamente

magari ci mando dei doge e non bitcoin, alla fine bisogna solo dimostrare che funziona giusto?
non serve far altro a riguardo, se non una semplice prova di invio con un seed autogenerato!

Se lo provi e ci dimostri che sei riuscito a fare una transazione con il ledger seguendo la guida, te ne sarei davvero grato.
Io personalmente avrei "paura", come detto, di avere in qualche modo un seed non valido.
Magari è irrazionale, quindi dovrei studiare di più la teoria per fugarla, ma sarebbe così.

bellooooooooooOOOOoooo lo devo provare

Ci sono tanti esempi in giro

https://github.com/taelfrinn/Bip39-diceware

ci tengo a precisare che non voglio seminare paranoia,
bensi' mi piace che la gente sia consapevole di quel che fa.

se uno ci mette piccole cifre, non c'e' problema,
ma se uno ci mette importi ingenti, e' meglio che prima capisca
bene i rischi, le possibilita', le scelte che ha di fronte.

In fondo e' uno dei messaggi di Bitcoin: ritornare in possesso
dei propri averi vuol anche dire come proteggersi al meglio,
ed essere il piu' possibile consapevoli.

Comprarsi un ledger e fidarsi perche' lo dicono tutti...
non e' esattamente l'approccio piu' adeguato.

Ho letto tempo fa questo articolo, in spagnolo, su come generare il seed a mano:
https://twitter.com/estudiobitcoin/status/1318564168358834181?s=21


Interessante, ma era questo quello cui imi riferivo quando parlavo di "errori".

sempre per i paranoici, basta fare una semplice prova:

1) generare le 24 parole A MANO (ad esempio con dei dadi (anzi le 23 + una 3 bit random + SHA))

2) caricarle

3) fare una transazione microscopica

4) resettare il ledger con 3 errori del pin

5) ricaricare le parole

6) verificare se tutto funziona ancora.

Trovo tutto cio' molto istruttivo, e' meglio avere una buona consapevolezza del mezzo PRIMA di fare danni

Inoltre ribadisco che questo tipo di approccio evita di doversi fidare del generatore random di ledger.
che e' certificato  EAL5+, AIS-31 ma e' sempre un layer in cui ti fidi di qualche ente certificatore
e che se poi si scopre che si erano sbagliati... saranno cazzi tuoi!

la filosofia di Bitcoin e' di NON DOVERSI FIDARE DI NESSUNA ENTITA' CENTRALE, quindi da un punto di vista
strettamente logico siamo in un terreno minato.

Non voglio fare il paranoide, e' solo una presa di coscienza di dove possono annidarsi dei rischi,
poi se ci metti piccole cifre chissene.

Bisogna stare molto attenti.
Non vorrei che si "sbagli un riporto" e ci si trovi con i fondi bloccati.
Oppure che per qualche oscuro motivo questo seed "modificato" non venga accettato dai wallet.
Non lo so, ci andrò con i piedi di piombo a customizzare queste cose.

per i piu' smanettoni, potrebbe essere interessante questo:

https://developers.ledger.com/docs/nano-app/psd-masterseed/


l'ultima delle 24 parole non e' direttamente ricavata  dal seed random di 256 bit generato dal TRNG,
ma da 3 bit di seed random + 8 bit calcolati da un SHA del seed random da 256 bit.

Questo vuol dire che se siete particolarmente paranoici e non vi fidate del generatore random del ledger, potete generarvi da soli le 24 parole
avendo l'accortezza che la 24-esima deve rispettare questo criterio.

i servizi di custodia, sono utili e nasceranno per i motivi "fatali"
intanto mi tocco le palle che non fa mai male
purtroppo se ti porti il seed nella tomba, non fai una gran cosa.. quindi

io ci stavo pensando appunto

Beh è quello che avevo detto a duesoldi:

Banca, notaio, che altri servizi specifici ci sono? È una soluzione fattibile ad esempio dividendo il seed in più parti così da non dare tutte le informazioni in mano ad un solo servizio in caso si voglia essere particolarmente accorti.

