carlengues (OP)
Newbie
Offline
Activity: 42
Merit: 0
|
|
March 26, 2013, 08:43:00 AM |
|
Hola, me refiero a blockchain pero seguramente mi duda se traslada a cualquier otro servicio por el estilo. He comprobado la cantidad de sistemas de seguridad que aporta (doble contraseña, monederos en papel, copias de seguridad, ............). Pero me ha sorprendido lo siguiente :
Para que tanta seguridad si despues te bajas la aplicacion para android y resulta que desde el smartphone accedes a la citada app sin tener que teclear contraseña alguna. ¿Esto quiere decir que la seguridad de tus BTC, dependen del bloqueo de la pantalla de tu smartphone??
Saludos!!
|
|
|
|
flix
Legendary
Offline
Activity: 1227
Merit: 1000
|
|
March 26, 2013, 08:53:57 AM |
|
Hombre... lo suyo es tener un monedero distino en la app y online. Así usas el smartphone como usarías la cartera y usas blockchain.info como usarías la caja fuerte del banco.
Además no se si habrás visto que en blockchain también puedes tener direcciones "watch only", por ejemplo para vigilar tus monederos de papel, que son mucho más seguros. Por no hablar de los "monederos mentales"....
Al final con Bitcoin tu determinas el nivel de seguridad y tu te haces responsable. Blockchain te da herramientas como para satisfacer al mas paranoico de los espías... pero si tu luego vas y eres tan descuidado como un niño pequeño, sólo puedes culparte a ti mismo.
¿Cuántas veces sales a la calle con un fajo de billetes de € 500 en el bolsillo? Pues aplica el mismo nivel de precaución a tus bitcoins..
|
|
|
|
daerdah
Newbie
Offline
Activity: 9
Merit: 0
|
|
March 26, 2013, 09:09:21 AM |
|
Hola, me refiero a blockchain pero seguramente mi duda se traslada a cualquier otro servicio por el estilo. He comprobado la cantidad de sistemas de seguridad que aporta (doble contraseña, monederos en papel, copias de seguridad, ............). Pero me ha sorprendido lo siguiente :
Para que tanta seguridad si despues te bajas la aplicacion para android y resulta que desde el smartphone accedes a la citada app sin tener que teclear contraseña alguna. ¿Esto quiere decir que la seguridad de tus BTC, dependen del bloqueo de la pantalla de tu smartphone??
Saludos!!
Con todo tienes razón, esta característica de la aplicación también me sorprendió. Mi solución, quizá un poco drástica, fue desinstalar la aplicación.
|
|
|
|
Rampion
Legendary
Offline
Activity: 1148
Merit: 1018
|
|
March 26, 2013, 11:05:21 AM |
|
Hombre... lo suyo es tener un monedero distino en la app y online. Así usas el smartphone como usarías la cartera y usas blockchain.info como usarías la caja fuerte del banco.
Además no se si habrás visto que en blockchain también puedes tener direcciones "watch only", por ejemplo para vigilar tus monederos de papel, que son mucho más seguros. Por no hablar de los "monederos mentales"....
Al final con Bitcoin tu determinas el nivel de seguridad y tu te haces responsable. Blockchain te da herramientas como para satisfacer al mas paranoico de los espías... pero si tu luego vas y eres tan descuidado como un niño pequeño, sólo puedes culparte a ti mismo.
¿Cuántas veces sales a la calle con un fajo de billetes de € 500 en el bolsillo? Pues aplica el mismo nivel de precaución a tus bitcoins..
