Author

Topic: Paper Wallets no Blockchain.info são inseguras (Read 1297 times)

newbie
Activity: 9
Merit: 0
October 07, 2014, 11:25:45 AM
#6
Concordo plenamente!

So quiz dizer que não precisa de descabelar e criar uma paperwallet nova, é so apagar o historico do browser que ela vai passar a existir somente no papel, do jeito que deveria ser...

Não há como ter certeza que ninguém já teve acesso antes ao seu cache. Por isso eu não me descabelaria, mas faria uma(s) nova(s) sim e transferiria todos os BTC que estavam nas antigas.
newbie
Activity: 28
Merit: 0
Concordo plenamente!

So quiz dizer que não precisa de descabelar e criar uma paperwallet nova, é so apagar o historico do browser que ela vai passar a existir somente no papel, do jeito que deveria ser...
newbie
Activity: 9
Merit: 0
Vale lembrar que nenhuma chave foi comprometida!

Não é exatamente uma falha de segurança, já que ela nao obtém nenhuma informação direta da blockchain, ou ganha acesso a nenhuma informacao privilegiada. É apenas uma péssima prática na hora de implementar uma funcionalidade, mas nao vejo muitas formas de melhorar... Quase qualquer outra solucao seria mais insegura ainda.

Um atacante que queira explorar essa falha vai precisar conseguir acesso ao computador de cada usuário que tenha uma paperwallet da BC individualmente... Isso não é uma coisa trivial de se fazer (principalmente se você não usa windows).

No final das contas, para quem criou wallet lá: Limpe o histórico do seu browser e seja feliz!

Olá,

Acho que a questão é mais relacionada ao conceito de paperwallet/brainwallet que devem ser mantidas sempre offline para serem chamadas assim.
Uma private key guardada em um computador que sempre acessa a internet, especialmente com a key escrita em plain text não pode mais ser considerada uma paper/brainwallet. É uma falha gigantesca se você lembrar que essas carteiras offline em geral são usadas para guardar maiores quantias.
Por definição não deve haver rastro digital de uma paperwallet.

Essa devemos ao nosso amigo Antonopouolos, certo?! Smiley
newbie
Activity: 28
Merit: 0
Vale lembrar que nenhuma chave foi comprometida!

Não é exatamente uma falha de segurança, já que ela nao obtém nenhuma informação direta da blockchain, ou ganha acesso a nenhuma informacao privilegiada. É apenas uma péssima prática na hora de implementar uma funcionalidade, mas nao vejo muitas formas de melhorar... Quase qualquer outra solucao seria mais insegura ainda.

Um atacante que queira explorar essa falha vai precisar conseguir acesso ao computador de cada usuário que tenha uma paperwallet da BC individualmente... Isso não é uma coisa trivial de se fazer (principalmente se você não usa windows).

No final das contas, para quem criou wallet lá: Limpe o histórico do seu browser e seja feliz!
member
Activity: 86
Merit: 10
Realmente, é uma falha até que infantil, mas não creio que seja o suficiente para condenar o sistema inteiro.

Mas mesmo assim eu não colocaria o dinheiro lá.

Eu deixo a maior parte em exchange, apesar de ser perigoso.

Agora, deixo outra parte na wallet do telefone móvel, com um backup das chaves privadas salvo em lugar seguro.

Porém paper wallet eu acho um pouco inconveniente, não gosto muito, mas acho ser mais seguro para quem quiser apenas guardar.
hero member
Activity: 882
Merit: 1000
It's got electrolytes
Atenção, quem produziu paper-wallets utilizando o gerador do blockchain.info tem agora a paper-wallet mais insegura do mundo, pois foi divulgada hoje uma falha de segurança *ridícula* que expõe as privatekeys de forma irremediável.

Pelo que foi divulgado o processo de impressão deixa registrado uma imagem no histórico e no cache do navegador, o que poderá ser facilmente acessado por qualquer pessoa que tenha acesso ao computador, ou mesmo a outros computadores onde o usuário tenha logado sua conta google com o chrome.

Não demorará horas até que algum exploit comece a explorar essa falha.

http://www.reddit.com/r/Bitcoin/comments/2gv3mn/blockchaininfo_paper_backup_stores_private_keys/

Continuo recomendando o uso do vanitygen e boas práticas de segurança, como geração em computador permanentemente offline e VM descartável.

* essa falha de segurança me fez repensar as recomendações a novos usuários, não recomendo mais o blockchain.info, pois onde tem uma falha ridícula dessas pode haver outra mais séria.
Jump to: