Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 11. (Read 23158 times)

Etwas anderes hätte wohl niemand wirklich erwarten können
Wenn sie sich hier nicht sofort quer stellen, wäre bei denen garantiert bald die Hölle los.


Hast Du Lust und die Zeit denen auf den Sack zu gehen, dann nur zu
Auch wenn es am Ergebnis voraussichtlich nichts ändern wird, kann man den Laden mit sowas immer noch etwas beschäftigen. Obwohl auch das wahrscheinlich nur Standardantworten generiert.

Mit so einer Antwort war leider zu rechnen. Weißt du schon was du machst? Nochmal mit Rechtsanwalt drohen? Bringt zwar nichts, verursacht aber Arbeit für den Support. Je nachdem wie wütend du noch bist. 

Und ein Streitschlichtungsverfahren, naja kann ich mir auch nicht wirklich vorstellen, dass das was bringt.

---

Haha. Verwende die Zeit besser für eine Recherche nach einem neuen Anbieter. Alles andere bringt ja leider nichts. 

Ich wollte ja hier Bescheid geben, wenn es etwas neues zu meiner Beschwerde bei Ledger gibt.
Gestern kam wieder eine Antwort, in der man sich ganz steif auf die 14 Tage Widerrufsrecht beruft.
Quelle: Antwort von Ledger auf mein Ticket

Für europäische Kunden wird zusätzlich noch ein Streitschlichtungsverfahren angeboten. Hierbei entscheidet eine dritte Partei dann, wer Recht bekommt und beide müssen im Vorfeld natürlich zustimmen, sich an die Entscheidung zu halten.

Ob ich das mal versuche, weiß ich noch nicht aber halte ich weiter auf dem laufenden

Soll ich eine Website mit dem Namen ScheißLedger erstellen? 

Solche Reaktionen hatte ich vermutet und da bin ich eigentlich bei euch. Selbst bei einer 180° Wende wäre langfristig das Vertrauen irgendwie missbraucht... Wie in einer/jeder Beziehung eigentlich und das ist die falsche Ausgangslage, um das eigene Vermögen anzuvertrauen.

In den Thread werde ich jetzt dann mal reinschauen.. Wollte gerade auch schon wieder hier über Alternativen schreiben aber das passt da dann einfach besser rein

Also meinen Nano S benutze ich wahrscheinlich auch erstmal weiter, aber den X lasse ich vorerst in der Schublade.


Ganz klares nein von meiner Seite. Sie können ab jetzt machen was sie wollen, 100% Vertrauen werde ich denen nie wieder.


Der Rat gefällt mir und werde auch so handeln


Gute Idee, danke dafür.

Eigentlich von mir auch ein deutliches Nein, ist gerade bei einer HW Wallet ein absoluter Tabu Bruch für mich. Aber werde mich auch erst einmal um einen Ersatz umsehen, aber da mache ich mir jetzt auch einmal keinen Stress.


Danke, sieht gut aus und der Preis ist auch sehr akzeptabel, aber werde mir da noch weitere Infos einholen.

https://www.onekey.so/

Ich werde jetzt einmal einen neues Thema aufmachen Hardware Wallet Alternativen zu Ledger.

Hardware Wallet Alternativen zu Ledger (Angebote / Diskussion / Hilfe)

Ich selber werde sehr wahrscheinlich zum OneKey wechseln... Tangem Card ist für mich draußen aus gewissen Sicherheitsgründen.
Aber ich mach mir da kein Stress.

Updates würde ich zurzeit keine mehr durchführen. Zumindest so lange nicht bis eine relevante Sicherheitslücke bekannt werden sollte. Das gilt sowohl für Ledger Live als auch die Firmware.

---

Da hast natürlich prinzipiell Recht. 100% Sicherheit hat man natürlich bei keinem Anbieter bzw. bei keiner Verwahrform.