My Wallet de Blockchain.info no puede considerarse en ningún caso como una caja fuerte. Sigue siendo un servicio web, tus monedas no las tienes tú fisicamente sino que están alojadas en un servidor externo, por no mencionar que durante muchas hora al día el servidor está caído. Es cierto que blockchain.info funciona muy bien para pagos pequeños, cotidianos. Pero para el grueso de tus ahorros utilizaría algo que se pareciera de verdad a una caja fuerte, y por lo tanto que estuviera completamente offline. Yo utilizo Armory: puedes tener una copia "sólo de lectura" de tu cartera en el ordenador online, para controlar transacciones y enviar fondos. Pero la cartera con las claves privadas las tienes en un entorno que JAMÁS toca internet, por lo que tus ahorros son immunes a cualquier ataque que provenga de la Red. Si no tienes un ordenador viejo para que cumpla la función de "cartera offline", no hay problema: puedes instalar una distro de linux (ubuntu, linux mint, debian, arch, etc.) en un pendrive o disco duro externo, configurarlo para que esté encriptado, desactivar e incluso eliminar todos los dispositivos de red, y cuando quieras acceder a tu entorno offline sólo tienes que iniciar tu ordenador desde ese pendrive/disco duro.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 01:08:35 PM |
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
|
|
|
|
Ogig
|
|
March 26, 2013, 01:12:41 PM |
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
En general debes considerar una clave insegura si la has creado en un ordenador que haya estado conectado a internet en algún momento. Tus claves de blockchain.info, da igual como de encriptadas estén, son vulnerables a ser robadas con un keylogger ahora o pudieron ser robadas cuando las creaste. Para ahorros en serio, la única opción razonable es crear las claves en un ordenador offline y limpio y no dejar jamas que vean la red. Las transacciones deben ser firmadas offline también. Lógicamente hay que buscar un equilibrio entre seguridad y usabilidad. Las medidas de seguridad de blockchain.info son sólidas, pero para proteger tu calderilla, nada más.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 01:19:01 PM |
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
En general debes considerar una clave insegura si la has creado en un ordenador que haya estado conectado a internet en algún momento. Tus claves de blockchain.info, da igual como de encriptadas estén, son vulnerables a ser robadas con un keylogger ahora o pudieron ser robadas cuando las creaste. Para ahorros en serio, la única opción razonable es crear las claves en un ordenador offline y limpio y no dejar jamas que vean la red. Las transacciones deben ser firmadas offline también. Lógicamente hay que buscar un equilibrio entre seguridad y usabilidad. Las medidas de seguridad de blockchain.info son sólidas, pero para proteger tu calderilla, nada más. Hombre... El par de claves se genera automáticamente, tú lo único que tecleas (es decir, susceptible de ser interceptado por un keylogger) es la contraseña que encripta dicho par de claves asimétricas. Pero claro, si pensamos que puede haber un keylogger, tampoco podríamos entrar nunca a un banco on-line, por ejemplo. Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable.
|
|
|
|
Rampion
Legendary
Offline
Activity: 1148
Merit: 1018
|
|
March 26, 2013, 01:30:22 PM |
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
En general debes considerar una clave insegura si la has creado en un ordenador que haya estado conectado a internet en algún momento. Tus claves de blockchain.info, da igual como de encriptadas estén, son vulnerables a ser robadas con un keylogger ahora o pudieron ser robadas cuando las creaste. Para ahorros en serio, la única opción razonable es crear las claves en un ordenador offline y limpio y no dejar jamas que vean la red. Las transacciones deben ser firmadas offline también. Lógicamente hay que buscar un equilibrio entre seguridad y usabilidad. Las medidas de seguridad de blockchain.info son sólidas, pero para proteger tu calderilla, nada más. Hombre... El par de claves se genera automáticamente, tú lo único que tecleas (es decir, susceptible de ser interceptado por un keylogger) es la contraseña que encripta dicho par de claves asimétricas. Pero claro, si pensamos que puede haber un keylogger, tampoco podríamos entrar nunca a un banco on-line, por ejemplo. Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable. Lo que te ha explicado Ogig es la realidad: si quieres un alto nivel de seguridad para tus ahorros, las claves privadas nunca deben ver la red. La compración con la banca online es pésima: tu banco GARANTIZA tus ahorros. Viajo bastante, y mi tarjeta ha sido clonada un par de veces. Siempre me han devuelto el dinero. Si te "hackean" la cuenta del banco, tranquilo: el banco GARANTIZA tu saldo. Con el bitcoin, es todo lo contrario. Imáginate tu cartera, online u offline, como una maleta llena de efectivo. Si te lo roban, jamás volverás a ver esa malet. Por eso mismo tienes que proteger más tus bitcoins de lo que proteges tu cuenta de banca online. Además: qué pasa si Blockchain.info quiebra? Si un banco quiebra, al menos el estado garantiza hasta una cantidad X. Qué pasa si un día se cae y nunca vuelve a estar online? Lo dicho: tu cartera de bitcoins es como una maleta llena de billetes. Cuando usas blockchain.info, tu maleta la tiene SIEMPRE Y SOLO blockchain.info, POR MUCHO QUE LA LLAVE SOLO LA TENGAS TÚ. No quiero decir que blockchain.info sea inseguro: si usas 2FA, es de lo mejorcito que hay en cuanto a "hot wallets". Pero el grueso de tus ahorros no lo llevas en una cartera que sacas a la calle, ¿verdad? No, lo tienes en una caja fuerte. En el mundo bitcoin, caja fuerte = sistema offline.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 01:38:43 PM |
|
Buenas,
Se supone que tus claves en blockchain.info están encriptadas y se desencriptan de forma local en el navegador con Javascript, no?
Además, te permite guardarte una copia de seguridad encriptada que se puede importar y utilizar desde el cliente Multibit.
¿Tan inseguro lo veis? ¿Por qué?
Gracias, un saludo.
En general debes considerar una clave insegura si la has creado en un ordenador que haya estado conectado a internet en algún momento. Tus claves de blockchain.info, da igual como de encriptadas estén, son vulnerables a ser robadas con un keylogger ahora o pudieron ser robadas cuando las creaste. Para ahorros en serio, la única opción razonable es crear las claves en un ordenador offline y limpio y no dejar jamas que vean la red. Las transacciones deben ser firmadas offline también. Lógicamente hay que buscar un equilibrio entre seguridad y usabilidad. Las medidas de seguridad de blockchain.info son sólidas, pero para proteger tu calderilla, nada más. Hombre... El par de claves se genera automáticamente, tú lo único que tecleas (es decir, susceptible de ser interceptado por un keylogger) es la contraseña que encripta dicho par de claves asimétricas. Pero claro, si pensamos que puede haber un keylogger, tampoco podríamos entrar nunca a un banco on-line, por ejemplo. Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable. Lo que te ha explicado Ogig es la realidad: si quieres un alto nivel de seguridad para tus ahorros, las claves privadas nunca deben ver la red. La compración con la banca online es pésima: tu banco GARANTIZA tus ahorros. Viajo bastante, y mi tarjeta ha sido clonada un par de veces. Siempre me han devuelto el dinero. Si te "hackean" la cuenta del banco, tranquilo: el banco GARANTIZA tu saldo. Con el bitcoin, es todo lo contrario. Imáginate tu cartera, online u offline, como una maleta llena de efectivo. Si te lo roban, jamás volverás a ver esa malet. Por eso mismo tienes que proteger más tus bitcoins de lo que proteges tu cuenta de banca online. Además: qué pasa si Blockchain.info quiebra? Si un banco quiebra, al menos el estado garantiza hasta una cantidad X. Qué pasa si un día se cae y nunca vuelve a estar online? Lo dicho: tu cartera de bitcoins es como una maleta llena de billetes. Cuando usas blockchain.info, tu maleta la tiene SIEMPRE Y SOLO blockchain.info, POR MUCHO QUE LA LLAVE SOLO LA TENGAS TÚ. No quiero decir que blockchain.info sea inseguro: si usas 2FA, es de lo mejorcito que hay en cuanto a "hot wallets". Pero el grueso de tus ahorros no lo llevas en una cartera que sacas a la calle, ¿verdad? No, lo tienes en una caja fuerte. En el mundo bitcoin, caja fuerte = sistema offline. Si Blockchain.info cierra no pasa nada, el backup encriptado lo importas desde Multibit y a seguir operando... Vaya, que mi maleta también la tengo yo, es mi backup.
|
|
|
|
Ogig
|
|
March 26, 2013, 01:44:04 PM |
|
Además de lo que dice Rampion Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable.
No, no es razonable. Especialmente usando windows. Incluso aunque hoy estuvieses limpio al 100%, la probabilidad de que mañana aparezca una nueva vulnerabilidad ante lo que no puedas protegerte es real. Esto no es una cuestión de opinión, es una premisa de la seguridad informática que se ha comprobado cierta bastantes veces.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 01:48:10 PM |
|
Además de lo que dice Rampion Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable.
No, no es razonable. Especialmente usando windows. Incluso aunque hoy estuvieses limpio al 100%, la probabilidad de que mañana aparezca una nueva vulnerabilidad ante lo que no puedas protegerte es real. Esto no es una cuestión de opinión, es una premisa de la seguridad informática que se ha comprobado cierta bastantes veces. Jeje, en mi caso tengo un Mac, soy ingeniero en informática y además ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío). La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no?
|
|
|
|
Ogig
|
|
March 26, 2013, 01:55:17 PM |
|
Además de lo que dice Rampion Es decir, que sí, que lo más seguro es no conectarse jamás a internet... pero el hecho de suponer que en el ordenador de mi casa no va a haber un keylogger (teniendo en cuenta que su dueño tiene ciertos conocimientos y no instala cosas raras) es algo bastante razonable.
No, no es razonable. Especialmente usando windows. Incluso aunque hoy estuvieses limpio al 100%, la probabilidad de que mañana aparezca una nueva vulnerabilidad ante lo que no puedas protegerte es real. Esto no es una cuestión de opinión, es una premisa de la seguridad informática que se ha comprobado cierta bastantes veces. Jeje, en mi caso tengo un Mac, soy ingeniero en informática y además ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío). La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no? Tu mismo. Es cierto que la seguridad completa no existe, pero la red bitcoin ofrece la oportunidad de realizar ciertas tareas de forma offline lo que aumenta muy *MUY* significativamente la seguridad. El hecho de crear las claves offline no quiere decir que estén guardadas en un solo medio, lo cual sería muy mala idea. Una vez que has creado tus claves offline y en un pc seguro, y las has encriptado offline y en un pc seguro, puedes guardarlas en dropbox, gmail, dárselas a tus padres/hijos, abogado, o que un cantero te las grabe en la fachada de tu casa. Usar Mac, Unix, SunOS, FreeBSD o cualquier otro SO no anula el axioma de que cualquier ordenador conectado a internet pudo haber sido comprometido. Repito, es cuestión de buscar el equilibro. Afortunadamente ponerse en modo ultraseguro con bitcoin es fácil, no veo motivo por que el no coger esa oportunidad (a parte de la vagancia). Te recomiendo probar Armory.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 02:01:15 PM |
|
Ok, lo probaré... Muchas gracias.
|
|
|
|
dserrano5
Legendary
Offline
Activity: 1974
Merit: 1029
|
|
March 26, 2013, 02:01:59 PM |
|
ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío).
Si te refieres a que no las tecleas porque usas copiar y pegar, algunos keyloggers detectan la acción de pegar y echan un ojo en el portapapeles. La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no?
El ladrón se habrá llevado una copia cifrada del wallet.dat, que de nada le sirve si desconoce la contraseña. Y tú tendrás otras copias por ahí, algunas de ellas offline y algunas online. Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.
|
|
|
|
Rampion
Legendary
Offline
Activity: 1148
Merit: 1018
|
|
March 26, 2013, 02:16:35 PM |
|
Todo depende del "vector de ataque" del que te quieras proteger. En mi opinión con los bitcoins el peligro más grande está, por el momento, en un ataque remoto a través de internet. Aún es poco probable con un ladrón se ponga a rebuscar entre tus cds o tus pendrives para encontrar ese volumen encriptado que contiene tu "wallet", o a hojear tus libros a ver si encuentra una hoja llena de letras con la que recuperar tu "maletín virtual"... Porque gracias a Armory también puedes guardar en papel tus wallet y el acceso a las llaves de todas tus direcciones, presentes y futuras.... ¿Lo sabías? Si buceas en el foro, verás que ha habido muchos robos en MtGox, blockchain, e incluso de clientes locales online. A allinvain, ilustre minero y coforero nuestro, le mangaron 25.000 BTC (si, 25K) de su hot wallet. Y ya hay mucho malware que busca precisamente robarte tu wallet (incluso las claves en RAM), además de convertirte en "esclavo" de botnets para minar. Y por cierto, uno de los más famosos ataca exclusivamente a los mac: http://www.f-secure.com/v-descs/backdoor_osx_devilrobber_a.shtml. Yo también lleva décadas usando sólo linux o mac, pero por mucho que sean sistemas estructuralmente más seguros y que existan herramientas maravillosas como Little Snitch, no podemos considerarnos libres de malware. Es, simplemente, una falacia. Por otro lado, verás que no hay una sola historia de alguien a quien le hayan robado el ordenador, y que a partir de ahí le hayan robado también los bitcoins. En un sistema online (que puede ser un disco duro interno, externo o simplemente un pendrive) puedes utilizar encriptación en todo el disco, añadiendo capas de seguridad a tu sistema (encriptación de disco + encriptación del wallet, password fuertes, etc.). Si te roban ese pendrive o ese disco duro externo, tu info será completamente inaccesible. También puedes meter ese disco/usb/ordenador en una caja fuerte, y ahí tienes una capa más de seguridad. Cuando estás online, esas capas de seguridad te protegen menos porque en algún momento la información valiosa estará desencriptada en RAM (mientras la usas), y un malware decente esperará a ese momento para reenviársela al atacante. Por último, claro que alguien puede saber que tienes bitcoins y pegarte una paliza hasta que se los des todos. Pero repito: todo depende del vector de ataque del que te quieras proteger, y el peligro mayor actualmente está online.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 02:19:22 PM |
|
Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.
