Pages:
Author

Topic: Hardware Wallet: Trezor o Ledger, qual’è il migliore? (Read 1883 times)

legendary
Activity: 2324
Merit: 2276
Si corretto il seed del Ledger (credo BIP39) può essere usato per fare recovery su qualsiasi wallet che accetti lo stesso standard, chi ha in mano il seed non ha bisogno del Ledger  ma può usare anche Electrum per impossessarsi dei fondi.
In questo caso però non direi che si sono impossessati del seed quanto piuttosto che hanno potuto liberamente utilizzare MetaMask (nel quale era stato importato il seed in precedenza) che non richiede nessun tipo di conferma di sicurezza prima di autorizzare gli invii, a differenza del Ledger. Quello che mi preme assicurarmi è che l'errore sia stato "solamente" inserire il seed su MetaMask, non che in qualche modo siano stati capaci di estrarlo.
member
Activity: 69
Merit: 116
Non è che ha provato a fare un recovery... pensando di fare qualcosa per "tenersi allenato" e in realtà ha preso alla leggera, facendo wipe del device e ridigitando poi il seed?
Sto leggendo i vari commenti al tweet, ovviamente c'è tantissima gente (come me) che non sta capendo cosa intendesse dire col discorso di far diventare il Ledger un hot wallet, questa potrebbe essere una possibile spiegazione:




Quindi, correggetemi se sbaglio, l'accesso ai fondi a quel punto non era più esclusivamente via Ledger ma anche tramite altri wallet che non necessitano conferme per effettuare le transazioni, ho capito bene?


Si corretto il seed del Ledger (credo BIP39) può essere usato per fare recovery su qualsiasi wallet che accetti lo stesso standard, chi ha in mano il seed non ha bisogno del Ledger  ma può usare anche Electrum per impossessarsi dei fondi.
legendary
Activity: 2324
Merit: 2276
Non è che ha provato a fare un recovery... pensando di fare qualcosa per "tenersi allenato" e in realtà ha preso alla leggera, facendo wipe del device e ridigitando poi il seed?
Sto leggendo i vari commenti al tweet, ovviamente c'è tantissima gente (come me) che non sta capendo cosa intendesse dire col discorso di far diventare il Ledger un hot wallet, questa potrebbe essere una possibile spiegazione:




Quindi, correggetemi se sbaglio, l'accesso ai fondi a quel punto non era più esclusivamente via Ledger ma anche tramite altri wallet che non necessitano conferme per effettuare le transazioni, ho capito bene?
legendary
Activity: 3710
Merit: 1738
Join the world-leading crypto sportsbook NOW!
potrebbero aver utilizzato un keylogger per fregargli le 24 words, poi un modo per utilizzare i fondi senza il ledger a portata di mano c'è sicuramente, altrimenti come fai a recuperare i fondi in caso di rottura??
Ledger Live funziona che devi inserire il seed solamente la prima volta dopo l'installazione sul pc, poi per accedere all'interfaccia si utilizza una password scelta dall'utente che non ha nessun tipo di collegamento con il seed. Quando vuoi fare una transazione devi collegare il Ledger al pc e confermare sul Ledger (non sul Live) la transazione, se provi a fare una transazione senza il Ledger collegato ti dice di collegarlo perché altrimenti non è possibile procedere. Quindi il seed non è mai stato digitato di nuovo dato che Ledger Live era già installato prima del malware.

Non è che ha provato a fare un recovery... pensando di fare qualcosa per "tenersi allenato" e in realtà ha preso alla leggera, facendo wipe del device e ridigitando poi il seed?
legendary
Activity: 2324
Merit: 2276
potrebbero aver utilizzato un keylogger per fregargli le 24 words, poi un modo per utilizzare i fondi senza il ledger a portata di mano c'è sicuramente, altrimenti come fai a recuperare i fondi in caso di rottura??
Ledger Live funziona che devi inserire il seed solamente la prima volta dopo l'installazione sul pc, poi per accedere all'interfaccia si utilizza una password scelta dall'utente che non ha nessun tipo di collegamento con il seed. Quando vuoi fare una transazione devi collegare il Ledger al pc e confermare sul Ledger (non sul Live) la transazione, se provi a fare una transazione senza il Ledger collegato ti dice di collegarlo perché altrimenti non è possibile procedere. Quindi il seed non è mai stato digitato di nuovo dato che Ledger Live era già installato prima del malware.
hero member
Activity: 644
Merit: 740

EDIT: aggiungo quest'altra parte:
I entered my seed phrase in a way that no longer kept it cold.

