Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet - page 2.

Lannakosa

sr. member

Activity: 504

Merit: 433

Quote from: satscraper on January 24, 2024, 11:07:46 AM

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию на наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

Это нужно чтобы таможенник был прошаренный и чтобы у него был предлог попросить вас ввести пин код.

Мне не доводилось видеть, чтобы в аэропорту просили кого то вводить пин код, или хотели посмотреть телефон, или другие личные вещи, хотят возможно если для этого есть предлог, то это будут делать не при всех, а где то в отдельной комнате. В основном просто сумочку в лоток ставишь (а все самое ценное в сумочке), они просканируют посмотрят и даже сумочку открыть не просят. Единственный раз за всю жизнь с Египта возвращались, у меня все проверили, каждый кармашек и в сумочке и в рюкзаке, но в итоге просто посмотрели и все, а так без проблем.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on January 25, 2024, 06:38:48 AM

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

Ушла база тех, кто подписался на рассылку новостей от Трезора.

Официалы от Трезора сообщают, что для рассылки использовался сторонний е-mail сервер и рассылка фишинговых писем шла именно через этот сервер.

То ли сервер был взломан, то ли сам "взломщик" сидит внутри компании, предоставляющей Трезору услуги по рассылке, не ясно.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: bakasabo on January 25, 2024, 06:14:01 AM

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту?

Конечно нет - ни почта, ни какие-либо другие данные пользователя никуда не вводятся.

Quote

Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков.

Насколько я понял из новостей, засветились емейлы тех, кто обращался в поддержку. Получается, что это ушла не база покупателей на сайте трезора, как было с леджером. Хотя, может, я неправильно понял.

bakasabo

legendary

Activity: 2520

Merit: 1218

Не являюсь владельцем кошелька Trezor, но вопрос к тем, кто им обладает. При настройке первый раз кошелька, разве пользователь где-то указывает свою электронную почту? Получается фишинговые письма получили частично случайные люди, которые просто подписались на рассылку, или заказали кошелек для кого-то? Те злоумышленники получили не 66тыс адресов владельцев Trezor, а рандомных подписчиков. Те аналогично например спаму о верификации Metamask или несанкционированному доступу в Trust Wallet.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Тем временем история со слитыми электронными адресами продолжается: https://www.nobsbitcoin.com/trezor-warns-of-emails-impersonating-trezor-sent-from-a-its-third-party-email-provider/ Хакеры получили доступ к базе данных с электронными адресами подписчиков на рассылку, а также к реальному домену Trezor у стороннего провайдера, которого они собственно и используют для рассылки. То есть, пришедшие письма были очень похожи на "официальные" и могли привести к потере средств для многих пользователей. Я, кстати, тоже получил такое письмо, но заметил это только после вышедшей новости. Содержание письма довольно стандартное: "мы что-то там обновляем и если вы не обновите тоже, то потеряете средства" и естественно прилагается фишинговая ссылка, где просят ввести сид-фразу от кошелька.

BVeyron

hero member

Activity: 1680

Merit: 987

#SWGT CERTIK Audited

Quote from: witcher_sense on January 23, 2024, 09:45:26 PM

Quote from: BVeyron on January 23, 2024, 01:43:27 PM

Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе

Вот этим мне и не нравится обмен криптовалюты на наличку. Все будут знать когда, куда и с какой суммой вы придете - полное отсутствие анонимности и безопасности.

Есть такое дело.
Но я им пачпорт то не показываю, говорю, что "Сергей Михалыч" пришел ну только разве что по видеокамерам с помощью AI и баз данных наверное могут вычислить кто такой, откудова. Да кто ж его знает оно им надо, хренью такой маяться ?

Наверное на карту бомжа с обналом потом в банкомате на вокзале и в медицинской маске оно конечно лучше будет, но надо же бомжа в банк затащить, что совсем не легко, как я понимаю. Grin

А все иное это отнюдь не анонимное, а так себе варианты.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 11:07:46 AM

Quote from: igor72 on January 24, 2024, 10:16:30 AM

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет.