Dennoch halte die Einstellung aktuell für relativ gefährlich. Denn das Ledger gelogen hat, ist nun mal Fakt und dass man nicht genau weiß was alles in der Firmware schlummert auch. Man kann natürlich sagen, dass man der Firma vertraut und nicht damit rechnet, dass die Produkte zeitnah geknackt, gesperrt oder kompromittiert werden. Nur dann muss man sich auch eingestehen, dass man die Sicherheit in die Hände der Firma legt, ähnlich wie man es bei einer Börse zu tun würde.

Ganz schwieriges Thema aber natürlich. Ich denke auch nicht, dass es jetzt in den nächsten Wochen Probleme mit den bei Ledger gelagerten Coins geben wird. Aber was ist in einigen Monaten oder Jahren? Das Produkt wurde ja gerade dazu entwickelt Coins über einen sehr langen Zeitraum zu verwahren. Und wenn eine Firma derart lügt, die Kunden für dumm verkauft und versprechen bricht, dann besteht einfach die große Gefahr, dass es irgendwann Probleme gibt. Und ob man dieses Risiko eingehen möchte, muss dann jeder für sich selbst entscheiden.

---

Nein. Ich halte die von Ledger vorgebrachte Open-Source-Strategie nur für einen weiteren Marketingversuch von den eigentlichen Problemen abzulenken. Wenn das Recovery-Feature Open-Source gestaltet wird, bleibt immer noch das Problem, dass das SE eben nicht Open-Source ist. Darum kann man mMn niemals sicher sein, ob nicht doch noch etwas im Hintergrund läuft, Daten abgegriffen werden oder deine Seeds nicht doch schon irgendwo gespeichert wurden. Auch wenn ich Letzteres Ledger nicht zutraue, bleibt eben ein Restrisiko.

Solange ich keinen Ersatz für meinen Ledger habe, muss ich die Software noch weiter benutzen aber werde, wenn möglich, keine Updates von Ledger Live oder der Ledger Firmware mehr machen (außer das hier wiederum in einer alten Version eine erhebliche Sicherheitslücke aufgedeckt wird).

Hat hier noch jemand den Newsletter am 26.05 erhalten? Hier ist eine Nachricht vom CEO, Pascal Gauthier enthalten, die ich hier auch mal reinwerfe:
https://www.ledger.com/blog/ledger-recover-a-message-from-pascal-gauthier-chairman-ceo-at-ledger

Speziell das Thema Open-Source wird hier angesprochen:

Würdet ihr euch wieder "sicherer" fühlen, wenn Ledger hier für mehr Transparenz sorgt oder ist das Thema für euch gegessen?

Also ich nutze die noch und werde diese auch weiterhin nutzen. Ich glaube trotz allem das es immer noch eine der sichersten Varianten für die Verwahrung
von Cryptos sind. PS:Habe den Nano X und auch Nano S . Auch diese werden weiter genutzt. Bisher habe ich auch nicht gelesen das jemand Geld verloren hat.
Daher bleibe ich cool und lasse mich nicht klirre machen. Wer weiß ob es überhaupt 100%tig besseres gibt. Alles hat ein für und wider.

Wollte gerade schauen, ob die Vergütung für die Signatur Kampagne bereits eingegangen ist, da begrüßt mich Ledger Live mit einem Update



Kurzer Check, ist ganz frisch von heute



Frage in die Runde: Nutzt ihr Ledger Live noch und würdet ihr die Software weiterhin vertrauen bzw updaten? Klar, von den Firmware Upgrades der Nanos sollte man natürlich weiterhin Abstand nehmen, oder wenn überhaupt, nur noch den alten Nano S verwenden!

Da bei mir das meiste im HODL-Modus ist, ist eine Signierung nicht notwendig. Und wenn doch, dann komme ich ganz gut mit dem Benutzungsdefizit zurecht.

---------------


Ja, denn ich weiß nie, was die dahinterstehende Software macht.


