Pages:
Author

Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 14. (Read 23158 times)

legendary
Activity: 1624
Merit: 4417
Es gibt eigentlich einen Tweet der alles sagt. Ledger hat uns bisher eine Lüge verkauft: Nämlich, dass es nicht möglich sei den Seed aus dem Secure Element zu bekommen.

Und doch es ist möglich, siehe den Tweet von gestern. Es war sogar immer möglich. Die angebliche Sicherheit, alles nur vorgegaukelt.



Quelle: Twitter, Ledger Support, 17.05.2023

Die ganze Ledger Security ist und war immer nur auf Vertrauen aufgebaut. Vertrauen, dass kein worst-case Hack Szenario oder ein Inside-Job eintritt, der dazu führt, dass fehlerhafte bzw. kompromittierte Software den Seed freigibt. Vertrauen, dass Ledger nicht ohne unser Wissen ein Firmware Update aufspielt, das unseren Seed an öffentliche Stellen oder Regierungen ausgibt.

Und jetzt sollen wir dieser verlogenen Firma, die in der Vergangenheit massiv Nutzerdaten durch Hacks im Darknet verloren hat, vertrauen wenn sie sagt "trust me bro, you're safe". Ohne mich.

Wir sollten uns zügig überlegen, welche Alternativen am Markt sind und welche Alternativen nicht ggf. auch das selbe Secure Element verwenden was ebenso verwundbar ist.

Und meine persönliche Meinung: Ich hoffe dieser Drecksladen geht Pleite und die scheiß Founder gehen in den Knast.
legendary
Activity: 2198
Merit: 1663
  • Der Seed ist und war immer extrahierbar, wenn auch in verschlüsselter Form. Das hat Ledger mittlerweile auch bestätigt: Quelle
  • Die externen Firmen mit denen Ledger hier zusammenarbeitet sind in der Lage, die Shards aufzubrechen und zu lesen.
Diese zwei Sätze sind wie ein Roundhose-Kick mitten in die Fresse und ich dachte da gibt es noch eine Möglichkeit das ganze zu ignorieren/umgehen oder ähnliches. Das es Geheimnisse geben muss, bei einer Entwicklung des Security-Chips ist verständlich. Ein guter Koch verrät nicht sein bestes Rezept. Aber jetzt bestätigen, das die primäre Funktion "Sicherheit" nicht so sicher ist wie man es immer kommuniziert hat, oder es noch tut:

Quote
Wenn Sie Kryptowährungen besitzen, ist das, was Sie wirklich besitzen, ein privater Schlüssel, mit dem Sie auf Ihre Coins zugreifen können. Sie müssen diesen Schlüssel absolut sicher aufbewahren. Ledger-Wallets sind die beste Möglichkeit, diesen Schlüssel zu besitzen und zu sichern.
Quelle: https://shop.ledger.com/de/pages/ledger-nano-x
Klickt man auf "Erfahren Sie mehr über die Sicherheit, die Ledger bietet", gelangt man auf eine 404 Page not found.


Ledger-Fiasko: Bitcoin-Community in Aufruhr
Quote
Not your keys..
Quelle: https://www.btc-echo.de/news/ledger-fiasko-bitcoin-community-in-aufruhr-164403/[/list]
legendary
Activity: 2296
Merit: 2721
Diese neue Geschäftspolitik steht mMn den Gründen, die bisher für den Kauf eines Ledgers gesprochen haben diametral entgegen. Man sollte sich wirklich überlegen inwiefern man dieser Firma noch vertraut und ob die Ledger Geräte nun nicht doch eher als sehr gut geschütztes Hot-Wallet anzusehen sind. Wenn es eine Möglichkeit gibt, dass der Seed das Wallet verlässt (in welcher Form auch immer), ist es eben kein Cold-Storage mehr.
Hier möchte ich gerne einhaken und kurz darlegen, was das jetzt eigentlich heißt.

Ledger hat ja immer beteuert, dass der Seed sicher ist und aus ihrem "Security-Chip" nicht extrahiert werden kann. Dem ist aber nicht so, Ledger hat hier offensichtlich gelogen.