Personalmente ho un ledger protetto da pin nascosto in casa.
Il seed è in cassetta d sicurezza, che vado a controllare una volta all'anno.

Se non rifidate di voi stessi, vi informo che esistono dei servizi professionali di custodia. Risolvono molti problemi, anche legati ad infausti eventi.
é una prospettiva che non viene mai considerata (l'affidarsi ad un professionista, non l'infausto evento), chissà perché.

Diciamo che davo per scontato che la chiavetta venisse messa dentro un contenitore a prova di acqua, fuoco, etc 

Perché altrimenti anche la tua idea di metterla in un luogo sotto gli occhi di tutti sarebbe di lasciare la chiavetta così com'è, senza ulteriori protezioni?

Come potresti lasciare una chiavetta Usb in un albero? questo crescendo se la "mangerebbe" e una volta scomparsa alla vista come faresti a recuperarla? ti metti lì con la motosega? addio chiavetta.... 
Né potresti pensare di fare un segno sulla corteccia poiché anche quel riferimento si sposterebbe con la crescita del legno. No buono.
Poi pensa a pericolo di incendi, fulmini, marcescenza, ....

Sarebbe più efficace qualcosa nella disponibilità di tutti ma dove però nessuno si sognerebbe normalmente di andare a curiosare (ricordare il detto: " il miglior modo per nascondere qualcosa è metterlo in un posto dove sia visibile a tutti!"). Ad esempio pensa ad un campanile, cosa c'è sopra? una o più campane. Se fosse possibile legare la chiavetta al batacchio della campana (ad es. con del fil di acciaio) o al punto di aggancio del cordame, ecco quello potrebbe essere un buon sistema poiché difficilmente si farebbero interventi su una campana per decenni, sarebbe un posto fuori dalla portata di tutti, ma al tempo stesso raggiungibile da te "volendolo". Nel senso che se riesci ad arrivare alla campana per metterlo, probabilmente riesci a farlo anche per toglierlo.
Va beh metodo un po' strambo, lo riconosco, ma è per far un esempio. Probabilmente ce ne sono altri molto più facili da mettere in pratica, ma non mi è facile immaginarli 

Però il seed originale bisognerà salvaguardarlo da qualche parte, a che uno non lo impari a memoria e abbia un'enorme confidenza. Con un po' di esercizio uno ovviamente se lo può ricordare però voi vi fidereste? Io onestamente no.

ma perche complicarsi la vita
nel ledger nano esiste la comodissima 25 parola del seed! che ti permette di avere un wallet civetta
meglio di cosi.. non ci sta niente cari amici del forum

ovviamente l'account civetta deve avere qualcosa all'interno per essere credibile

Come dicevo lasciare un qualcosa di prezioso in un luogo dove non si ha il minimo controllo di quello che potrebbe succedere e non si può neanche controllare chi eventualmente entra/esce (detta in modo grezzo), mi pare estremamente pericoloso. Dovesse succedere qualcosa come e quando te ne accorgeresti? Tra azioni umane e della natura tutto è possibile.

Se uno vuole proprio lasciare un qualcosa fuori dalle mura di casa allora chi ha un giardino potrebbe infilarlo dentro un albero, che poi, nel corso del tempo, se lo "mangerebbe". Nel caso caso cercate su Google "trees eating things" per capire esattamente quello che intendo dire.

Non ho una soluzione, era una domanda aperta a possibili risposte, non un indovinello per dimostrarvi quanto fossi smart!
Diciamo che è un problema sul quale ogni tanto mi sono interrogato. Non che abbia qualcosa da nascondere, però mi sono chiesto: se volessi nascondere qualche info delicata mettendola al riparo anche da possibili interventi delle FdO (sequestro pc e server vari), come potrei fare?
Da questa domanda sono partiti i ragionamenti.... che non hanno portato a soluzione.