Überwachung des Netzverkehrs wäre für mich zu aufwendig. Ausserdem bringt es doch nicht viel, wenn die Überwachung anschlägt. Dann ist der Seed doch schon woanders und ich könnte nur noch zusehen, wie die Coins verschwinden.

Doch ich denke auch das hier Cloud stimmt (also mehrt als alles als Sicher), die SEED ohne 25igste Wort wird insgesamt auf 3 Firmen verteilt, also gehe ich auch von Cloud aus, wie sollte das mit einem Secure Chip funktionieren? Also in Zukunft einfach einen Bogen um den Saftladen Ledger machen, egal wie sie es drehen und wenden wollen.

Bist du dir sicher, dass sie den Seed in der Cloud speichern? Denke du meinst den Secure Chip?
Die Sache ist einfach die ... Ledger sagt zwar, sie speichern das 25te Wort nicht, ich vertraue ihnen aber nicht mehr so lange der Code nicht veröffentlicht ist. Und selbst dann hat man keine Gewissheit, ob das 100% jener Code ist, der auch über ein Firmware-Update eingespielt wird. Man kann ja die installierte Software nicht per Signatur o.ä. verifizieren.

---

Ja, ich bin mittlerweile auch der Ansicht, dass ich hier alles neu initialisieren muss um wirklich sicher zu gehen. Ansonsten werde ich einfach nicht ruhig schlafen können.

Erstellt euch nen neuen Seed, dazu ein 25tes Wort - welches ihr jedes mal neu eingebt am Ledger, also nur temporär und nicht durch extra Seed gesichert.
Meiner Info nach speichert Ledger nur die 24 Wörter voM Seed in der Cloud wenn man dem Service zustimmt, nicht aber das 25te.

Ich würde einen neuen Seed generieren oder selbst erstellen (Würfeln in einer verwerfbaren sicheren Offline-Umgebung), dann kann man hinter dem Ledger-Zirkus einen Haken machen und gut ist. Die Kröte wird man schlucken müssen, seine Backups zu erneuern. Blöd, aber vielleicht auch eine Lehre, einer Firma für Hardware-Wallets nicht zu viel Vertrauen zu schenken, wenn nicht alles offengelegt wird.

Da der Firmware-Code von Ledger NoNos größtenteils Closed-Source ist, weisst du nicht, was in der Firmware drinsteckt und dringesteckt hat, als du deinen Ledger benutzt hast. Aus nachvollziehbaren Gründen vertraust du Ledger nun nicht mehr. Warum glaubst du, du könnest den vom Ledger NoNo generierten Seed 100%ig sicher weiterverwenden?

Auch wenn ich kein Ledger-Freund bin, glaube ich nicht, daß selbst die Honks bei Ledger Paris je auf die firmentödliche Idee gekommen sind, Kunden-Seeds, warum auch immer, mal prophylaktisch abzugreifen. Käme das heraus, wäre Ledger augenblicklich tot, egal ob Schindluder oder nicht damit getrieben wurde. Bin ich mir sicher? Nope...



Der NoNo S hat einfach sehr wenig Speicher und seit einiger Zeit ist die Firmware und die Apps derart angewachsen, daß eben nur noch für wenige Apps Platz im NoNo S ist. Vielleicht ist nur das der Grund und weil das Teil ja auch eh nicht mehr von Ledger unterstützt wird. Ob aber zu Zeiten, als der NoNo S noch Updates bekommen hat, nicht irgendein Schmuh in der Firmware war, kann kaum jemand nachprüfen. Ledger sagt, vertrau' uns. Ja klar, immer doch...

Trezor veröffentlicht seine Firmware vollständig; Trezor veröffentlich auch seine Schaltpläne und Bauteile (meines Wissens) vollständig. Man könnte nachprüfen, ob Trezor je Schmuh in der Firmware drin hatte. Wobei man hier eine nicht unerhebliche Einschränkung ggf. machen muss, da meines Wissens die Firmware nicht per reproduzierbaren Builds mit dem Github-Repo verifiziert werden kann. So habe ich es bisher gehört und gelesen, überprüft habe ich es der Vollständigkeit halber nicht selbst. (Sorry dafür!)