Warum?

Der Prozess für das "Recovery" funktioniert so:



Quelle

Das bedeutet jetzt folgendes:

  • Der Seed wird in einem Security-Chip verwahrt. Benötigt man ein Backup/Recovery, so wird dieser Seed in 3 verschlüsselte Teile aufgeteilt (die so genannten Shards)
  • Diese Teile werden nun an 3 unabhängige (?) Firmen gesendet und dort entschlüsselt
  • Erst wenn alle 3 Teile wieder zusammengesetzt werden kann man einen neuen Ledger wieder mit dem Seed initialisieren

Aus Hardware- und Softwaresicherheits-Sicht ist das eine einzige Katastrophe ... gelinde ausgedrückt. Das bedeutet nämlich im Umkehrschluss:

  • Der Seed ist und war immer extrahierbar, wenn auch in verschlüsselter Form. Das hat Ledger mittlerweile auch bestätigt:

    Quelle
  • Die externen Firmen mit denen Ledger hier zusammenarbeitet sind in der Lage, die Shards aufzubrechen und zu lesen.
  • Ledger kann per Software-Update über Ledger Live ihre wichtigste Sicherheitsfunktionalität abändern. Was passiert, wenn hier ein Bug/Backdoor in einem Update versteckt ist, welcher die Seeds/Shards unverschlüsselt nach außen gibt?

Für mich als Ledger-User fast der ersten Stunde ist die Enttäuschung riesengroß. Ich verwalte fast mein ganzes Crypto-Portfolio über einen Ledger, werde die aber jetzt garantiert nicht mehr verwenden oder geschweige denn updaten. Ich möchte gar nicht wissen, in welchen Belangen Ledger hier noch unehrlich zu uns als Kunden war. Bin gerade auf der Suche nach einer Alternative, bin auch kurz davor den gesamten Seed zu verwerfen und mit einem Trezor (o.ä.) komplett neu zu starten.
legendary
Activity: 2955
Merit: 1049

Dazu soweit mir bekannt kann Ledger bei diesem Feature nicht das 25te Wort speichern.


da dies ja *nur* Software ist lässt sich das doch jederzeit ändern oder?
 Huh
legendary
Activity: 2971
Merit: 1271
Beim Nano S soll das Feature anscheinend nicht möglich sein wie Julian Hosp in seinem Video dazu geurteilt hatte.
Dazu soweit mir bekannt kann Ledger bei diesem Feature nicht das 25te Wort speichern.
Also generell das 25te Wort zu verwenden stellt hier weiterhin eine sehr gute Option dar.
legendary
Activity: 3500
Merit: 2792
Escrow Service
Wie verhält es sich dann erst in der Zukunft wenn Strafverfolgungsbehörden auf Ledger zukommen und die Seeds haben wollen von einem Kunden damit sie die Funds beschlagnahmen können? So wie Ich das sehe ist das dann durchaus möglich.
An das hab ich noch gar nicht gedacht. Interessant, da schießt sie ja noch mehr ins Aus.
noch ein Grund mehr, das Produkt zukünftig zu meiden und seinen Seed sicher zu verwalten.

Viele Grüße
Willi
legendary
Activity: 2971
Merit: 1271
Wie verhält es sich dann erst in der Zukunft wenn Strafverfolgungsbehörden auf Ledger zukommen und die Seeds haben wollen von einem Kunden damit sie die Funds beschlagnahmen können? So wie Ich das sehe ist das dann durchaus möglich.
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
Der Hauptvorteil einer Wiederherstellungsfunktion besteht darin, dass man den Usern dabei helfen kann, den Zugang zum  Wallet wiederherzustellen, falls sie ihren Seed oder ihre Zugangsdaten verlieren. Dadurch könnten potenzielle Verluste von Kryptowährungen vermieden werden, wenn beispielsweise das Hardware-Wallet beschädigt oder gestohlen wird und man seinen Seed irgendwo verbummelt hat.
Ich hab soeben an die Paper-Wallets gedacht, die vor kurzem durch den "Ersteller" geleakt wurden. Im weitesten Sinne ist es doch nichts anders, weil ich damit den Zugang jemanden anderen ermögliche. Ich hoffe es ist nicht so heiß, wie es aktuell gekocht wird. Ledger nennt das Update "spannend"... ich finde es so wie ihr: nicht sinnvoll. Viele User kommen mit Sicherheit seit vielen Jahren gut damit klar, das sollte man auch so lassen."Never change a running System". Ich werde das nun auch etwas intensiver betrachten und mir dann überlegen wie ich zukünftig handele.

