Prima o poi sto Word lo devi aprire
Basta una macro maliziosa e sei fottuto.
È quello che dicevo, il senso è quello, no? Credo che alla fine il rischio più grosso (l'unico forse, rotture a parte?) è aprire la chiavetta su un pc infetto. Se le chiavette venissero usate solamente su un computer mai stato online in teoria si eliminerebbe il rischio, no? |
|
|
|
ma zio cane, ci sono n/mila soluzioni migliori e usa word con password?
sta gente la bastonerei
esistono keepass (occhio ha avuto una grave vuln e' da aggiornare)
esiste bitwarden
esiste fior fiore di password manager seri (non last pass) e usa word?
Word sarebbe la terza password da scoprire, i password manager ne hanno solamente una. Io uso 1Password ma non ci metterei mai le chiavi private. |
|
|
|
Sul fatto che la chiave sia al sicuro, faccio fatica a dargli torto. Che ne pensate? Grazie.
Non sono un esperto ma qui c'è una tabella che fa vedere quanto tempo ci si mette in media per trovare la password con un attacco brute force: https://www.komando.com/security-privacy/check-your-password-strength/783192/Non dimentichiamo poi che anche se uno dovesse trovare le chiavette del tuo amico ovviamente non avrebbe idea del contenuto (discorso password a parte) quindi quanta gente effettivamente avrebbe voglia di perdere un sacco di tempo per vedere cosa c'è dentro? L'idea di per se non mi sembra male ma aspettiamo i commenti di chi ne sa di più. Credo che alla fine il rischio più grosso (l'unico forse, rotture a parte?) è aprire la chiavetta su un pc infetto. |
|
|
|
wow 135$ è un bell'investimento, dici che è totalmente opensource quindi si evita che facciano porcate? The BitBox02 features a dual chip design with a secure chip. The source code has been independently audited by security researchers and is fully open source.https://shiftcrypto.ch/bitbox02/#:~:text=The%20BitBox02%20features%20a%20dual,and%20is%20fully%20open%20source. altrimenti sono soldi spesi che poi in futuro ti cadono dalle tasche come si dice qua al sud. In teoria, come dicevo, esiste sempre il rischio che rilascino un nuovo firmware che permette l'esportazione del seed, anche se come abbiamo visto con Ledger fare una cosa del genere significa ammazzare il proprio business. In ogni caso basta aspettare ad installarlo per essere sicuri, qualcuno nel frattempo controllerà il codice. non so, non ci sta niente a 50$? L'altro che non mi dispiace è Jade ($64.99): https://store.blockstream.com/product/jade-hardware-wallet/A differenza di altri hardware wallet non ha un SE fisico ma uno virtuale, qui ci sono più informazioni, devo ancora leggere però: https://help.blockstream.com/hc/en-us/articles/13745404122265-Does-Blockstream-Jade-have-a-secure-element-È lo stesso Jade di questo thread, quindi se si ha dimestichezza si può ottenere lo stesso risultato con $10: https://bitcointalk.org/index.php?topic=5450550.msg62164600#msg62164600 |
|
|
|
Ripeto: tra l'altro dicono a te cosa devi fare, mentre loro sono i primi a NON farlo. e questo non è un aspetto da trascurare. Per questo motivo, a costo di passare per arrogante, personalmente mi ritengo una persona migliore della media (scusate il gioco di parole): certe cose le faccio perché ritengo che sia giusto farle, non perché mi vengano imposte. |
|
|
|
A meno che, torno a ripetere, la rinuncia al benessere NON sia una scelta ma un evento inevitabile.
L'evento inevitabile in questione deve essere doloroso. Allora mi chiedo cosa sia meglio: il dolore per lo tsunami, o il dolore per una scelta importa. Tanto più che noi siamo quelli che provano a svuotare il Nilo con Il secchiello. Penso che sia meglio provare a fare la propria piccola (probabilmente piccolissima) parte piuttosto che essere parte del problema. Magari alla fine non servirà nulla, magari servirà un 1% o un 10% quando altri faranno lo stesso, chissà. Per me la situazione è oramai irrimediabile, in base a quello che si legge è troppo tardi ma anche in quel caso mi rifiuto di girarmi dall'altra parte. |
|
|
|
Interessantissima tabella comparativa del SE usato dai vari wallet, ignoravo l'esistenza di questo thread: https://bitcointalk.org/index.php?topic=5304483.msg55958659#msg55958659Ultimo aggiornamento in data 2 gennaio 2023, quindi parecchio sul pezzo. A questo punto mi rimane solo una domanda: se il SE è open source probabilmente è già stato controllato dalla community quindi a quel punto l'unico modo per estrarre le chiavi sarebbe attraverso un aggiornamento firmware, corretto? Aggiornamento firmware che a sua volta sarebbe open source e qui ci si ricollegherebbe al commento di un utente di Reddit che ho riportato qui sopra, ovvero di aspettare qualche mese prima di installare gli aggiornamenti per assicurarsi che non saltino fuori problemi. Quindi SE open source + aspettare ad installare l'ultimo firmware = non ci dovrebbero essere rischi? Ale facci sapere quale prendi poi o su quale ti orienti e le motivazioni. Non ho tempo di studiare e volevo prenderne uno, a questo punto evito proprio il ledger nano s che volevo prendere. Grazie in anticipo per le tue ricerche  è Al momento, in base a quanto ho letto, mi sta piacendo molto BitBox02: - Ha il Secure Element - È open source - Ha 2 versioni, una solo BTC (in teoria meno codice = meno possibilità di hackeraggio) e una multi-currency - Prezzo accettabile ($135) |
|
|
|
I preservativi non bastano: o si cambia stile di vita o le emissioni aumenteranno in modo esponenziale.
Se lo stile di vita è immodificabile perchè nessuno è disposto a rinunciare al benessere allora, la scienza ci dice che avremo tifoni e tsunami con cui convivere.
A meno che, torno a ripetere, la rinuncia al benessere NON sia una scelta ma un evento inevitabile.
Non sono il tipo che fa discorsi filosofici o che da lezioni di vita ma sono abbastanza sicuro che la terra per come la conosciamo non può finire anzi non finirà, noi siamo solo parassiti che ce ne stiamo approfittando ma il pianeta ha attivato le difese per eliminarci come se fossimo scorie, deve rigenerarsi, l'ha fatto in passato lo farà in futuro. Non ci stiamo autoeliminando ci sta solo riufiatando. E no non sono un ambientalista ma questi cambiamenti climatici sono solo reazioni alle nostre scelte. Ovviamente qui ci allontaniamo un pò da Bitcoin ma lo sappiamo che si può minare da rinnovabili e bla bla bla... Il fatto che il problema riguardi solamente l'uomo (e diciamo indirettamente gli animali, sempre a causa dell'uomo) è talmente chiaro che mi sembra quasi inutile doverlo sottolineare, la terra c'era, c'è e ci sarà, il problema siamo noi. Trovo alquanto ironico pensare che abbiamo tutte le capacita, i mezzi e l'intelligenza per essere a conoscenza di questo problema eppure lo si decide ignorare come se in qualche modo non ci riguardasse. È una situazione alquanto paradossale. |
|
|
|
Si può "costruire" un hardware wallet con appena 10 dollari? La risposta è si. Se volete cimentarvi in questa prova potete acquistare questo piccolo device al prezzo di soli 8 dollari e seguendo questa guida su github potete installare il wallet Jade di blockstream...figo vero? In alternativa esistono altri due moduli un pò più costosi ma più completi STICK PLUS e BASIC CORESe ci provate lasciatemi qua i vostri commenti, personalmente ho preso sia la stick sia il basic core e sto aspettando che arrivano, dato che le consegne sono lunghe. Dunque vi aggiornerò non appena potrò toccarli con mano. Vi lascio anche un link ad un video dimostrativo https://www.youtube.com/watch?v=PeqP6oVnlIsPer chi come me ha messo insieme i puntini solamente ora, dopo aver iniziato le ricerche per un nuovo wallet dopo il casino creatosi dal "caso Ledger", questa è la versione pronta all'uso del wallet Jade di Blockstream ($64.99): https://blockstream.com/jade/Diciamo che se si ha dimestichezza con questo genere di operazioni si risparmiano una 50ina di euro/dollari. |
|
|
|
So solo che non siamo troppi su questo pianeta.
