Topic: Sigurnost walleta - page 3. (Read 1433 times)

da zaista treba svaki dan citati dok se ne nauci I svki put kad se procitao drugacije e cini I iygleda lakse nego prvi put citano. Hvala vam od srca sto pomzete nma novajlijama.

Evo primjer jednog pokušaja prijevare putem Telegrama pa da vidite na što su sve prevaranti spremni.

Javio sam se u jednu grupu da nisam dobio tokene, a sudjelovao sam u kampanji. Nakon nekoliko dana „natezanja“ s adminima dobio sam poruku (PM) od njihovog supporta. Barem je tako izgledalo… Ime je bilo OK (NazivProjekta Support) i pitao je sva prava pitanja (npr. jesam li ispunio support formu koju je stvarno trebalo ispuniti) pa sam se krenuo dopisivati s njim. Napisao je da su s mojim korisničkim računom imali problema i da ga moram potvrditi. Rekoh - OK, kako da potvrdim? Na to mi čovjek odgovori da je potvrđivanje računa moguće jedino na način da pošaljem ETH ili BTC sa walleta na neku adresu i onda će mi taj ETH ili BTC (ovisno što pošaljem) biti vraćen zajedno s tokenima. Tu mi se već upalila „lampica za uzbunu“, ali ipak sam odlučio nastaviti razgovor (iako sam shvatio da je u pitanju prijevara). Čovjek mi je rekao da moram poslati 0.5 ETH ili 0.05 BTC na wallet za otključavanje računa. Kad sam mu rekao da je prevarant jer traži da pošaljem ETH u vrijednosti $100 da bi dobio tokene u vrijednosti $50, onda se naljutio

Uglavnom, poanta priče je da nikad, ali stvarno NIKAD ne šaljete kripto nekome, a da u službenoj Telegram grupi niste provjerili radi li se o prijevari. Siguran sam da niti jedan projekt neće tražiti da pošaljete kripto valutu kako bi otključali račun.

Najžalosnije je što će se na ovakav tip prijevare „upecati“ dosta ljudi. OK, ovdje je lik malo pretjerao s iznosom. Ali da je tražio da mu se pošalje 0.1 ETH za otključavanje računa, siguran sam da bi jako puno ljudi palo na to. Kripto je još uvijek "u povojima" i treba proći vremena da se takvim ljudima stane na kraj. Do tada treba biti jako pažljiv što šaljete i kome šaljete jer se ipak radi o vašem novcu.

Imam ok passworde za sve bitno, koristim 2FA za sve bitno, ništa ne dajem da pamti, nikad ne koristim SMS ili ona 'prvi nadimak' backup pitanja.

Za airdropove imam iste passworde, wallete sa privatnim ključevima na dropboxu, u to mi se uđe brat bratu za 7 minuta uz kavu. Jednostavno me nije briga za to i ako netko želi moje shitcoine - pa izvoli.

OK, ima smisla da mobitel s Google Authenticator aplikacijom mora biti zaštićen. Moj je zaštićen otiskom prsta/PIN-om tako da stvarno nema šanse da netko uđe, čak i ako ga izgubim. Što se tiče SMS 2FA, to ne koristim jer čemu plaćati SMS-ove kad besplatno imam Google 2FA.
Aplikacija kod skeniranja QR koda upiše i naziv stranice jer kako bi se inače korisnik snašao među hrpom kodova? Ja ih imam sigurno 10-tak. Osim toga, možeš promijeniti naziv u nešto drugo, ali ostaje pitanje kako ćeš znati koji kod je za koju stranicu.

Besplatna verzija Avasta u sebi ima uključenu opciju Avast Password, nalazi se pod karticom privacy i potrebo ju je ručno uključiti, kad se postavi Master password lozinke su kriptirane i gubitkom master lozinke nema mogućnosti povrata spremljenih lozinki.
Nakon unosa lozinki iz Chromea u Avast Password nemojte zaboraviti pobrisati history u Chromeu.

Google 2FA je vjerojatno siguran, no uvijek postoji šansa da mobitel padne u nečije ruke, a ako nema passcode lock osoba može vrlo jednostavno ući u aplikaciju na mobitelu i pročitati kod. Također, kad se skeniraju QR kodovi za 2FA preko mobitela, aplikacija najčešće doda ime stranice koja se verificira, pa je još lakše skužiti koji je potreban kod. I 2FA preko SMS-a se lako može srediti kloniranjem sim kartice.
Na ovoj stranici piše što se dogodilo jednom čovjeku s sms-ovima: https://premium.wpmudev.org/blog/why-two-factor-authentication-isnt-always-totally-secure/

Što nije dobra stvar? Koristiti 2FA svugdje gdje je dostupna? Nije mi jasno zbog čega i baš bi volio pročitati koji je razlog. Ne kažem da je to glupost, ali bio sam uvjeren da Google 2FA nije moguće zaobići.