Ich sehe es mittlerweile auch so wie willi9974 und es ist eine erweiterte Funktion für den Otto-Normal-Verbraucher, der sich nicht so intensiv mit der Verwahrung der Privatekeys/Seed auseinandersetzen möchte. Das ist auch völlig legitim, doch gar nicht im Sinne des Be your own Bank. Das Problem seitens Ledger ist aber nun, dass sie selber mit dieser Erweiterung in Verbindung gebracht werden. Hätten sie ein neues Unternehmen gegründet, welches unabhängig von Ledger agieren würde, wäre es sicherlich nicht zu so einem großen Aufschrei in der Community gekommen. Aber nun ist das Kind in den Brunnen gefallen und ob sie da wieder rauskommen...?
legendary
Activity: 2198
Merit: 1663
Der Hauptvorteil einer Wiederherstellungsfunktion besteht darin, dass man den Usern dabei helfen kann, den Zugang zum  Wallet wiederherzustellen, falls sie ihren Seed oder ihre Zugangsdaten verlieren. Dadurch könnten potenzielle Verluste von Kryptowährungen vermieden werden, wenn beispielsweise das Hardware-Wallet beschädigt oder gestohlen wird und man seinen Seed irgendwo verbummelt hat.
Ich hab soeben an die Paper-Wallets gedacht, die vor kurzem durch den "Ersteller" geleakt wurden. Im weitesten Sinne ist es doch nichts anders, weil ich damit den Zugang jemanden anderen ermögliche. Ich hoffe es ist nicht so heiß, wie es aktuell gekocht wird. Ledger nennt das Update "spannend"... ich finde es so wie ihr: nicht sinnvoll. Viele User kommen mit Sicherheit seit vielen Jahren gut damit klar, das sollte man auch so lassen."Never change a running System". Ich werde das nun auch etwas intensiver betrachten und mir dann überlegen wie ich zukünftig handele.
legendary
Activity: 3500
Merit: 2792
Escrow Service

Der Hauptvorteil einer Wiederherstellungsfunktion besteht darin, dass man den Usern dabei helfen kann, den Zugang zum  Wallet wiederherzustellen, falls sie ihren Seed oder ihre Zugangsdaten verlieren. Dadurch könnten potenzielle Verluste von Kryptowährungen vermieden werden, wenn beispielsweise das Hardware-Wallet beschädigt oder gestohlen wird und man seinen Seed irgendwo verbummelt hat.

ABER: erhöht jede zusätzliche Funktion auch das potenzielle Risiko. Wenn eine Wiederherstellungsfunktion schlecht implementiert oder unsicher ist, besteht die Gefahr, dass Dritte Zugriff auf den Seed erhalten und somit auf die Kryptowährungsbestände zugreifen können. Es ist wichtig, dass entsprechende Sicherheitsvorkehrungen getroffen werden, um das Risiko eines unbefugten Zugriffs zu minimieren.

DAHER: Ganz klar, jeder ist für das Backup und die Aufbewahrung für seinen Seed selbst verantwortlich und würde es niemals an einen Dritten anvertrauen, niemals nie! Und schon garnicht dafür bezahlen. Wie oft kommt es vor das eine Firma gehackt wird, dass passiert immer öfter und wo sitzt der schlimmste Angreifer --> innen! Ledger wird die Seeds sicher verschlüsseln und sichern, aber irgendwer hat immer Zugriff darauf.