Avete idea cosa voglia dire esattamente? Non sto capendo se abbia fatto qualcosa che non avrebbe dovuto fare o cosa...

Allora io premetto che non ho un ledger e neanche so come funzioni effettivamente. Lui all'inizio dello screenshot dice di aver commesso un errore installando il ledger live come hot wallet e non come cold wallet! Magari intende dire che per sistemare il problema ha inserito dinuovo le 24 frasi per effettuare il cambio da hot a cold! Sono mie supposizioni
sr. member
Activity: 490
Merit: 442
potrebbero aver utilizzato un keylogger per fregargli le 24 words, poi un modo per utilizzare i fondi senza il ledger a portata di mano c'è sicuramente, altrimenti come fai a recuperare i fondi in caso di rottura??
legendary
Activity: 2324
Merit: 2276
Riuppo questo thread perché mi sono imbattuto in questo tweet, in poche parole questo tizio, per distrazione, ha scaricato un programma (nulla a che vedere con le crypto) da un link sponsorizzato che si è poi rivelato in malware che gli ha compresso tutto il computer, e mi ha molto colpito questa parte:




E per andare ancora più nello specifico mi riferisco a queste frasi:

I entered my seed phrase in a way that no longer kept it cold.

Because of this, when the malware was installed on my computer, the hackers had access to my funds.


Quindi aveva installato Ledger Live sul pc, come praticamente chiunque abbia un Ledger direi, ma io non sapevo che con un malware si bypassa tutta la sicurezza derivante dal fatto di dover collegare il Ledger e dover confermare le transazioni manualmente.

Sono andato anche sul sito della Ledger e nell'articolo Getting started with Ledger Live uno dei primissimi passi menzionati è questo:
Restore device from recovery phrase to restore the private keys of your existing accounts using your (24-word) recovery phrase, also known as a mnemonic seed.

Esiste anche una forma di utilizzare Ledger Live senza inserire le chiavi private a questo punto?

E leggendo quelle frasi io capisco che avendo inserito il seed dopo aver installato Ledger Live praticamente un malware può effettuare transazioni non autorizzate, ma veramente?! Non sto capendo se il malware recupera in qualche modo le chiavi, come se fossero salvate da qualche parte all'interno del programma, oppure se direttamente possa bypassare tutte le conferme che vengono normalmente richieste Huh


EDIT: aggiungo quest'altra parte:
I entered my seed phrase in a way that no longer kept it cold.

Avete idea cosa voglia dire esattamente? Non sto capendo se abbia fatto qualcosa che non avrebbe dovuto fare o cosa...
sr. member
Activity: 434
Merit: 580
Pizza Maker 2023 | Bitcoinbeer.events
Non ho guardato di recente i prezzi del Raspi ma ricordo che qualche mese fa si trovavano anche a 200€ e beh si comincia ad essere un tantino fuori listino. L'unico vantaggio del rasp è il consumo ridotto se deve essere acceso h24, il netbook non saprei quanto possa consumare però eventualmente invece di btc core si potrebbe sempre installare umbrel che è una soluzione più completa. Sarebbe interessante comunque avere un riscontro energetico fra i vari device.