La verdad es que yo tengo configuradas las copias automáticas desde Blockchain.info a mi Dropbox, sin esteganografía ni nada, y no me parece inseguro. Mi backup está cifrado con mi contraseña de Blockchain.info, y a su vez al estar en Dropbox está cifrado con mi contraseña de Dropbox. Pensando en la extensión de Bitcoin hacia el mundo mundial (es decir, hacia el común de los mortales que no saben nada de seguridad informática), creo que les recomendaría Blockchain.info sin más, guardando el backup regularmente. Creo que es más probable que se les rompa el ordenador o machaquen el wallet sin querer a que un hacker les robe nada... No podemos pretender que para usar Bitcoin uno tenga que tomar tantas medidas de seguridad... Si esto es realmente necesario, Bitcoin jamás triunfará ni se extenderá como sistema de pago. Al usuario final que no ha hecho un backup de nada en su vida hay que ponérselo mucho más fácil.
|
|
|
|
Rampion
Legendary
Offline
Activity: 1148
Merit: 1018
|
|
March 26, 2013, 02:30:14 PM |
|
Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.
La verdad es que yo tengo configuradas las copias automáticas desde Blockchain.info a mi Dropbox, sin esteganografía ni nada, y no me parece inseguro. Mi backup está cifrado con mi contraseña de Blockchain.info, y a su vez al estar en Dropbox está cifrado con mi contraseña de Dropbox. Cuidado. Dropbox NO CIFRA NI ENCRIPTA los datos. Allinvain (al que le robaron los 25K, solo 1.500.000€ al cambio) cree que su wallet se lo mangaron de su dropbox, de hecho se han filtrado hace no más de año y medio cientos de miles de usuarios+passwords de la base de datos de dropbox. Ahora dropbox acaba de empezar con 2FA ( https://www.dropbox.com/help/363/es) lo que lo hace más seguro, pero aún así NI CIFRA NI ENCRIPTA. Lo dicho: para transacciones del día a día blockchain con 2FA* es suficientemente seguro. Para los ahorros de una vida, yo no me la jugaría con ellos ni de coña. *SIEMPRE CON 2FA. A TODOS LOS QUE LES HAN ROBADO DE BLOCKCHAIN.INFO, NO TENIAN 2FA. LO MISMO VALE PARA MTGOX, ETC.
|
|
|
|
Ogig
|
|
March 26, 2013, 02:32:56 PM |
|
Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox.
La verdad es que yo tengo configuradas las copias automáticas desde Blockchain.info a mi Dropbox, sin esteganografía ni nada, y no me parece inseguro. Mi backup está cifrado con mi contraseña de Blockchain.info, y a su vez al estar en Dropbox está cifrado con mi contraseña de Dropbox. Pensando en la extensión de Bitcoin hacia el mundo mundial (es decir, hacia el común de los mortales que no saben nada de seguridad informática), creo que les recomendaría Blockchain.info sin más, guardando el backup regularmente. Creo que es más probable que se les rompa el ordenador o machaquen el wallet sin querer a que un hacker les robe nada... No podemos pretender que para usar Bitcoin uno tenga que tomar tantas medidas de seguridad... Si esto es realmente necesario, Bitcoin jamás triunfará ni se extenderá como sistema de pago. Al usuario final que no ha hecho un backup de nada en su vida hay que ponérselo mucho más fácil. Que no te parezca inseguro no quiere decir que no lo sea. Yo no estaría tranquilo usando tu procedimiento. Me parece que estás sintiendo la poco deseable falsa sensación de seguridad. Estoy de acuerdo que blockchain.info es una buena wallet para introducir a la gente y que metan sus primeros btcs, pero deben ser advertidos de las implicaciones de seguridad. Una de las posibles fallas de bitcoin es que los temores relativos a robos online frenen su adopción. La única manera "buena" que tenemos para evitar esos robos es con métodos offline. También estoy de acuerdo en que la gente común no tiene porque saber generar claves seguras offline, pero mediante hardware podemos solucionar esto, como carteras físicas. Es uno de los desafíos a vencer también. EDIT: En concreto, blockchain.info, por su difusión, es probable que sea objetivo de todo tipo de ataques, phishing, keyloggers targeteados, y 0days de flash y java también targeteados. Exactamente igual que le pasa a paypal,
|
|
|
|
Rampion
Legendary
Offline
Activity: 1148
Merit: 1018
|
|
March 26, 2013, 02:39:16 PM |
|
ni siquiera tecleo mis passwords, porque uso LastPass... (vaya, que estoy confiando también todas mis passwords a un servicio externo, pero me fío).
Si te refieres a que no las tecleas porque usas copiar y pegar, algunos keyloggers detectan la acción de pegar y echan un ojo en el portapapeles. La seguridad completa no existe... Si tengo mi backup en local, en un servidor dedicado sin conexión a internet, y un día se me inunda la casa o entra un ladrón y se lleva el equipo, a lo mejor me quedo sin mis bitcoins. Quizás en ese caso habría sido mejor tenerlos también en un servidor on-line.... no?
El ladrón se habrá llevado una copia cifrada del wallet.dat, que de nada le sirve si desconoce la contraseña. Y tú tendrás otras copias por ahí, algunas de ellas offline y algunas online. Por ejemplo, y como ya he mencionado alguna vez, yo guardo una copia oculta en varias imágenes usando esteganografía, y están ahí a la vista en el dropbox. La única forma de estar totalmente seguro de que un "hacker" no te robará tus bitcoins es consiguiendo que tus claves privadas no vean jamás la red. Guardar tu wallet encriptado en dropbox, igual dentro de un video que esconde otro volumen de Truecrypt, en teoría es segurísimo. Pero no nos olvidemos que el factor humano es el más débil: igual has utilizado como contraseña de encriptación del wallet la misma contraseña (o parte) que utilizas para Ebay, o Lastpass, o Dropbox, o GPG.... Un atacante sofisticado puede utilizar ese info y acabar desencriptando tu wallet, por culpa de un error humano. Si tus claves privadas (wallet.dat, wallet de armory, etc.) jamás ven la red, un atacante remoto jamás podrá robarte tus btc. Vivir sin dropbox parece difícil, pero tampoco lo es tanto si guardas la copia de seguridad de tu wallet en varios CDs (usando imágenes+estenografía, si gustas) que luego dejas también en el coche y en un cajón de la oficina... Y por cierto: con Armory puedes generar un backup en papel que te permite recuperar las claves de TODAS tus direcciones, incluso las que has generado después de imprimir el papel... Para siempre. Basta con guardar ese papel en una caja fuerte/caja de seguridad de un banco... Y sabes que por mucho que se te inunde la casa o te roben el ordenador, ahí estará.
|
|
|
|
AXiS
Newbie
Offline
Activity: 43
Merit: 0
|
|
March 26, 2013, 02:41:15 PM |
|
Cuidado. Dropbox NO CIFRA NI ENCRIPTA los datos. Allinvain (al que le robaron los 25K, solo 1.500.000€ al cambio) cree que su wallet se lo mangaron de su dropbox, de hecho se han filtrado hace no más de año y medio cientos de miles de usuarios+passwords de la base de datos de dropbox. Ahora dropbox acaba de empezar con 2FA ( https://www.dropbox.com/help/363/es) lo que lo hace más seguro, pero aún así NI CIFRA NI ENCRIPTA. Según la web de Dropbox: - Dropbox uses modern encryption methods to both transfer and store your data. - Secure Sockets Layer (SSL) and AES-256 bit encryption. ¿No es cierto? https://www.dropbox.com/help/27/
|
|
|
|
|