Apsolutno nikad ne odabirem da mi browser cuva sifru. Nikad. I koristim 2FA za sve što mogu, ali navodno ni to nije dobra stvar. Ima nekih likova na twitteru koji su strucnjaci za sigurnost, budem probao malo iskopati te profile pa cu poslati ovdje.

Nisam siguran da li ovu diskusiju treba da vodimo na javnom forumu, jer na jedan ili drugi nacin otkrivamo previse o nacinima na koji funkcionisemo. Mada, kud svi tud i mali Mujo
Izbegavam da mi browser snima lozinke, ali ponekad greskom kliknem na Yes
Nema sigurne zastite, ali generalno ne koristim istu lozinku na vise mesta. Trudim se da mi lozinke slede neku logiku, pa najcesce pogodim iz 3-4 pokusaja kad zaboravim sta sam stavio.

Meni browser automatski sprema lozinke, što je s jedne strane dobro, jer ukoliko zaboravim lozinku ona ostane spremljena u računalu (browseru). Loše je s te strane jer ukoliko netko dobije pristup računalu, onda ima i pristup lozinkama. Da budem iskren puno više problema sam imao sa zaboravljanjem lozinki (i zapravo me spasilo to što je browser pamtio lozinke, jer sam mogao rekonstruirati 90% svih lozinki koje su mi bile potrebne kad mi se oštetio USB stick na koji spremam lozinke). Do sada na sreću nisam imao problema s time da mi je netko ukrao lozinke.

Najbitnije lozinke ne dajem browseru da ih pamti, te ih držim kriptirane u text fajlu na usb sticku i pamtim ih. Također na USB stick spremam i privatne ključeve od BTC i ETH walleta. Ti walleti mi služe za cold storage. Također bitno je napomenuti da se transakcija, barem ETH-a, a vjerojatno i BTC može izvršiti i offline sa cold walleta i to tako da se sama transakcija (tko je kome poslao koliko novaca i sve potpisano privatnim ključem) može izvršiti i offline na sigurnom računalu. I tako potpisana transakcija se prebaci na online računalo te se pošalje preko MEW-a. Niti u jednom trenutku privatni ključ ne bude na "nesigurnom" računalu koje ima pristup internetu. Odličan pristup ukoliko vam je sigurnost jako bitna iako nije baš najelegantniji što se tiče brzine.

Mene je osobno najviše strah cryptolockera i zato pokušavam sve važnije informacije držati što dalje od računala na raznim usb stickovima.


Što se tiče Avasta ja isto koristim njega, no nisam primjetio da ima mogućnost sigurnog spremanja lozinki. Jedno pitanje što se tiče Avasta: Da li je sama datoteka u kojoj su spremljene lozinke zaštićena enkripcijom? Da li moraš unijeti kakvu lozinku da bi dobio pristup spremljenim šiframa? Ukoliko ne moraš ne vidim razliku između njega i spremanja lozinki u browseru.

Što se tiče password managera isprobao sam Keepass. To je besplatni software koji preporučam, iako ga ne koristim jer nikako da uhvatim vremena i unesem sve šifre u njega. Aplikacija je portable, što znači da se može spremiti na USB stick i tako pokretati, tj. ne zahtjeva instalaciju na računalo. Također se može spremiti u više kopija npr. na više raznih USB stickova. Šifre se kriptiraju i da bi dobio pristup šiframa treba unijeti glavnu šifru. Odlična altenativa spremanju u browser i puno sigurnija.

Ja koristim i to način da se automatski sinkronizira između svih mojih uređaja ali samo za lozinke koje nisu velike važnosti. To uključuje i neke male burze na koje se spajam po principu "get in, get out faster" i registracije za neke ico projekte za koje radim bounty. Dok recimo nikad ne bi povjerio lozinku za binance/coinbase ili neku od kladionica na kojoj imam lovu (fiat ili BTC).

Smatram to podnošljivim rizikom za ono što pruža. Recimo imam jedan folder s bookmarkom svih burzi na kojima imam račun i sve šifre su tako spremljene. Neke burze imaju i 2FA a neke i nemaju i nije me previše briga jer ih koristim samo za prodaju tokena i i instant withdraw. A daje mi mogućnost kada dobijem vijest da je neki token izlistan da se instant spojim s kućnog kompa, poslovnog kompa, laptopa ili mobitela i iskoristim priliku. Također sinkroniziram bookmarke između svih tih uređaja.