In un bosco lo escluderei. Il pericolo di disbosco in alcuni posti sarebbe scongiurato (ad es. io vivo a due passi da un parco naturale e non puoi tagliare piante nemmeno quando sono malmesse), ma saresti sempre soggetto a fenomeni tipo piccoli smottamenti, allagamenti, .... fenomeni che nel breve non creerebbero probabilmente danni ma nell'arco di 20 anni..... come fai a saperlo?
L'unica attinente un bosco potrebbe essere nascondere la chiavetta sotto una grossa pietra di confine, oppure alla base di qualche cappelletta (se ci sono è difficile che le tolgano).
Ma imho possono esserci strade più promettenti da seguire, ad esempio all'interno di qualche edificio aperto al pubblico e che non rischi di essere modificato con interventi di riqualificazione ad es. perché soggetto a qualche vincolo dei beni culturali. Solo che anche in un palazzo del genere dove nasconderesti la chiavetta ?  dietro qualche tubo? in una crepa nel muro ma in un posto nascosto? (es. in alto oppure dietro qualche passaggio di cavi/tubi). Purtroppo sono tutti esempi di posti non sicuri perché potrebbe esserci una piccola manutenzione domani e la chiavetta verrebbe trovata e buttata via.
Insomma non saprei, ma non mi sembra un problema di facile soluzione.

Va beh ci penserò meglio quando farò qualcosa di losco nel dark web 




La sapevo!  anche perché ho visto il film solo meno di un anno fa: bellissimo!
Comunque se ti sei chiesto come abbia fatto a funzionare (ovviamente al netto della "finzione scenica"): in realtà nel film non viene detto quanto tempo passi tra la fuga di Andy (momento nel quale ha nascosto la lettera) e la scarcerazione di Red. E' sicuramente passato qualche anno ma a sensazione direi pochi: da 2 a 5, non credo di più perché i personaggi non sono invecchiati troppo tra i due eventi.
Quindi una lettera chiusa in una scatola di metallo, comunque protetta al suo interno e poi messa dietro ad alcune pietre.... beh insomma non è così improbabile che la lettera possa conservarsi. Ingiallire sì, ma non distruggersi.

Le ali della libertà?

Un posto che mi sono sempre chiesto come abbia fatto a funzionare è quello che riporto nel brano sotto:

Un premio a chi coglie la citazione.
È davvero facilissima!
Altrimenti c’è sempre la cuccia del cane della Cirinnà!

Scusate. È un brutto periodo per me. Tornerò in senno a breve. Spero.

Francamente al di fuori della classica opzione "banca" non saprei, quindi illuminami pure 

Il grosso problema del nascondere un qualcosa al di fuori della propria proprietà, secondo me, sarebbe l'assenza di controllo: se succede qualcosa in quel posto come lo vieni a sapere a meno che non ci sia un controllo costante? Diciamo che per assurdo lo nascondi in un bosco, un giorno disboscano tutto, tirano su la terra, gettano cemento, chissà cosa, come fai? Sicuramente mi hai incuriosito 

Hai toccato un argomento sul quale ogni tanto mi sono fatto una domanda alla quale non ho trovato facile risposta.
Problema: supponi di voler fare una copia di una chiavetta Usb (quindi un oggetto molto piccolo) e di volerla nascondere da qualche parte, in un posto che:
1) non sia casa tua o comunque di tua proprietà, quindi non in giardino, in un tuo pezzo di bosco, insomma non in una tua proprietà
2) di volerla lasciare lì per un tempo medio lungo, ad esempio 10-20 anni. Questo ti porta ad escludere posti come una fessura in un pilone dell'Enel o del telefono perché l'azienda potrebbe sostituirlo dopo tot anni  (tanto per fare un esempio)
3) allo stesso modo non sarebbe sicuro nasconderla in un posto aperto al pubblico, ad esempio in una biblioteca o una stazione, perché dopo qualche anno potrebbero fare una ristrutturazione.
4) vuoi avere la certezza di poterla recuperare, quindi ad es. non in fondo ad un fiume legata ad un sasso perché..... durerebbe 20 anni senza che si sposti o che l'umidità la renda inservibile? impossibile
4) .... eccetera, insomma ci siamo capiti.