E sei di questa idea per...? Dico solo che quelli che dicono che si deve rinunciare al benessere non sono mai quelli che rinunciano al benessere.
Avete presente quelli che vanno alle conferenze per la riduzione dell’effetto serra in jet privato? Ecco quelli.
Quello è un altro discorso e direi che non vale neanche la pena prendere come esempio quello che fanno/dicono i politici. Con questo non li sto assolutamente giustificando. |
|
|
|
Perché quando si limita la libertà per “il bene collettivo” si sa dove si inizia, ma non dove si finisce. Quindi durante il Covid avresti lasciato tutto aperto e come va va? A volte mi sembra che si esageri perché spesso bastano piccole cose per dare il proprio contributo però oramai ogni minimo sacrificio che viene richiesto è in qualche modo visto come una limitazione della propria libertà personale e in un attimo la cosa finisce fuori controllo. Alla fine anche imporre l'obbligo della cintura di sicurezza è una limitazione della propria libertà personale, no? https://www.youtube.com/watch?v=yPR8b5SDqAc |
|
|
|
Utilizzo questo post per riportare alcune info che ho trovato facendo un po' di ricerca, più che altro per capire meglio la situazione che si è venuta a creare con Ledger e, anche e soprattutto, per aiutare a comprendere meglio il funzionamento degli hardware wallet. Sono spezzoni di testo presi da alcuni siti e/o idee di alcuni utenti, io mi limito a riportarle con il link originale e poi ognuno si farà le proprie idee a riguardo. What is a Secure Element? A secure element (SE) is a dedicated microprocessor chip designed to securely store and process sensitive data and protect such as biometric and transactional information. They are commonly found in devices that hold important data like credit cards, SIM cards, and since the 2010s, hardware wallets. The purpose of a secure element in a hardware wallet is to provide an additional layer of security that helps protect sensitive data, such as private keys, seed phrases, and other cryptographic information. In the context of cryptocurrencies like Bitcoin and Ethereum, a secure element within a hardware wallet stores its private key and seed phrass, which are critical for authorizing transactions. https://www.coolwallet.io/hardware-wallet-secure-element-complete-guide/ Why doesn’t Trezor have a secure element?Trezor has defended its lack of a secure element countless times in the past, attributing it to various reasons such as the $5 Wrench attack (ie: the threat of physical violence trumps any wallet security measure), its open-source software, and greater flexibility. Trezor uses a different approach to securing its hardware wallet. Rather than relying solely on a secure element, Trezor uses open-source firmware and advanced cryptography that are constantly audited and updated by a community of developers. This approach is designed to ensure that any vulnerabilities or weaknesses are quickly identified and addressed. Additionally, Trezor’s firmware is designed to run on a variety of devices, including those without a secure element, making it more versatile and accessible to a wider range of users. Ledger very publicly disagrees with this assessment, even publicly attacking Trezor’s security flaws in 2019, and maintains that a secure element is an essential component for a hardware wallet to provide the highest level of security. According to Ledger, Trezor’s lack of a secure element means that sensitive information can be more easily accessed by hackers or malware, making the hardware wallet less secure overall. There is merit in both arguments. Ultimately, the choice between an open-source and closed-source hardware wallet comes down to your personal preference and the specific security features that each individual values most. You know which camp CoolWallet users are in. https://www.coolwallet.io/hardware-wallet-secure-element-complete-guide/ OS and AppsContrary to what most people believe, the OS and apps run in the secure element. Again that chip is meant to defeat physical attacks. when Ledger updates the OS, or you update an app, the secure element gets modified. With the right permissions an app can access the seed. This has always been the case. Security of the entire system relies on software barriers that ledger controls in their closed source OS, and the level of auditing apps receive. This is also why firmware could always have theoretically turned the ledger into a device that can do anything, including exposing your seed phrase. The key is and has always been trust in ledger and it's software. What changedFundamentally nothing has changed with the ledger hardware or software. The capabilities describes above have always been a fact and developers for ledger knew all this, it was not a secret. What has changed is that the ledger developers have decided to add a feature and take