OK, eine Cold-Wallet auf einem air-gapped Rechner kann eine Hardware-Wallet ersetzen. Die Sicherheit wäre mit einer gescheiten Hardware-Wallet vergleichbar, wenn der Datenträger verschlüsselt wird. Der Benutzungskomfort ist allerdings eher bescheiden, weil du zum Signieren ständig PSBT-Dateien hin und her schieben musst.
Ein Electrum-Seed nützt dir aber nix für praktisch jede gebräuchliche Hardware-Wallet. Das nur nebenbei, aber das weisst du ja sicher.



Das Electrum auf Tails ist notorisch etwas veraltet, funktioniert aber immerhin. Aber was möchtest du damit abbilden? Offline wäre es eine mühsame Cold Wallet, bei der du immer die Recovery Wörter neu eingeben musst, um an deine Wallet zu kommen. Gehst du online, hast du keine Cold-Wallet mehr, sondern nur noch eine Hot-Wallet.

---

Schon etwas älter und möglicherweise nicht auf die aktuellen NoNo X und S Plus übertragbar, dennoch wie ich finde eine ganz interessante Lektüre eines Sicherheitsanalysten, der eine recht gravierende Schwachstelle im Sicherheitskonzept von Ledger aufgedeckt hat und einige Mühe hatte, Ledger von ihrem Scheiß zu überzeugen: https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Ich werde beim Erhalt meines neuen Wallets (für das ich mich immer noch nicht entschieden habe) einen komplett neuen Seed/Passphrase generieren lassen und den, wie schon in Willis Metallplatten-Thread beschrieben, auf insgesamt drei Platte aufteilen und diese an drei unterschiedlichen, vertrauenswürdigen Orten lagern. Um alle Coins auf das neue Wallet zu transferieren, muss ich vielleicht 5 Transaktionen machen und die Transaktionsgebühren sind bis dahin hoffentlich wieder ein wenig gesunken. So kann ich einfach ruhig schlafen und weiß ab dem Zeitpunkt auch mit voller Sicherheit, dass niemand meinen Key gesehen haben wird.
Man kann die Platten dann z.B noch in Umschläge packen oder irgendwie markieren, dass man auch hier sehen würde, falls jemand Zugriff darauf hatte und schon ist man für mein Geschmack eigentlich recht gut abgesichert.

Das war eigentlich nur als Spaß gemeint Willi, aber vielen herzlichen Dank für das Angebot! Ich würde dir im Fall des Falles aber trotzdem den ganzen Betrag überweisen, für dich ist das ja auch nur ein Nebengeschäft und du kannst schon rein gar nichts für den Ledger-Fail 

---

Dh. du würdest dem Ledger, der mit einem Rechner im Internet verbunden ist, nicht mehr vertrauen? In diesem Fall hätte ich weniger Bedenken, da man den ausgehenden Netzwerkverkehr recht einfach überwachen kann. Wäre also jemals der Seed eines verbundenen Ledgers auf einen Server gewandert, so hätte das garantiert jemand bemerkt, gerade in unserem Bereich wo doch sehr viele Leute mit sehr paranoidischen Denkweisen unterwegs sind.

Viel eher stört mich, dass ich nicht verifizieren kann, ob der Ledger nach einem Zurücksetzen auch tatsächlich gelöscht ist. Ich müsste den Nano X bspw. manuell zerstören um hier auf Nummer sicher gehen zu können. Weitere Firmware-Updates o.ä. kommen für mich jetzt sowieso nicht mehr in Frage.

Würde es nicht auch reichen Tails als readonly System zu starten und das darauf installierte Electrum?