Мне кажется, в такой ситуации парольная фраза будет лучше. То есть на голой сид-фразе пусто, а всё лежит на какой-нибудь простенькой пассфразе, типа "5349" (чтобы быстро набиралась, против таможенника сложнее и не надо). А если у вас только мультисиг-сетап, то и этого не нужно.
Думал поначалу предложить три раза ввести неверный пин для сброса (как в леджере или джейд), но, погуглив, увидел, что в Passport на ввод пин-кода дается 21 попытка и, оказывается, после этого там происходит не сброс/вайп, а девайс превращается в кирпич Shocked

.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on January 24, 2024, 10:16:30 AM

Интересно, в каких еще ситуациях эта фича может быть полезна?

Ну мне часто приходиться летать вместе с кошельками. Таможня правда никогда на них внимания не обращала.

Но вдруг попадётся прошаренный таможенник и наснёт рассматривать мой Passport 2, и не только рассматривать , но и попросит ввести ПИН. Вот в этой ситуации думаю эта фича была бы полезной. К сожалению в Passport её нет. Trezor в этом плане имеет фору.

Я уже говорил, что всегда стараюсь предусмотреть свою реакцию на наихудший вариант развития любого события, конкретно в этом случае - прохождение таможенного досмотра.

А нож к горлу это да, не тот случай.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 09:06:10 AM

Вторая половина января 2024 года принесла обновление Trezor Suite, версия которого была повышена до 24.1.2.

Помимо множества исправлений и небольшого улучшенийя в нем появилась относительно новая (для большинства аппаратников) функция, а именно «стирание кода»,

Она новая в интерфейсе Trezor Suite, но в прошивке существует уже почти 4 года, тогда пользоваться ей можно было только с помощью консольной утилиты trezorctl, что для некоторых пользователей было сложно.

Quote

При вводе этого стирающего PIN-кода, вместо получения доступа к области данных, кошелёк полностью её "обнуляет"

На мой взгляд неплохая фишка для случай экстренных ситуаций.

Я только одну ситуацию представляю, типа приставили нож к горлу, требуя пин, а ты вместо настоящего пина говоришь стирающий, они вводят, и тут трезор пишет: "Вы ввели стирающий пин, все данные уничтожены" Grin

. По крайней мере еще недавно именно это и писало. Для сравнения - Jade в этом месте выдаёт "Internal Error", и мне это намного больше нравится. Трезоровцы, видимо, считают, что грабителям лучше прямо дать понять, чтобы зря жертву не пытали ).
Интересно, в каких еще ситуациях эта фича может быть полезна? Потому что для описанной мной она, имхо, не очень подходит.

satscraper

hero member

Activity: 714

Merit: 1298

Вторая половина января 2024 года принесла обновление Trezor Suite, версия которого была повышена до 24.1.2.

Помимо множества исправлений и небольшого улучшения в нём появилась относительно новая (для большинства аппаратников) функция, а именно «стирание кода»,

При вводе этого стирающего "PIN"-кода, вместо получения доступа к области данных, кошелёк полностью её "обнуляет".

На мой взгляд неплохая фишка для случай экстренных ситуаций.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on January 24, 2024, 02:07:38 AM

Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.

Не понимаю, о какого рода атаках идет речь, все взломы что я видел были с физическим доступом и скорее проводились в качестве эксперимента в лаборатории с соответствующим оборудованием. Насчет Jade кстати не уверен, возможно как раз к нему можно подобраться через удаленный PIN сервер, но это надо подробнее изучить.

Quote

У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.

Главное, чтобы неуязвимость не была как в анекдоте про неуловимого Джо.

Quote

Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.

Аппаратные кошельки просто удобнее и не требуют придумывания изощренных приемов для сохранения своей крипты, а любое усложнение делает их менее удобными, но при правильном подходе еще более безопасными. Для большинства пользователей баланс безопасности и удобства, который обеспечивает обычный одноподписной кошелек, будет оптимальным.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on January 24, 2024, 04:41:25 AM

Я расчитываю угрозы всегда исходя из самого наихудшего варианта, надеясь при этом, что он никогда не наступит.