Ultimamente il prezzo dei rasp sono alzati quello è vero però io circa un anno e mezzo fa con 200€ sono riuscito a comprare Rasp pi4 e HD da 4tera. Eventualmente potresti anche considerare l'uso di un mini pc purché abbia un buon hardware. Per il costo energetico un rasp è fatto apposta per non consumare troppo quindi non mi preoccuperei, eventualmente potresti alimentarlo con un piccolo pannello solare e una batteria con accumulatore.

lo so che non è troppo costoso, ma:
1 trovare il raspberry è difficilissimo, non si trovano. dovrei usare un vecchio pc che fa rumore e consuma
2 hdd, 60 euro sono in ogni caso un costo
3 elettricita è un costo non indifferente, bella la privacy ma se posso ottenere un buon risultato solo con TOR per ora vado di quello

Un raspi a più di 100/120 euro non ha senso.
Allora tanto vale andare su soluzioni diverse: es netbook usato con installato sopra Bitcoin Core. E sei a posto, se vuoi usarlo come wallet. Oppure un bare-metal, come suggeriva Babo in altro thread.
Ma il raspi è una piattaforma di sviluppo abbastanza limitata che faceva del basso costo il suo punto di forza: se questo viene a mancare, cade un pò tutto il discorso.

legendary
Activity: 2114
Merit: 15144
Fully fledged Merit Cycler - Golden Feather 22-23
Ultimamente il prezzo dei rasp sono alzati quello è vero però io circa un anno e mezzo fa con 200€ sono riuscito a comprare Rasp pi4 e HD da 4tera. Eventualmente potresti anche considerare l'uso di un mini pc purché abbia un buon hardware. Per il costo energetico un rasp è fatto apposta per non consumare troppo quindi non mi preoccuperei, eventualmente potresti alimentarlo con un piccolo pannello solare e una batteria con accumulatore.

lo so che non è troppo costoso, ma:
1 trovare il raspberry è difficilissimo, non si trovano. dovrei usare un vecchio pc che fa rumore e consuma
2 hdd, 60 euro sono in ogni caso un costo
3 elettricita è un costo non indifferente, bella la privacy ma se posso ottenere un buon risultato solo con TOR per ora vado di quello

Un raspi a più di 100/120 euro non ha senso.
Allora tanto vale andare su soluzioni diverse: es netbook usato con installato sopra Bitcoin Core. E sei a posto, se vuoi usarlo come wallet. Oppure un bare-metal, come suggeriva Babo in altro thread.
Ma il raspi è una piattaforma di sviluppo abbastanza limitata che faceva del basso costo il suo punto di forza: se questo viene a mancare, cade un pò tutto il discorso.
sr. member
Activity: 434
Merit: 580
Pizza Maker 2023 | Bitcoinbeer.events
Ultimamente il prezzo dei rasp sono alzati quello è vero però io circa un anno e mezzo fa con 200€ sono riuscito a comprare Rasp pi4 e HD da 4tera. Eventualmente potresti anche considerare l'uso di un mini pc purché abbia un buon hardware. Per il costo energetico un rasp è fatto apposta per non consumare troppo quindi non mi preoccuperei, eventualmente potresti alimentarlo con un piccolo pannello solare e una batteria con accumulatore.

lo so che non è troppo costoso, ma:
1 trovare il raspberry è difficilissimo, non si trovano. dovrei usare un vecchio pc che fa rumore e consuma
2 hdd, 60 euro sono in ogni caso un costo
3 elettricita è un costo non indifferente, bella la privacy ma se posso ottenere un buon risultato solo con TOR per ora vado di quello
legendary
Activity: 1554
Merit: 1168
lo so che non è troppo costoso, ma:
1 trovare il raspberry è difficilissimo, non si trovano. dovrei usare un vecchio pc che fa rumore e consuma
2 hdd, 60 euro sono in ogni caso un costo
3 elettricita è un costo non indifferente, bella la privacy ma se posso ottenere un buon risultato solo con TOR per ora vado di quello
sr. member
Activity: 434
Merit: 580
Pizza Maker 2023 | Bitcoinbeer.events
Ehehe sapevo che lo avresti detto ma qui bisogna precisare le poche capacità informatiche dell'attivista perché se solo avesse saputo cosa rischiava esponendo il suo ip anche a Proton che non vende dati ma sotto pressione dal governo francese e svizzero (e probabilmente hanno ceduto perché ancora acerbi come servizio e rischiavano di chiudere ancor prima di partire) probabilmente avrebbe raggiunto il client sotto rete tor dato che proton mette a disposizione il link onion. A quel punto diventa più complicato capire IP.