Sigurnost je skoro pa nula budući da je dovoljno da mi haker probije jedan uređaj ali opet bi morao pogoditi točno pravu burzu u pravo vrijeme (tih 10 minutado pol sata) kada imam sredstva na njoj da mi nešto mazne a i iznosi nisu baš neki.

Vrlo rijetko, gotovo nikad ne koristim opciju spremanja lozinke u pregledniku. Jedino ako me stvarno nije briga hoće li mi netko saznati tu lozinku ili neće. Radije koristim opciju "Zapamti me" nego da mi preglednik spremi lozinku. Ne znam zašto, ali to mi baš djeluje jako nesigurno.

Nisam nikad koristio aplikacije za spremanje lozinki pa to ne mogu komentirati, ali ovo spremanje lozinke u preglednik ne bi preporučio. Ma najbolje je ne koristiti nikakve tehnike "pojednostavljivanja" prijava jer time samo olakšavamo posao "hakerima".

Da li koristite opciju da vam Chroeme spremi lozinku, da ju ne upisujete svaki put?
Ja koristim besplatni Avast a s njime je došao neki pod program za generiranje i spremanje lozinki. Meni dobro dođe za generiranje lozinke a i spremi je u neki svoj zaštićeni format.
Kako se vama čini ta vrste zaštite?

Znam da nije pametno, ali nemam bolji način. Stvarno ne mogu za svaku web stranicu imati drugu šifru jer bi izludio.

Osim toga, svaki site koji drži do sebe (a takvi bi trebali biti svi na kojima imam osjetljivije podatke) lozinke ne čuva spremljene u "plain text" formatu nego ih sprema njihov hash. Odnosno, tako je bilo prije 10-tak godina kad sam se aktivno bavio web developmentom (vjerujem da je sad sve to dovedeno na još viši nivo). Znači, kod registracije korisnik upiše lozinku, a u bazu se spremi njezin hash. Onda kad se kasnije korisnik želi prijaviti, prije provjere u bazi opet se od lozinke koju je korisnik upisao stvori hash i provjeri odgovara li onom spremljenom u bazi. Naravno, hash algoritam koji se koristi trebao bi raditi samo "u jednom smjeru", odnosno ne bi smjelo biti moguće iz hasha dobiti lozinku. Prije 10-tak godina za to se koristio md5 hash, a sad ne znam što se koristi. Malo sam zahrđao u tom pogledu 

I još dodatno, na takvim stranicama koristim 2FA tako da čak i ako mi netko sazna šifru, ne može ući.



Naravno da smo svi komforni kad su u pitanju lozinke. Pogotovo kad ih koristimo na dnevnoj bazi. Nema čovjeka koji će pratiti pravila za sigurne lozinke (barem 12 znakova; barem 2-3 broja, 2-3 specijalna znaka; mijenjanje lozinki svakih par mjeseci; za svaki web koristiti različitu lozinku...). Ali da ne moramo koristiti baš datum rođenja i slične stvari koje je lako pogoditi, to je istina.

Ako sam dobro shvatio sta si htio reći, to ti isto nije dobro. Dosta da jedan site na kojem koristiš tu kompliciranu lozinku bude provaljen i lozinka ti završi na ko zna koliko listi koje se prodaju po dark webu. Vjerojatno nisi osobno toliko zanimljiv nekom hakeru ali već i ovo što si ovdje napisao te može kompromitirati nekada u budućnosti ako postaneš zanimljiv. Recimo zbog enormnog skoka BTC-a. Meni si recimo napisao točnu količinu btc koju imaš ali to je mislim bilo u PMu pa je valjda više privatno ali recimo da btc napravi x1000 i ti to napišeš javno možeš odjednom postati interesantan. Općenito dosta nas ovdje na forumu dijeli dosta povjerljive informacije....kao u onom topicu kada smo pisali o našim portfolijima kriptovaluta.

Da se razumijemo i sam radim dosta grešaka, svakako sam kriv i za to da sam već previše istinitih informacija podijelio na ovom forumu. Sram me je i reći šta mi je bila šifra kad sam se prvi put prijavio na ovaj forum. Recimo samo da bi vjerojatno sam napisao program u 5 minuta koji bi na prosječnom računalu provalio tu šifru brute force napadom u sat ili dva. Promjenio sam je negdje kada sam prešao pola puta od full membera do senior membera kada mi je sinulo da ovaj račun zapravo ima solidnu vrijednost, pogotovo sada kada su uvedeni meriti.