Domanda: dove nasconderesti questa chiavetta ? 

p.s. so che sono OT e quindi tra un po' arriverà il buon @Fillippone a "cazziarmi", ma ne ho approfittato perché potrebbe essere una cosa che interessa ad altri per fare copie di seed da nascondere bene.

vabbe qua stiamo sfiorando la vera e propria fantasia ragazzuoli
sotterrare cose, metterle nel materasso.. no sistemi obsoleti che hanno sicurezza pari a 0
evitate (come consiglio) di usare questi sistemi
al massimo vi faccio una piccola consulenza

Oddio partiamo dal presupposto che non pensavo che ci fosse ancora gente che sotterri per davvero le cose in giardino o nei campi, in ogni caso se uno davvero facesse una cosa del genere penso che la precauzione minima sarebbe metterlo dentro un altro contenitore. Non so voi, ma una cosa con un valore del genere non penserei mai di sotterrarla così com'è, anche se mi dovessero assicurare al 100% che non succederà nulla.

Non esiste un sistema perfetto, soprattutto quando lo si pensa per orizzonti temporali così lunghi.
Un oggetto in acciaio - per esempio - è soggetto al classico fenomeno della corrosione se non si sta attenti a "dove" lo si mette.
In particolare bisogna stare attenti al contatto con altri metalli, oppure se lo si vuole sotterrare al tipo di terra nel quale si pensa di sotterrarlo.
Soprattutto in presenza di suolo acido bisogna stare MOLTO attenti, se no dopo 50 anni (ma anche dopo 10) si rischia di trovare solo un ammasso di metallo corroso e non più leggibile.

Per farsi un'idea:

https://www.voltimum.it/articolo/guide-e-approfondimenti/materiali-e

https://www.hilti.it/content/dam/documents/pdf/e4/engineering/manuals/Hilti_Corrosion-Handbook_W4412_it.pdf

ho dato un occhiata mi sembra un po una capsula del tempo,un bussolotto metallico che si sotterra per aprirlo dopo 50 anni,in effetti potrebbe essere la soluzione definitiva tutto metallico quindi indistruttibile da portare al collo con una catenina,ci farò un pensierino

ho sempre voluto prenderlo, ma poi non ho realizzato questo intento
prima o poi lo comprero, appena lo faccio ovviamente vi scrivo a riguardo e vi faccio sapere

non lho comprato perche e' un sistema analogico e quindi mi attira di meno
poi del resto non devo proteggere niente di particolare, quindi per questo ho rimandato

Per me, più che plastificare un foglio, la soluzione migliore rimane uno strumento come quelli realizzati dalla marca Cryptosteel. Dimensioni ridotte, resiste praticamente a tutto, ovviamente non costa poco pero' non e' neanche particolarmente caro. Direi che da anche poco nell'occhio. Sarei molto curioso di avere le vostre opinioni a riguardo, io lo scoprii tempo fa proprio su questo forum, in qualche sezione internazionale.

ok il seed scritto a mano sicuramente e' imbattibile rispetto a tutto
pero la carta si distrugge, si dematerializza
meglio il "paper" wallet in titanio che devi "pinzare" a mano
allora si, in quel caso mi trovate d'accordo

Effettivamente girano tentativi abbastanza sofisticati di questo genere:

https://www.hdblog.it/mobile/articoli/n539955/criptomoneta-ledger-attacco-hacker-wallet/

Se ti vedi arrivare una chiavetta "nuova" ci potresti anche cascare.

Comunque mi fa riflettere su quanto possa in realta' essere "debole" il passaggio dall'ordine alla consegna.
La garanzia che arrivi davvero un prodotto originale e non uno contraffatto non e' affatto scontata,
guardavo la scatolina del mio: per aprirla e risigillarla che sembri intonsa, basta una macchinetta incellofanatrice.
e siccome stiam parlando di un settore dove girano i soldoni... attenzione, sopratutto adesso che ho visto
che vengono prodotti ledger totalmente contraffatti come questo dell'articolo (e non semplicemente col firmware modificato)

Buono a sapersi.