Daher ist Ledger für mich durch. Denn wenn die Funktion mal da ist. Wie schnell ist sie dann Standard bei der Installation und nur die ersten 3 Monate kostenlos. Sowas geht sehr schnell und viele unerfahrene user, kennen sich da nicht aus und meinen noch das ist super, brauch ich ja kein Backup...

Kopfschüttel, Ledger hat das bei meinem Infos die ich jetzt habe, wohl nicht verstanden...
legendary
Activity: 3976
Merit: 2639
- Ich will, dass meine Coins absolut sicher vor einem Diebstahl sind!
- Ich möchte, dass Ledger Hardware Wallets möglichst viele Coins/Token unterstützen, damit ich alles an einem sicheren Ort verwahren kann.

Alles Weitere brauche ich nicht und birgt nur Risiken mMn.


Recht viel mehr gibt es dazu nicht zu sagen, und wenn sich da ncihts ändert wird die nächste geplante HW Wallet halt kein Ledger mehr, mutiert immer mehr zum Saftladen.

Möglicherweise kommt ja noch ein umdenken oder sie lassen den User selbst bei der Installation entscheiden ob und welche Feature man installieren will, jedenfalls haben es schon viele die Problematik aufgefasst.

Ledger-Fiasko: Bitcoin-Community in Aufruhr
WARNUNG: Ledger kann Private Keys auslesen – Neues Feature sorgt für Entsetzen
legendary
Activity: 3486
Merit: 2287
Top Crypto Casino
Lt des von bct_ail verlinkten Blocktainer Artikels, plant Ledger diesen neuen tollen Service gegen eine monatliche Gebühr von 9,98$ anzubieten. Wenn man bis zu dieser Zeile nicht geweint hat, muss man hier spätestens lachen!

Soll ich mich als Anwender jetzt darauf verlassen, dass ich wenn ich nicht dafür bezahlen möchte, vor diesem Irsinn geschützt bin? Oder werden hier doch hintenrum meine Daten abgeschöpft und schon mal in die Cloud geparkt?

Einen Lichtblick gibt es aber vielleicht. Bei meiner Suche habe ich gefunden, dass die alten Ledger Nano S nicht die technischen Voraussetzungen für das Update erfüllen und somit sicher sind.

Wie gut, dass der hier noch in der Schublade liegt Cool
Ich sehe schon, wie die Preise für gebrauchte Nano S demnächst bei ebay anziehen (SCNR!)
legendary
Activity: 1624
Merit: 4417
Ich habe noch mal ein wenig Twitter durchforstet und viel zum Thema gelesen. Für mich persönlich betreibt Ledger hier den Ausverkauf des Unternehmens um möglichst viele neue Nutzer zu gewinnen. Der Fokus liegt dabei nicht mehr auf Nutzern wie uns, sondern vor allem "Normies", also Leute die ihre Bitcoin am liebsten wie auf einem Bankkonto verwahren möchten.

Diese neue Geschäftspolitik steht mMn den Gründen, die bisher für den Kauf eines Ledgers gesprochen haben diametral entgegen. Man sollte sich wirklich überlegen inwiefern man dieser Firma noch vertraut und ob die Ledger Geräte nun nicht doch eher als sehr gut geschütztes Hot-Wallet anzusehen sind. Wenn es eine Möglichkeit gibt, dass der Seed das Wallet verlässt (in welcher Form auch immer), ist es eben kein Cold-Storage mehr. Man muss jetzt einfach darauf vertrauen, dass in der Software nicht doch irgendwelche Gefahren lauern, die dazu führen, dass der Seed die Wallet dann doch unbeabsichtigt verlässt. Ich bin auf diesem Gebiet kein Experte, jedoch finde ich diese Entwicklung extrem bedenklich. Egal wie sehr die Ledger-Verantwortlichen nun beteuern, dass der Seed immer noch genauso sicher sei wie vorher.