advantage of the flexibility their little computer provides, and people finally started to understand the product they purchased and trust factor involved. What we learnedPeople do not understand hardware wallets. Even today people are buying alternatives that have the exact same flaws and possibility of rogue firmware uploads. Open source is somewhat of a solution, but only in 2 cases 1. you can read and check the software that gets published, compile the software and use that. 2. you wait 6 months and hope someone else has checked things out before clicking on update. The best of the shelve solutions are air-gapped as they minimize exposure. Devices like Coldcard never touch your computer or any digital device. the key on those devices can still be exported and future firmware updates, that you apply without thinking could still introduce malicious code and expose your seed theoretically. https://www.reddit.com/r/CryptoCurrency/comments/13kdusd/hardware_wallets_here_are_the_facts/ What is an Air-Gapped Wallet?Air-Gapped Wallets are Completely Disconnected from the Internet, Providing Additional Security Air-gapped wallets are crypto wallets that are completely disconnected from the internet and any form of wireless communication. This generally means that they are disconnected from both traditional internet connections as well as Bluetooth, WiFi, NFC (near-field communication), and even USB drives. In general, air-gapped wallets provide the highest level of security of all cryptocurrency wallets. Still, there are trade-offs, as air-gapped wallets can be much less convenient than a traditional desktop, mobile, or non-air-gapped hardware wallet. Some wallets can be considered partially air-gapped, as they provide a USB connection but no Bluetooth, WiFi, or NFC connection ability. https://supraoracles.com/academy/what-is-an-air-gapped-wallet/ Passphrase: Ledger’s Advanced Security FeatureThe passphrase is an advanced security feature that hardware wallets like the Ledger Nano X or Ledger Nano S can use. It adds an extra word of your own choosing to your already existing recovery phrase to unlock a brand-new set of accounts. https://www.ledger.com/academy/passphrase-an-advanced-security-feature The hardware wallet is just a medium to access the funds stored on the blockchain. If the device fails you can use the 24 word seedphrase to access the funds from a new hardware device, or a software device. The easiest solution to mitigate risk is to use 1 seedphrase generated by the device. Keep 100$ or so on it and then generate a passphrase. This alters the entire wallet, giving you a new wallet using the 24 words + a passphrase. If you lose the seedphrase, your passphrase means nothing. If you lose the passphrase, you cannot access the funds behind it. Think of it as a hidden account. Write the seedphrase down (24 words) and stamp it into titanium, steel washers, w.e you want, but duplicate it and give it to your TRUSTED friends and family. They now have access to the 100$ in the wallet but they won't be able to access your passphrase. To protect against brute forcing you may want to use a good passphrase that is greater than 15 characters. The passphrase (sometimes referred to as the 25th word) can be stored in your brain, but if you're concerned about forgetting, I think it's completely okay to use a password manager to store it. You could name it something unrelated to ledger/crypto and you'd be pretty hard pressed to have someone hack it. Some may disagree here, but unless you have millions, I think it's worth what little risk there is. Mainly because you would need to be compromised physically and digitally. Meaning, someone would have to steal your seedphrase from you or your trusted contacts AND "hack" your master password for the password manager (something like Bitwarden is good). To me, the risk there is low AND you're able to forget everything and still be able to recover what you need, as long as you don't forget the master password to your password manager AND there is a copy of your seedphrase available. You can also have an infinite amount of passphrases (25th words) so you could use Stashimi!123Account1 and 1tnuouccA321!imihsatS and have 2 separate accounts. Also, the original 100$ in the 24 word account, I think of it as the "base" account, is your "tell" that your words have been compromised. If a friend or family member compromises your seed, the first thing someone will do is sweep the funds. You can see that your funds have been removed, and quickly create a new wallet and move your funds from your passphrase accounts! https://www.reddit.com/r/ledgerwallet/comments/ysqhis/comment/iw192f5/ |
|
|
|
Io su questi temi sono molto più radicale di @Plutosky: per me il vero problema è che siamo troppi, non solo che non vogliamo rinunciare a un certo livello dei benessere.