Il paper ha una catena di montaggio abbastanza grossa che include una stampante... a livello pratico un seed scritto su carta è imbattibile

mah gia dare i propri dati per la spedizione a ledger per spedire la chiavetta(che avra un numero di serie) e addio privacy si e abbastanza sicuro ma anche costoso,un cold wallet si e sicuro ma non mi ispira tanto,personalmente opterei per un paper wallet fatto per bene e poi plastificato

Puoi creare una VM che userai solo per installare Electrum (o quel che vorrai) per creare il seed. Copi su Usb e poi cancelli la VM.
Per far passare un virus/rat su una VM ce ne vuole, se davvero accadesse probabilmente saresti già in guai ben più seri.

In ogni caso la contromisura che prenderei per scongiurare una possibilità di quel tipo sarebbe molto semplice: creerei un cold wallet come ho detto e senza troppe preoccupazioni e poi gli invierei sat per l'equivalente di 200€.
Se dopo pochi giorni fossero ancora lì avrei la garanzia che non ci sia stata nessuna compromissione, impossibile resistere a sat per 200€ visto che si inventano chissà quali raggiri per valori molto più bassi 

allora, la copia su chiavette usb presuppone che tu lo faccia da pc
e se il pc e' compromesso? esempio ha un rat?
un pc connesso a internet e' un pericolo non da poco.. forse non avete questo livello di paranoia, ma alcuni.. si lo hanno eccome

Io non pensavo a dividere il seed in 4 parti, pensavo a farne 4 copie in modo da avere certezza che almeno 1 sia sempre disponibile e corretta. In questo caso quindi la pwd può essere una.




Certo. Spesso vedo amici (non parlo di aziende che usano sistemi molto più complessi e completi) che fanno copie delle foto o dei loro documenti su 2 o 3 hard disk e così si sentono al sicuro dall'eventuale perdita di dati, anche parziale.
E' un sistema profondamente sbagliato perché l'azione tipica che queste persone fatto è: tengo la copia di riferimento su un HD, e poi da quella faccio le due copie aggiuntive. Non pensano però che se nell'HD principale un file si corrompe ad esempio perché si smagnetizza (o si rovina) un settore del disco, loro sì fanno la copia in due posti aggiuntivi, ma fanno la copia di un file corrotto e quindi da questo punto di vista non serve a nulla averne la copia.
Ti è mai capitato di aprire una foto e di vederla "tagliata" in due orizzontalmente con la seconda parte illeggibile ? ecco, è il tipico file corrotto.
Il problema principale di queste situazioni è che non ti accorgi del settore difettoso e quindi non ti accorgi di avere file corrotti, e continui a fare copie su copie di file corrotti   
Hai un senso di sicurezza (ho i backup!) che è assolutamente sbagliato!

Sono problemi noti come "slow degradation file" perché dipendono da errori che subentrano a seguito del lento decadimento delle caratteristiche fisiche degli HD. Parlo di quelli meccanici, ma anche gli SSD hanno problemi simili.

Comunque proprio perché sono problemi noti, tanti anni fa sono stati sviluppati file system che cercano di metterci una pezza e Zfs è uno di questi.
Zfs ha un funzionamento decisamente complesso ma per fartela breve sul punto che ci interessa:
1) scrive i dati nel pool che è lo "spazio di lavoro" composto da 1 o più dischi
2) contemporaneamente calcola l'hash di ogni file che salva, lo conserva in RAM e lo scrive su disco
3) può (se lo configuri affinché lo faccia) fare n copie del dato nello stesso pool (o anche fuori)

ha poi moltissime caratteristiche aggiuntive decisamente belle ma che non elenco perché non servono a risponderti.
Tornando a noi: quando un file si corrompe Zfs se ne accorge perché vede che l'hash che ha in memoria non corrisponde a quello ricalcolato dalla lettura del file. In questi casi ricostruisce il file completo usando i bit di parità che inserisce nello scrivere i file oppure - se lo hai configurato così - andando a recuperare dal pool una delle n copie di quel file.