Si ProtonMail da circa un annetto è diventata semplicemente Proton perché ha ampliato il bagaglio di servizi che adesso è composto da Mail, Calendar, VPN e Drive. Questi servizi sono tutti compresi con l'abbonamento oppure anche free ma la VPN è molto limitata rispetto al piano pay. Considera che l'azienda è Svizzera quindi gode delle leggi svizzere, ha applicazioni distribuite su F-droid per chi non utilizza i play service google (prendete nota), non condivide i vostri dati, ha i servizi come mail ad esempio raggiungibili da link onion ovvero sotto rete tor (e qui sottolineo la cazzata dell'attivista francese qualora qualcuno volesse controbattere) e soprattutto puoi pagare l'abbonamento o tramite Bitcoin che è sicuro e anonimo oppure a vostro rischio potete pagare su richiesta in busta chiusa con delle merdosissime Fiat.
Insomma a me piace ma piace anche il nodo easy su umbrel.

@alexrossi @Ale88 non basta una vpn per avere privacy anche perché dipende sopratutto a quale VPN vi affidate, ad esempio non userei mai NordVpn per mille motivi ad esempio software closed source, numerose affiliazione a siti per accaparrarsi recensioni, traccianti nell'app ma sopratutto databreach e quindi addio IP. Se proprio mi devo affidare ad una VPN lo faccio con Proton o Mullvad, in ogni caso preferisco hostare il mio nodo e acquisire maggiore sicurezza e privacy.
Grazie per queste info, gli darò sicuramente un'occhiata e farò anche un controllo più approfondito su NordVPN  Wink
Ma Proton per caso ha a che fare con Proton Mail? Stiamo parlando sempre della stessa compagnia svizzera?

si ho visto che la suite e' diventata bella grossa
non so, sono sempre un po' diffidente a causa di quella rogna con l'ip
purtoppo sono una persona che si fida difficilmente
tu lo hai a pagamento l'account?
legendary
Activity: 3528
Merit: 4042
Si ProtonMail da circa un annetto è diventata semplicemente Proton perché ha ampliato il bagaglio di servizi che adesso è composto da Mail, Calendar, VPN e Drive. Questi servizi sono tutti compresi con l'abbonamento oppure anche free ma la VPN è molto limitata rispetto al piano pay. Considera che l'azienda è Svizzera quindi gode delle leggi svizzere, ha applicazioni distribuite su F-droid per chi non utilizza i play service google (prendete nota), non condivide i vostri dati, ha i servizi come mail ad esempio raggiungibili da link onion ovvero sotto rete tor (e qui sottolineo la cazzata dell'attivista francese qualora qualcuno volesse controbattere) e soprattutto puoi pagare l'abbonamento o tramite Bitcoin che è sicuro e anonimo oppure a vostro rischio potete pagare su richiesta in busta chiusa con delle merdosissime Fiat.
Insomma a me piace ma piace anche il nodo easy su umbrel.

@alexrossi @Ale88 non basta una vpn per avere privacy anche perché dipende sopratutto a quale VPN vi affidate, ad esempio non userei mai NordVpn per mille motivi ad esempio software closed source, numerose affiliazione a siti per accaparrarsi recensioni, traccianti nell'app ma sopratutto databreach e quindi addio IP. Se proprio mi devo affidare ad una VPN lo faccio con Proton o Mullvad, in ogni caso preferisco hostare il mio nodo e acquisire maggiore sicurezza e privacy.
Grazie per queste info, gli darò sicuramente un'occhiata e farò anche un controllo più approfondito su NordVPN  Wink
Ma Proton per caso ha a che fare con Proton Mail? Stiamo parlando sempre della stessa compagnia svizzera?