La fusione nucleare permetterà di avere energia a buon mercato, ma quando vorremo fare un viaggio in aereo, l'energia prodotta con fusione nucleare non servirebbe a nulla se non si fosse trovato un metodo di stoccaggio ad alta capacità e basso peso. E non vedo nulla all'orizzonte su questo fronte, non nel breve almeno.
Una settimana fa una mia amica è andata a Napoli con la figlia (partenza MPX). Che c'è di strano ? c'è il fatto che sono andate e tornate in giornata perché "tanto il volo costava poco". Immaginatevi cosa possano aver visto di Napoli: quasi niente con le poche ore a disposizione. Eppure ci sono andate per lo sfizio di andarci.
Morale: è impossibile che certa gente (me compreso, intendiamoci) rinunci a certe opportunità solo per il bene della terra, non si pensa a questo.
E se miliardi di persone si comportano così, hai voglia ad avere la fusione.....
Per me il punto è che siamo troppi. Non solo siamo troppi, il problema è che la maggior parte della gente si concentra nei paesi del terzo mondo e hai voglia a spiegargli perché non dovrebbero usare il carbone, che dovrebbero suddividere carta e plastica e mangiare poca carne. Con che faccia possiamo permetterci di dire queste cose dopo che lo abbiamo fatto noi in primis per secoli? Certo, ora abbiamo conoscenze che prima non avevamo e abbiamo capito quanto ci stiamo scavando la fossa da soli ma a gente che vive con $1 al giorno cosa importa di tutto ciò? Come possono pensare a cosa potrebbe succedere tra 20 anni se manco sanno se avranno qualcosa da mangiare il giorno successivo? Io sono estremamente pessimista, per me abbiamo già passato il punto di non ritorno e alla gente non importa il cambiamento climatico, o i governi a livello mondiale impongono certe regole che valgono per tutti oppure se aspettiamo che il cittadino medio prenda coscienza del problema è inutile, non si avanzerà mai. Avete visto i dati della crescita della Nigeria nei prossimi 30-50 anni? Di cosa stiamo parlando, dai... |
|
|
|
andiamo con ordine
non andiamo in panico mode
1) ledger diventa pericoloso se
a) aggiorni il firmware
b) usi ledger live
quindi usare la combinazione di ledger + electrum mette al sicuro da ogni problema
l'origine dei mali e' ledger live
questo e' il mio verdetto, non andate in modalita fud e panico senza ragionare
Perché Ledger Live? Mica è solo un'interfaccia/app per interagire col Ledger, che in ogni caso non può essere compromesso tramite malware presenti su pc/smartphone? O intendevi dire il nuovo servizio offerto che si chiama Ledger Recover? Ho letto la querelle di Ledger. Trovo veramente ripugnante e grottesco e suicida il comportamento della ditta francese. Io ho trezor, ma onestamente questa storia mi ha messo veramente in una situazione di allerta.