Мульподписной 2 из 2 х кошелёк с двумя аппаратными (от разных производителей) подписантами обеспечивает высший уровень безопасности для персональной заначки.

Да, тут уже у каждого свой порог чувствительности: мне, например, спокойно и с мультисигом 2-из-2, где только один аппаратный, а второй горячий программный, а кому-то нужно 3 или 4 аппаратника задействовать.

Quote

Цена такого хранения не такая уж и большая. Вполне можно уложиться в 300 EUR, чтобы приобрести два пристойных аппаратника.

Два пристойных аппаратника можно и за 150 купить, и даже дешевле. Кстати, один из них вполне может быть и не очень пристойный, в таком сетапе это неопасно.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on January 24, 2024, 02:07:38 AM

эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен.

Я расчитываю угрозы всегда исходя из самого наихудшего варианта, надеясь при этом, что он никогда не наступит.

Мульподписной 2 из 2 х кошелёк с двумя аппаратными (от разных производителей) подписантами обеспечивает высший уровень безопасности для персональной заначки.

Поэтому если заначка значительного размера, он всё-таки нужен.

Этот размер каждый определяет сам для себя. Цена такого хранения не такая уж и большая. Вполне можно уложиться в 300 EUR, чтобы приобрести два пристойных аппаратника.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: witcher_sense on January 23, 2024, 09:45:26 PM

То есть все равно должен кто-то придти, получить физический доступ к аппаратному кошельку, и затем еще эксплуатировать уязвимость в программной или аппаратной части для попытки получения доступа к средствам? Мне этот вариант кажется не менее фантастическим, что опять же делает мультисиг излишней мерой безопасности.

Необязательно. Я больше подразумевал уязвимость, позволяющую украсть монеты без физического доступа. Раз мы в теме о трезоре, то нелишним будет отметить, что по этому пункту Trezor One и T, пожалуй, одни из лучших кошельков, так как в них всё, насколько возможно, открыто и давно проверяется. Следующим за ними я бы назвал Jade, он хуже только тем, что еще сравнительно молодой и не такой популярный.

Quote

У пользователя будет гораздо больше шансов потерять деньги из-за неправильного сетапа или потерянного бэкапа, чем если злоумышленники залезут к нему в дом и украдут несчастный однописной кошелек.

У легкомысленного пользователя да. В общем, эта сторона безопасности в руках юзера - если постарается, то будет неуязвим.

Quote

Если уж говорить о мультиподписи, то только в контексте разнесения аппаратников по нескольким юрисдикциям, потому что отнимать скорее всего придет свое же государство.

Конечно, эти все угрозы очень маловероятные, и однопользовательский мультиподписной кошелек, наверное, практически не нужен. Но и простой горячий кошелек на отдельном устройстве с чистой системой и с ответственным пользователем скорее всего тоже никогда не будет украден, однако люди предпочитают хранение на холодных кошельках. Потому что так спокойней. С мультиподписным кошельком этой уверенности еще больше, вот и всё.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on January 23, 2024, 12:09:06 AM

Тут я не могу согласиться. У нас есть три типа уязвимостей:
1. Аппаратно-программная,
2. Уязвимость бэкапа,
3. Уязвимость пользователя.
Если бы мы говорили о втором пункте, тогда конечно - все сиды мультиподписного кошелька, записанные на одной бумажке ничем не лучше одного сида простого кошелька. Но мы говорим о первом пункте. Меня, например, гораздо больше заботит потенциальная дыра в софте (прошивке) или железе кошелька, чем то, что кто-то обнаружит место хранения моей резервной копии сид-фраз (об этом я совсем не беспокоюсь - тут у меня всё продумано и надёжно). Думаю, большинство пользователей также. И в этом контексте мультисиг-кошелек несравнимо надежнее одноподписного.