si ho visto che la suite e' diventata bella grossa
non so, sono sempre un po' diffidente a causa di quella rogna con l'ip
purtoppo sono una persona che si fida difficilmente
tu lo hai a pagamento l'account?
sr. member
Activity: 434
Merit: 580
Pizza Maker 2023 | Bitcoinbeer.events
Si ProtonMail da circa un annetto è diventata semplicemente Proton perché ha ampliato il bagaglio di servizi che adesso è composto da Mail, Calendar, VPN e Drive. Questi servizi sono tutti compresi con l'abbonamento oppure anche free ma la VPN è molto limitata rispetto al piano pay. Considera che l'azienda è Svizzera quindi gode delle leggi svizzere, ha applicazioni distribuite su F-droid per chi non utilizza i play service google (prendete nota), non condivide i vostri dati, ha i servizi come mail ad esempio raggiungibili da link onion ovvero sotto rete tor (e qui sottolineo la cazzata dell'attivista francese qualora qualcuno volesse controbattere) e soprattutto puoi pagare l'abbonamento o tramite Bitcoin che è sicuro e anonimo oppure a vostro rischio potete pagare su richiesta in busta chiusa con delle merdosissime Fiat.
Insomma a me piace ma piace anche il nodo easy su umbrel.

@alexrossi @Ale88 non basta una vpn per avere privacy anche perché dipende sopratutto a quale VPN vi affidate, ad esempio non userei mai NordVpn per mille motivi ad esempio software closed source, numerose affiliazione a siti per accaparrarsi recensioni, traccianti nell'app ma sopratutto databreach e quindi addio IP. Se proprio mi devo affidare ad una VPN lo faccio con Proton o Mullvad, in ogni caso preferisco hostare il mio nodo e acquisire maggiore sicurezza e privacy.
Grazie per queste info, gli darò sicuramente un'occhiata e farò anche un controllo più approfondito su NordVPN  Wink
Ma Proton per caso ha a che fare con Proton Mail? Stiamo parlando sempre della stessa compagnia svizzera?
legendary
Activity: 2324
Merit: 2276
@alexrossi @Ale88 non basta una vpn per avere privacy anche perché dipende sopratutto a quale VPN vi affidate, ad esempio non userei mai NordVpn per mille motivi ad esempio software closed source, numerose affiliazione a siti per accaparrarsi recensioni, traccianti nell'app ma sopratutto databreach e quindi addio IP. Se proprio mi devo affidare ad una VPN lo faccio con Proton o Mullvad, in ogni caso preferisco hostare il mio nodo e acquisire maggiore sicurezza e privacy.
Grazie per queste info, gli darò sicuramente un'occhiata e farò anche un controllo più approfondito su NordVPN  Wink
Ma Proton per caso ha a che fare con Proton Mail? Stiamo parlando sempre della stessa compagnia svizzera?
sr. member
Activity: 434
Merit: 580
Pizza Maker 2023 | Bitcoinbeer.events
@alexrossi @Ale88 non basta una vpn per avere privacy anche perché dipende sopratutto a quale VPN vi affidate, ad esempio non userei mai NordVpn per mille motivi tipo: software closed source, numerose affiliazione a siti per accaparrarsi recensioni, traccianti nell'app ma sopratutto databreach e quindi addio IP. Se proprio mi devo affidare ad una VPN lo faccio con Proton o Mullvad, in ogni caso preferisco hostare il mio nodo e acquisire maggiore sicurezza e privacy.

Ma è come dice duesoldi perdi in anonimato perché esponi IP a terzi
Domanda stupida ma la faccio lo stesso: per evitare di esporre il proprio indirizzo IP non basterebbe utilizzare una VPN? Io ero rimasto che questo era uno dei vantaggi delle VPN, potete confermare?