In questo modo elimina "completamente" il problema del danneggiamento dei settori (il virgolettato è d'obbligo perché se poi prendi il disco e lo sbatti contro un muro.....  ).

Guarda ad es. qui le prime righe del paragrafo "Data integrty":

https://en.wikipedia.org/wiki/ZFS

naturalmente Zfs richiede sistemi corposi, sia in termini di dischi sia di Ram/Cpu, ma se devi salvare un seed le risorse necessarie sono irrisorie.

Il problema semmai è che devi sbatterti un attimino per imparare ad usarlo, per dire su Windows Zfs non c'è (ovviamente!  ) o almeno non ufficialmente.

Reputo ottimi gli hardware wallet per la comodità di effettuare facilmente le transazioni mantenendo le chiavi private offline, ma non per l' HOLD.
Personalmente penso che andrebbero usati solo per avere una gestione semplice e rapida dei btc che si ipotizza si vogliano usare nel breve futuro, da portarsi in viaggio ecc. Insomma per utilizzarli rapidamente senza dover perdere tempo a firmare le tx sul pc offline.
Per l'hold assolutamente più sicuro generare il wallet offline su un pc, possibilmente con linux e con tutti gli accorgimenti per rimanere offline.


Un ulteriore svantaggio di una segmentazione simile è la gestione della password per decriptare le chiavette, se ne potrebbe usare una unica per tutte, ma con una riduzione della sicurezza.


Altra possibilità è quella di conservare solamente il seed e non il file .dat, segmentandolo e mescolandolo con altri seed secondo un criterio a scelta.


Vorrei inoltre portavi a conoscenza di questi stress test https://blog.lopp.net/metal-bitcoin-seed-storage-stress-test/, qualcuno potrebbe trovarli interessanti.

@duesoldi, potresti spiegare meglio il punto 5? Grazie.

Quando sento parlare di paper wallet e rischi connessi con l'utilizzo di una stampante mi domando sempre: perché complicarsi la vita?
Qual è il vantaggio di un paper w rispetto ad un banalissimo e più facile da gestire cold wallet? solo il fatto di averlo su carta in modo che "sperabilmente" si conservi ?
Ma allora non si fa prima a salvare il seed su 4 chiavette Usb di marca diversa, criptarle, e darle a 3 parenti (la quarta ovviamente la si tiene per sé) ?

Vantaggi:
1) si ha una copia in locazioni geografiche diverse: enorme vantaggio rispetto al paper wallet
2) non c'è il rischio che qualche parente troppo curioso possa vedere il contenuto se lo si cripta in modo opportuno (vera/truecrypt e simili)
3) costo di una chiavetta: meno di 10 € tanto deve contenere un file di pochi kB, quindi con 40 € me ne prendo 4
4) se di costruttori diversi è pressoché impossibile che si rovinino tutte
5) ci si può anche cautelare contro lo slow degradation dei file, basta usare un file system come zfs o simili

Svantaggi:
1) boh? sinceramente non ne vedo, forse solo il fatto che bisogna sapere come eseguire i vari step, ma insomma google is your friend!

Sbaglio ? semplifico troppo?

il cold wallet è innegabilmente più sicuro se fatto bene

il non plus ultra per me è generazione manuale della chiave privata (dado) + generazione su hw dedicato della chiave pubblica.

Eh, bravo! Io invece da gran C****** ho acquistato il mio primo X dal loro sito usando la promo del Cashback con Crypro.com : in un colpo mi hanno fregato 2 volte

Tecnicamente la sicurezza del sito della ledger e quella della chiavetta non sono legate.

Pero' effettivamente non fa bello vedere un'azienda che e' (o dovrebbe essere)
esperta di crittografia e sicurezza farsi sbucazzare il sito, senza considerare
che questo apre la strada a questo genere di attacchi

Proprio per evitare di lasciare i miei dati sul sito della ledger, ho fatto l'acquisto su amazon.
Non sono certo che mi garantisca di piu'... ma del loro sito non mi fidavo proprio.