То есть все равно должен кто-то придти, получить физический доступ к аппаратному кошельку, и затем еще эксплуатировать уязвимость в программной или аппаратной части для попытки получения доступа к средствам? Мне этот вариант кажется не менее фантастическим, что опять же делает мультисиг излишней мерой безопасности. У пользователя будет гораздо больше шансов потерять деньги из-за неправильного сетапа или потерянного бэкапа, чем если злоумышленники залезут к нему в дом и украдут несчастный однописной кошелек. Если уж говорить о мультиподписи, то только в контексте разнесения аппаратников по нескольким юрисдикциям, потому что отнимать скорее всего придет свое же государство.

Quote from: BVeyron on January 23, 2024, 01:43:27 PM

Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе

Вот этим мне и не нравится обмен криптовалюты на наличку. Все будут знать когда, куда и с какой суммой вы придете - полное отсутствие анонимности и безопасности.

BVeyron

hero member

Activity: 1680

Merit: 987

#SWGT CERTIK Audited

Quote from: witcher_sense on January 22, 2024, 07:22:47 PM

А вот распределять по разным сидам можно конечно, но не сильно удобно если потом, например, надо обналить приличную сумму за раз. Тут придется сидеть несколько транзакций клепать, а если прям в офисе обменника, как я иногда делаю, то это уж совсем не очень. Еще этот их чертов амл. Вообщем не очень.

Это неправильный подход, потому что сам факт хранения на разных сид фразах нужно держать в секрете. Перед походом в обменник вы переводите всю необходимую сумму на один адрес (например на мобильный кошелек) и уже потом обмениваете с этого адреса.
[/quote]
Да вообще то я так и делал последние пару раз, сначала консолидировал в один адрес без сид, просто на приваткей. И все дела. Ведь если это нал, то надо заказать заранее, примерно сумма известна сколько надо им отправить. Но я это делаю как раз в офисе
Это я как то теоретически порассуждал про множество транзакций с разных кошельков.
При теперешнем мемпуле это вообще дело так себе сильно в убыток получается, жалко столько бабла разбазаривать майнерам.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: witcher_sense on January 22, 2024, 07:22:47 PM

В мультиподписи довольно мало смысла, если все ключи находятся у одного пользователя.

Тут я не могу согласиться. У нас есть три типа уязвимостей:
1. Аппаратно-программная,
2. Уязвимость бэкапа,
3. Уязвимость пользователя.
Если бы мы говорили о втором пункте, тогда конечно - все сиды мультиподписного кошелька, записанные на одной бумажке ничем не лучше одного сида простого кошелька. Но мы говорим о первом пункте. Меня, например, гораздо больше заботит потенциальная дыра в софте (прошивке) или железе кошелька, чем то, что кто-то обнаружит место хранения моей резервной копии сид-фраз (об этом я совсем не беспокоюсь - тут у меня всё продумано и надёжно). Думаю, большинство пользователей также. И в этом контексте мультисиг-кошелек несравнимо надежнее одноподписного.

witcher_sense

legendary

Activity: 2464

Merit: 4415

🔐BitcoinMessage.Tools🔑

Quote from: BVeyron on January 22, 2024, 11:55:08 AM

С мультиподписью это все-таки имхо довольно сложно для рядовых юзеров, хотя наверное и правда это дело непробиваемое. Но конечно это уж для солидных криптанов с капитальцем...

В мультиподписи довольно мало смысла, если все ключи находятся у одного пользователя. Вероятность самого себя лишить средств возврастает, требуется большее количество бэкапов и опять же увеличивается вероятность их потери. Если вас не собираются атаковать, то мультиподпись не нужна, а если собираются, то она не поможет.

Quote

А вот распределять по разным сидам можно конечно, но не сильно удобно если потом, например, надо обналить приличную сумму за раз. Тут придется сидеть несколько транзакций клепать, а если прям в офисе обменника, как я иногда делаю, то это уж совсем не очень. Еще этот их чертов амл. Вообщем не очень.

Это неправильный подход, потому что сам факт хранения на разных сид фразах нужно держать в секрете. Перед походом в обменник вы переводите всю необходимую сумму на один адрес (например на мобильный кошелек) и уже потом обмениваете с этого адреса.

BVeyron

hero member

Activity: 1680

Merit: 987

#SWGT CERTIK Audited

Quote from: igor72 on January 22, 2024, 07:00:53 AM

Quote from: bakasabo on January 22, 2024, 06:22:41 AM

Так же можно сделать вывод, что идеального кошелька или способа хранения нет. Что кошелек дешевый, что дорогой аппаратный кошелек, оба одинаково подвержены вероятности поиметь проблемы. Разница между кошельками лишь в дополнительных функциях. (Этот комментарий написал как конртагргумент тому, что люди не довольный Ledger и советуют Trezor. C обоими кошельками можно попасть в приключения)

Я бы не сказал, что вероятность поиметь проблемы с разными кошельками одинаковая. И масштаб этих потенциальных проблем разный. Но полезней считать любой аппаратный кошелек хотя бы немного уязвимым, чем полностью полагаться на его безупречность.

Я вижу несколько способов увеличения надежности хранения монет:
1. Распределение монет по разным сидам/пассфразам на одном устройстве.
2. То же, но распределять монеты по кошелькам разных производителей.
3. Использование мультиподписного кошелька/-ов на устройствах разных производителей (еще лучше, чтобы и микроконтроллеры в них были разработаны разными компаниями).
Первые два способа - это просто диверсификация рисков, а последний мне представляется уже как практически неуязвимый. Даже мультисиг одного трезора с горячим электрумом выглядит непробиваемым, не говоря уже о нескольких аппаратниках.

С мультиподписью это все-таки имхо довольно сложно для рядовых юзеров, хотя наверное и правда это дело непробиваемое. Но конечно это уж для солидных криптанов с капитальцем...

А вот распределять по разным сидам можно конечно, но не сильно удобно если потом, например, надо обналить приличную сумму за раз. Тут придется сидеть несколько транзакций клепать, а если прям в офисе обменника, как я иногда делаю, то это уж совсем не очень. Еще этот их чертов амл. Вообщем не очень.

А с Трезором и правда повторение истории Леджера с "задержкой" в 3 года. Там адреса были скинуты в сеть пользователей покупателей в 2018-19 годах, а здесь, в Трезоре с 2021-го и попозже. Но сама база спертая поменьше, конечно, чем у Леджера Grin

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: bakasabo on January 22, 2024, 06:22:41 AM

Так же можно сделать вывод, что идеального кошелька или способа хранения нет. Что кошелек дешевый, что дорогой аппаратный кошелек, оба одинаково подвержены вероятности поиметь проблемы. Разница между кошельками лишь в дополнительных функциях. (Этот комментарий написал как конртагргумент тому, что люди не довольный Ledger и советуют Trezor. C обоими кошельками можно попасть в приключения)

Я бы не сказал, что вероятность поиметь проблемы с разными кошельками одинаковая. И масштаб этих потенциальных проблем разный. Но полезней считать любой аппаратный кошелек хотя бы немного уязвимым, чем полностью полагаться на его безупречность.

Я вижу несколько способов увеличения надежности хранения монет:
1. Распределение монет по разным сидам/пассфразам на одном устройстве.
2. То же, но распределять монеты по кошелькам разных производителей.
3. Использование мультиподписного кошелька/-ов на устройствах разных производителей (еще лучше, чтобы и микроконтроллеры в них были разработаны разными компаниями).
Первые два способа - это просто диверсификация рисков, а последний мне представляется уже как практически неуязвимый. Даже мультисиг одного трезора с горячим электрумом выглядит непробиваемым, не говоря уже о нескольких аппаратниках.

Topic: Трезор: Биткоин аппаратный кошелек~Trezor: Bitcoin hardware wallet - page 2. (Read 26855 times)