Sì, basta la VPN, io per es. ho preso un router della GL inet che è configurabile per utilizzare solo la vpn, ed ha un kill switch (se cade la vpn si blocca la connessione)
Grazie per la conferma, Alex! Io quando mi connetto ad un exchange, alla banca, o qualsiasi altro sito un po' delicato la attivo sempre per sicurezza. Oramai sono anni che uso NordVPN e costa veramente poco con le offerte speciali che fanno. Senza menzionare il fatto che è utilissima anche su smartphone quando ci si collega a un qualsiasi Wi-Fi pubblico.
legendary
Activity: 2520
Merit: 2615
.....
Riguardo HDD da 1 tera, in ogni caso è un investimento non da poco.
Comprendi devi dedicare un computer anche bello potente a quello scopo, e tenerlo acceso.
Non è banale e io passo.

Il computer non deve essere potente, basta un Raspberry. Ok che da un paio di anni con la crisi dei chip te li fanno strapagare, ma la potenze di quelle schede non è certo paragonabile a quella di un computer potente.
Un HDD da 1 TB costa 54 €:
https://www.amazon.it/Wester-Digital-WDBUZG0010BBK-WESN-Esterno-Connettivit%C3%A0/dp/B06VVS7S94/ref=sr_1_16?__mk_it_IT=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=2VXW7XKL8G98O&keywords=hard+disk+1+tb&qid=1668626497&qu=eyJxc2MiOiI1LjQyIiwicXNhIjoiMy45MyIsInFzcCI6IjMuMDcifQ%3D%3D&sprefix=hard+disk+1+tb%2Caps%2C153&sr=8-16

e ho preso il primo a caso, probabilmente lo trovi anche a meno.
Non voglio insistere comunque.....  Wink



.....
quando scopi con tua moglie/compagna/fidanzata, fallo in pubblico

`eh ma non voglio che mi vedano`

bravo pirla, ora hai capito il significato di PRIVACY

metafora efficace, direi.....    Grin
 
legendary
Activity: 1554
Merit: 1168
.....
ok bisogna essere paranoici, bisogna pensare sempre che qualcuno non ti vuole bene e vuole fregarti, ma qui forse siamo un poco andando oltre. Gestire un nodo poi non mi pare una cosa banale, e ci vuole un bel HDD se non erro.

Non si tratta del fatto che qualcuno potrebbe "non volerti bene e volerti fregare", si fa riferimento al fatto che se usi nodi di altri perdi in anonimato (e quindi potenzialmente in sicurezza fisica). Per questo si suggerisce quando possibile di usare un proprio nodo.

Sull'ultima frase: per un nodo basta un HDD/SDD da 1 TB e se segui la guida di @fillippone su raspiblitz  (o installi umbrel che è ancora più banale) vedrai che è una cosa alla portata di tutti.



Ho capito grazie. Onestamente penso non sia alla portata di tutti. Forse per voi si che siete capaci, ma non tutti sono capaci a fare quelle operazioni. Mi fermo al momento all'uso di TOR e mi sto in questa fase.
Magari se miglioro seguo le vostre guide.
Riguardo HDD da 1 tera, in ogni caso è un investimento non da poco.
Comprendi devi dedicare un computer anche bello potente a quello scopo, e tenerlo acceso.
Non è banale e io passo.
legendary
Activity: 2324
Merit: 2276
Ma è come dice duesoldi perdi in anonimato perché esponi IP a terzi
Domanda stupida ma la faccio lo stesso: per evitare di esporre il proprio indirizzo IP non basterebbe utilizzare una VPN? Io ero rimasto che questo era uno dei vantaggi delle VPN, potete confermare?

Sì, basta la VPN, io per es. ho preso un router della GL inet che è configurabile per utilizzare solo la vpn, ed ha un kill switch (se cade la vpn si blocca la connessione)
Grazie per la conferma, Alex! Io quando mi connetto ad un exchange, alla banca, o qualsiasi altro sito un po' delicato la attivo sempre per sicurezza. Oramai sono anni che uso NordVPN e costa veramente poco con le offerte speciali che fanno. Senza menzionare il fatto che è utilissima anche su smartphone quando ci si collega a un qualsiasi Wi-Fi pubblico.
Pages:
Jump to: