Mit einer Passwort + TAN Kombi (mit Mauszeiger! ohne eintippen)
sieht es da schon anders aus. Auf jedem fall besser als jetzt
Jein. „PIN“ wäre möglich, d.h. verschlüsselte Ablage der wallet.dat, hilft aber, wie oben schon jemand schrieb, nicht wirklich gegen Trojaner, außer wenn sie einfach gestrickt sind und nur die wallet.dat wegkopieren wollen. Wird der Client komplizierter, werden die Trojaner schlauer, Ende Gelände. Nichts gewonnen.
Doch, ein bisschen was: Jemand, der physischen Zugriff auf den Rechner hat, kann sich nicht mal eben schnell was überweisen. Das ist der einzige Vorteil.
TANs lassen sich so einfach leider gar nicht implementieren. Sie basieren ja darauf, dass die Bank eine Liste hat, und Du hast eine Liste, und die befindet sich NICHT auf Deinem Computer. Es gibt aber keine Bank, die Dir eine Liste geben kann (außer Du hast eine Wallet bei der Bank, aber dann ist das eh eine ganz andere Geschichte). Wenn der Client selber die Liste zum Ausdrucken generiert, muss er sie irgendwo abspeichern, um dann vergleichen zu können, ob die eingegebene TAN valide ist. Das könnte man natürlich mit Hashes machen, aber die sind wiederum knackbar, wie das Mtgox-Beispiel schön zeigt. Und wenn Du Deine Liste verlierst, gibt es keine Bank, die Dir eine neue Liste gibt. Dann ist Dein Geld verloren. Nicht so arg sinnig.
Bitcoins sind nunmal momentan wie Bargeld. Wenn Du Deinen Geldbeutel verlegst oder Dein Haus abbrennt, ist Dein Bargeld weg. Genauso bei Bitcoins, zugegebenermaßen mit der zusätzlichen Gefahr eines Trojaner-Angriffs.
Für den 0815-User werden Bitcoins erst dann einfach und sicher benutzbar sein, wenn es vertrauenswürdige Banken gibt, die die Wallets verwalten, und die Dir Deine Bitcoins ersetzen, wenn sie sie „verlieren“. Die außerdem ihr Online-Interface wie beim Online-Banking mit ein bisschen mehr schützen als mit Username und Passwort.
So ist das nunmal, und mit Änderungen am Client lässt sich das nur kosmetisch verbessern. Mit etwas Pech würden sich die User mit verschlüsselter Wallet nur in falscher Sicherheit wiegen, und es wäre noch schlimmer als vorher.
Mann sieht schon sehr schön das sehr viele noch im alten Wertesystem hängen, Jahre der Gewöhnung gehen nicht spurlos vorüber das mag mildernd gewertet werden...
Also man kann sich natürlich einfach geschlagen geben und jeden Ansatz einer Verbesserung erst garnicht in Betracht ziehen.
Besser wären Vorschläge wie es GEHEN KÖNNTE :-)
Meine Idee wäre gewesen das mann zusätzlich zur wallet die per Passwort geschützt wird, per Default eine eine Art Online ID hat (sich im Netzwerk einloggt MIT pPasswort) (natürlich so,das es nicht die Anonymität zerstört!)
Bitcoin ist ein P2P Netzwerk, das heist es könnten die TANs erzeugt werden und so wie bei Bittorent gang und gebe
als "Verteilte Hashtabelle" im Netzwerk gespeichert werden genauso wie die Guthaben im Netzwerk gespeichert werden,
da ist überhauptnix unmöglich.
FALL A: TANLISTE VERLOREN:
Wenn ma seine TANliste verliert kann man nicht von der verdammten Bank sondern vom Netzwerk neue anfordern in dem die TANs
an eine voreingestellt zweite mail/ICQ/Adresse oder anderweitigen sekundären (!) Kommunikationsweg verschickt werden so das ausgeschlossen werden kann das Jemand unbefugtes beides in die Hände bekommt (So wie die Bank 2 Briefe verschickt mit 2 Tagen laufzeit unterschied)
FALL B: Trojaner klaut Wallet
Da die TANliste ausgedruckt ist kann der Trojaner Sie nicht klauen.
Wenn die eingabe per Mauszeiger ausgeführd wird,
kann ein Trojaner Sie nicht ausspionieren:
1. Mann muss auf einer virtuell dargestellten Tastatur den Code (z.b. Hexcode 0-9 & A-F) eintippen, wobei
sich die Anordnung der Zeichen jedesmal ändert wenn man
a. eine neue Transaktion startet , b länger als 1 Min zum abschicken braucht, c mehr als 3 bzw.5 falsche Eingaben macht.
2. Es wird kein Code übertragen den ein Trojaner Abfangen kann sondern nur die Mauszeigerpositionen
der Code wird im netzwerk decodiert (serverseitig)
Und ist u.a. Sessiongebunden, und Ip gebunden - das heist selbst wenn es einen Angreifer gelingen sollte (was extrem unwahrscheinlich ist) den Code
zu bekommen (z.B. Usermonitor wird mit Videokamera Live überwacht)
kann der Angreifer das nicht nutzen da er nicht die gleiche IP und den geleichen Sessionkey hat (falls das doch gehen sollte was extrem unwahrscheinlich ist, kann als Sicherheitsfunktion die Transaktion geblockt werden)
....
Was will man mehr?
Bitcoin hat dem Charkter einer Kreditkarte und nicht dem von Bargeld.
Wer eine Kreditkarte kopiert (sehen/foto/kopie) kann dann mit den informationen
der Vorder und Rückseite das Geld ausgeben,
bei Bargeld geht das nicht, man kann das Geld nicht nutzen wenn man es Kopiert da
man dann ganz schnell auffällt und im Knast landet ;-)
Nur klauen geht, liegt allerdings an der Fahrlässigkeit der Benutzer und ist keine Systemschwäche von Bargeld.
Auch bringt es niemandem etwas sich die Seriennummer eines 100 Euroscheins zu merken ;-)
Daher dürfte das wohl eindeutig sein.
Bitcoin soll mal Bargeld werden ist aber im Moment eher eine prepaidkreitkarte :-)