Einen Lichtblick gibt es aber vielleicht. Bei meiner Suche habe ich gefunden, dass die alten Ledger Nano S nicht die technischen Voraussetzungen für das Update erfüllen und somit sicher sind. Also wären nur der Ledger Nano S+, Ledger Nano X, Stax und neuere Produkte betroffen.



Quelle: https://twitter.com/0xQuit/status/1658596830350036992
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
letzte hoffnung ist, dass Ledger noch einen fix rausbringt, der dieses opt-in-service eigenhändig deaktivieren kann...

Das müssen sie wohl. Ansonsten wird es für Ledger immer schwieriger werden, Vertrauen aufzubauen. Viele Leute erhalten durch diese neue Aktion von Ledger dadurch eine Bestätigung, dass ihnen (seit dem Datenabfluss) die Sicherheit ihrer Kunden nicht 100%-ig wichtig sind. Ich denke, dass wird schwer für Ledger sein, aus der Nummer wieder rauszukommen.
legendary
Activity: 1092
Merit: 1125
~
Wie seht ihr das?

Wie du schon sagst, absoluter Schmutz. Ich kann auch überhaupt nicht nachvollziehen, wie so eine Idee überhaupt umgesetzt werden kann, anschließend von mehreren wichtigen Entscheidungsträgern für gut empfunden wird und letztlich den Kunden als tollen Service verkauft wird Huh

Wenn Ledger in der Vergangenehit einen durchweg positiven Auftritt gehabt hätte, könnte man so über einen einzigen so Fehltritt ja hinwegsehen aber mittlerweile sollte man doch wissen, dass den Kunden die Sicherheit am aller wichtigsten ist und das einfach nur der größte Müll ist.

Wie lange funktioniert mein Ledger+Ledger Live, wenn ich es einfach nicht mehr update? 
legendary
Activity: 3304
Merit: 8633
Crypto Swap Exchange
also ich bin auch komplett von der entwicklung, die Ledger jetzt nun seit dem Stax release eingenommen hat, komplett entäuscht...
und dieses meme zeigt es eindeutig, wie es dann aussehen könnte...



ich weiß ehrlich nicht, was sich Ledger dabei denkt - denken sie wirklich dass die damit weiter ihre kunden halten bzw. damit neue kunden gewinnen können!? ich glaub eher das gegenteil Tongue
letzte hoffnung ist, dass Ledger noch einen fix rausbringt, der dieses opt-in-service eigenhändig deaktivieren kann...

Quote
Ein Sicherheitsrisiko? Neues Feature „Ledger Recover“ sorgt für Unmut in der Community!
https://www.blocktrainer.de/ledger-recover-fail/
legendary
Activity: 1624
Merit: 4417
Das Update ist ja noch nicht über die Live Software zu beziehen und ich würde mich hüten dieses anzustossen. Wo hast Du die Info her?

Am besten über Twitter oder Reddit schauen. Dann einfach die letzten Posts z.B. hier unter dem offiziellen Ledger Account anschauen. Oder sonst #Ledger.

- Ich will, dass meine Coins absolut sicher vor einem Diebstahl sind!

100%. Und dafür stand Ledger in der Vergangenheit. Aber seit den letzten Updates, die wir ja auch in der Vergangenheit hier kritisiert haben, bin ich mir da nicht mehr so sicher. Leider.
legendary
Activity: 3486
Merit: 2287
Top Crypto Casino
Absoluter Schmutz was aus Ledger geworden ist. Immer mehr Updates um den Kunden etwas zu verkaufen. Ich will meine Coins sicher verwahren und keinen Abo-Service von euch. Wie gehts weiter? Wie seht ihr das?

Man könnte meinen, dass die Verkäufe an Harware Wallets mittlerweile stark rückläufig sind.
Was soll das jetzt? Ist Sicherheit für Ledger Kunden (aus ihrer Sicht) nicht das A und O?
- Ich will, dass meine Coins absolut sicher vor einem Diebstahl sind!