Sei al corrente dei problemi di sicurezza anche lato Trezor, vero? |
|
|
|
Piuttosto che non aggiornate incominciate a cercare un altro hardware wallet che sia bitbox, che sia coldcardo jade spostate tutto e gettate il ledger che tanto a questo punto non c'è nessuna garanzia nessuna che il firmware non sia in grado di bloccare il conto anche senza aggiornamento.
Io non sono un esperto hardware ma il problema di fondo non sta mica nel Secure Element? Mi pare di capire che anche i wallet open source abbiano il SE closed source alla fine, quindi qualsiasi wallet con il SE si basa sulla fiducia (e speranza) che non facciano cose sporche con l'hardware, o ho capito male? Sul sito Jade c'è una interessante tabella comparativa con Ledger, Coldcard e Trezor: https://blockstream.com/jade/Trezor non presenta un SE ma come detto è possibile estrarre la chiave se si entra fisicamente in possesso del device; Coldcard (come Ledger) ha un SE quindi non mi sembra un cambio che valga la pena; rimane Jade che riporta questa nota: Jade's security model simulates the protection of a secure element and is therefore not vulnerable to physical attacks. Chiedo ai più esperti, @mendace in testa, cosa ne pensate. |
|
|
|
In una puntata Riccardo Masutti spiegava che è inutile provare a salvare tutti.
Devi concentrare le tue energie solo su quelli che, quando spieghi loro in tema, reagiscono con la accensione di una lampadina.
Per chi non succede, è inutile provare a continuare…
Questo è un concetto altamente sottovalutato in nome della democrazia. Io per certe cose sono estremamente pragmatico e non capisco perché continuare ad insistere con certe persone, per quanto sia politicamente corretto dire che siamo tutti uguali, beh, breaking news, non lo siamo. E con quel "provare a salvare tutti" la prima cosa che mi viene in mente è la gente che ha fatto le peggio cose eppure si spendono un sacco di soldi ed aiuti per cercare di reinserirli in società una volta che sconteranno la pena perché è giusto che tutti abbiano una seconda, una terza, una quarta possibilità a prescindere dai crimini compiuti. Questo è semplicemente un ennesimo segnale della decadenza della cultura occidentale che va sempre di più verso il caos. Però a parole siamo sicuramente i migliori dell'universo. |
|
|
|
Tolti gli eventuali titoli sensazionalistici fatti dai giornalai spero che comunque non si stia mettendo in dubbio l'esistenza del riscaldamento globale con un conseguente cambiamento climatico. Spero. Che poi qualcuno cercherà di specularci su vabbè, c'erano per caso dubbi? |
|
|
|
Non che sia una sorpresa ma ammetto che fa strano vedere che effettivamente lo abbiano confermato, devono aver capito che sono veramente con le spalle al muro. |
|
|
|
il Giappone corre sui massimi storici Ho visto che lo yen continua a perdere terreno, sai come mai? |
|
|
|
in fin dei conti cosa ci ripetiamo da anni? Don't trust, verify. E lo abbiamo fatto? No. Dal thread di Reddit linkato da @fillippone: in 2022 a marketing executive tweeted "A firmware update cannot extract the seed from the Secure Element". It's not a lie, but it's missing "as long as you are trusting Ledger". Cosa c'è da verificare? È sempre stata una possibilità allora, d'altra parte chi poteva provare il contrario? Oggi controlli e va bene, vai a dormire e ti svegli con un aggiornamento firmware che potrebbe fare cose diverse, o magari semplicemente è sempre stato possibile, chi lo sa? Potenzialmente qualsiasi cosa potrebbe essere malevola, è umanamente possibile verificare ogni aggiornamento di ogni device elettronico che si possiede che varia da un qualcosa che si può tenere in tasca fino ad arrivare ad automobili o sistemi di allarme? Io direi di no. A volte mi pare che si sfoci nella fantascienza. |
|
|
|
|
Show Posts