Možda je malo off topic ali ja bi odmah ukinuo onu zaštitu povratka šifre preko pitanja i odgovora. Npr. Djevojačko prezime vaše Majke i slična pitanja. To je samo takva pomoć hakerima da ne mogu vjerovati da ozbiljne stranice to nude kao opciju u vremenu facebooka. Mogu se kladit da više od 50% ljudi koji to koriste istovremeno imaju odgovore na svom facebook profilu dostupne svima.



To radimo vjerujem svi. Samo je pitanje do koje mjere. Ja sam recimo do nedavno radi komfora prilikom putovanja često koristio mjenjačnice i neke novčanike dok sam spojen WiFi hotela. Da je netko pratio, a nije teško, mogao mi je maznuti poprilično toga. U međuvremenu sam sve promjenio i zaključio da takve stvari više neću raditi.

Baš me je ono predavanje na temu Enigma stroja što sam poslušao u sklopu Verity okupljanja natjeralo da još jednom razmislim o osobnoj sigurnosti i promjenim dosta svojih standardnih loziniki. Više nemam ni jednu lozinku za bilo šta vrijedno a da ne sadrži brojeve, velika i mala slova i neke znakove te minimalno 8 znakova, a češće 10 ili 12. Imao sam i prije ali ih je većina bila na istu shemu za lakše pamćenje a sad sam i to promjenio. Ljudski faktor je uvijek slaba točka.

Mislim da ću dodati i periodičke promjene svih važnijih šifri a već sam dodao i neke enkripcije. U svakom slučaju čak i da Verity projekt propadne drago mi je što sam sudjelovao u onom njihovom probijanju šifri jer mi je pokazao da je zapravo vrlo jednostavno šifrirati podatke i da ima hrpa open source softvera za to.

Oprostite na dužem postu koji je više tok misli nego neki dobro konstruirani i osmišljeni post ali tema je škakljiva a ni sam još nisam 100% siguran šta ću sve napraviti a za djelove za koje jesam siguran nema smisla podijeliti na forumu jer ih onda treba promjeniti

Što se tiče lozinki, ljudi su još uvijek jaaako komforni po pitanju izrade lozinki. Ja osobno imam dvije - jedna dosta komplicirana koja mi služi za osjetljivije podatke i jedna malo manje komplicirana za ostale podatke. Naravno, gdje god je moguće koristim 2FA.

Inače, kad već pričam o korištenju glupih lozinki... Sjećam se kad mi je na poslu (IT-evac sam) došao korisnik sav izbezumljen da mu je provaljeno u Gmail i obrisani su mu svi mailovi. Prvo što sam ga pitao je koja mu je bila lozinka (koju je taj netko, naravno, promijenio). Odgovor je bio - moj datum rođenja...  Stvarno ne mogu razumjeti ljude koji zbog vlastitog komfora svjesno riskiraju gubitak često i vrlo vrijednih podataka... Takvi će naučiti tek kad im podaci nestanu.

Slažem se u potpunosti sa idejom dodavanja još par karaktera koji nisu copy-paste, dovoljan je jedan da se automatizovanim softverima dosta oteža posao, inače je tema vrlo aktuelna i mislim presudna kad je u pitanju šira rasprostranjenost kripto valuta, jednostavno ljudi su navikli da im neko čuva novac, šifre ili slično ukoliko budu prevareni, ali jedna generacija je dovoljna da se to promeni, i za 20-30 godina će svi verovatno funkcionisati po principu da sami čuvaju svoje šifre (kao što su štekali novac kući pre banaka i kartica)...

Mislim da wallet ne bi bio siguran kad bi ovisio o pouzdanosti uređaja. Ali isto tako zbog te činjenice je JAKO VAŽNO naglasiti da je važnije na sigurnom držati taj recovery seed nego sam uređaj. Uređaj je ipak zaštićen PIN-om, a ako netko sazna recovery seed ništa ga ne sprečava da kupi Ledger i ubaci te riječi u njega te na taj način dođe i posjed vaših kripto valuta. Osim toga, ja sam jednu kopiju ostavio kod svojih za slučaj da kod mene doma dođe do poplave, požara ili neke druge katastrofe u kojoj bi izgubio recovery seed.

Ovo boldovano mi je konacno (donekle) razjasnilo neke stvari. Uvek sam se pitao kako se ljudi mogu osloniti na parce hardvera koje se lako moze pokvariti, a mrzelo me da guglam odgovor