Nahh, gli hacker sono diventati troppo pigri per fare questo....

Oggi va di moda mandarti una bella mail , con tatnto di tuo nome e cognome, indirizzo e numero di telefono (corretti) , impersonando Ledger e dicendo che devi accedere per cambiare la recovery phrase...

Insomma , Ledger dopo l'attacco subito qualche mese fa si è sputtanata alla grande!

PS: l'ultima mail in tal senso l'ho ricevuta giusto 3 giorni fa! Occhio!

il tuo collega che lo usa senza sapere della feature del reset dopo 3 tentativi errati e' uno sconsiderato
inoltre, e' possibile settare una venticinquesima parola per avere un wallet civetta (molto utile)

giusta l'idea di avere un doppio device (in caso di rottura)

la tua considerazione su paper wallet rispetto a ledger

devi stamparlo, ti fidi come lo stampi?
gia il fatto che lo hai su un computer (magari connesso) lo rende insicuro
e se hai un RAT sul tuo pc, sei fottuto.. se la tua stampante non e' adeguata (wifi) sei potenzialmente fottuto
insomma stampare un paper wallet non e' cosi immediato

secondo
la carta si deteriora, come ben sai.. non e' cosi sicura come si pensa
potresti usare il robo in titanio (allora si)

poi cold wallet, se lo vuoi fare tu.. ti serve un pc non connesso.. con wifi e bluetooth bruciati
insomma l'effort e' troppo grande e ci sono sicuramente piu rischi

Per impratichirmi mi sono comprato due ledger nano S,
e mi sono venute alcune idee su come gicherellarci in modi "non convenzionali"

Ho fatto una rapida ricerca su internet e, come al solito, ho scoperto che non sono stato l'unico a pensarci.

https://thenextweb.com/news/ledger-nano-s-hack-cryptocurrency
https://securityboulevard.com/2018/03/15-year-old-finds-flaw-in-ledger-crypto-wallet/

Questo mette in evidenza come ci potrebbe essere la possibilita' che qualcuno nella catena distributiva
sostituisca il firmware PRIMA che la chiavetta venga consegnata,  ed esponga il device alla possibilita' di attacchi esterni.

https://github.com/hosseinpro/LedgerNanoSHack

Questo invece e' un progettino che fa esattamente quel che volevo fare io, ossia
mettere uno "sniffer" tra il software del wallet e la porta usb di comunicazione, e
vedere come si parlano il wallet e la chiavetta.

Si tratta comunque di un HW proprietario, con firmware prorpietario, che tutti dobbiamo sperare
non abbia qualche bug o peggio errore di progetto non ancora scoperto (o pubblicamento annunciato)

In pratica il ledger aggiunge uno strato del quale ci "dobbiamo fidare" ma non vi e' certezza
assoluta che funzioni correttamente, o che non possa venire hackerato anche in futuro,
anche perche' questo strato non ha nulla a che vedere con i meccanismi ben noti della blockchain.

Dopo soli due giorni di "spataccamento" per divertimento mi sento di dare due consigli:

1) per sicurezza ricaricate sulla chiavetta un firmware che sia sicuramente originale ledger.

2) NON FIDATEVI CIECAMENTE della chiavetta.

Altre note:

- Ho chiesto ad un collega che lo usa se sapeva che dopo 3 tentativi di pin sbagliati, ll
device si resetta, e bisogna riattivarlo con le 24 parole.... e non lo sapeva!

- Come ogni oggetto si puo' rompere, e puo' darsi che per la legge di murpy, lo faccia
quando servira' urgentemente, quindi per sicurezza ne ho presi 2.

- per un uso quotidiano e' innegabilmente comodo,
ma per fare hodl visto che bisogna fidarsi di uno strato "ignoto", e che in ogni caso bisogna salvarsi
le parole  di ripristino + il pin... non e' piu' sicuro salvarsi un semplice cold-wallet?