- Ich möchte, dass Ledger Hardware Wallets möglichst viele Coins/Token unterstützen, damit ich alles an einem sicheren Ort verwahren kann.
- Die Möglichkeit, Coins und Token direkt in der Ledger-Live App zu handeln ist nett, aber schon kein must-have für mich.

Alles Weitere brauche ich nicht und birgt nur Risiken mMn.

Solche "Features" geben mir langfristig das Gefühl, mit einer einfachen Hot-Wallet wie Electrum sicherer unterwegs zu sein.

@bro
Das Update ist ja noch nicht über die Live Software zu beziehen und ich würde mich hüten dieses anzustossen. Wo hast Du die Info her?

legendary
Activity: 3976
Merit: 2639
~
Es besteht nun der Verdacht, dass mit dem neuen Update die eigene Seed-Phrase kompromittiert werden könnte. Die sozialen Medien sind außer sich und viele prominente Crypto-Influencer rufen dazu auf Ledger fortan zu meiden. Ledger gibt an, dass sich wohl um einen Opt-In-Service handelt, der nicht automatisch aktiviert wird. Dennoch sprechen viele Nutzer von einem neuen möglichen Angriffs-Vektor, sobald man das Update installiert - auch wenn man den Opt-in Ledger Recover nicht aktiviert.
~
Absoluter Schmutz was aus Ledger geworden ist. Immer mehr Updates um den Kunden etwas zu verkaufen. Ich will meine Coins sicher verwahren und keinen Abo-Service von euch. Wie gehts weiter? Wie seht ihr das?

So etwas geht doch überhaupt nicht und sollte in vorhinein abgefragt werden ob man diesen Mist überhaupt mit installieren will (auch wenn der Mist anscheinend nicht automatisch aktiviert wird). Und wie gut sie mit Kundendaten umgehen sollten wir ja alle noch kennen, plötzlich sind seine ganzen Daten die man beim bestellen verwendet hat im Internet.

Quote
Ledger: In June 2020, the hardware crypto wallet manufacturer Ledger suffered a data breach that exposed over 1 million email addresses. The data was initially sold before being dumped publicly in December 2020 and included names, physical addresses and phone numbers. The data was provided to HIBP by Alon Gal, CTO of cybercrime intelligence firm Hudson Rock.

Compromised data: Email addresses, Names, Phone numbers, Physical addresses
Quelle

Absolutes NOGO wenn das als Standard Installation weiterhin verwendet wird, ich dachte schon an einen neuen Ledger, aber so auf keinen Fall, einfach abwarten mmn. Wenn man es bei der Installation ausschließen kann geht es für mich in Ordnung, auch sollte alles was nicht mit den Coins/Tokens zu tun hat, Kryptos kaufen, usw. bei der Installation auswählbar sein.
legendary
Activity: 1624
Merit: 4417
Warnung: Ledger bringt einen neuen Services namens Ledger Recover auf den Markt. Ja richtig gehört. Ledger Recover. Wohl eine Möglichkeit, dass Ledger ein Backup für den Seed erstellt und diesen anderweitig speichert.



Quelle: Ledger

Es besteht nun der Verdacht, dass mit dem neuen Update die eigene Seed-Phrase kompromittiert werden könnte. Die sozialen Medien sind außer sich und viele prominente Crypto-Influencer rufen dazu auf Ledger fortan zu meiden. Ledger gibt an, dass sich wohl um einen Opt-In-Service handelt, der nicht automatisch aktiviert wird. Dennoch sprechen viele Nutzer von einem neuen möglichen Angriffs-Vektor, sobald man das Update installiert - auch wenn man den Opt-in Ledger Recover nicht aktiviert.

Anbei ein Post von Ledger, die Wogen zu glätten:







Quelle: https://twitter.com/Ledger/status/1658458714771169282

Absoluter Schmutz was aus Ledger geworden ist. Immer mehr Updates um den Kunden etwas zu verkaufen. Ich will meine Coins sicher verwahren und keinen Abo-Service von euch. Wie gehts weiter? Wie seht ihr das?
Pages:
Jump to: