Аппаратные кошельки

[satscraper]

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

[1714279094]

1714279094

[1714279094]

1714279094

[1714279094]

1714279094

[1714279094]

1714279094

[1714279094]

1714279094

[safar1980]

Я выбираю другой кошелек, чтобы не хранить все на одном.

Это разумный подход с вашей стороны, но в этом случае мне кажется необходимо чтобы кошельки были физически разнесены, а не так, как это в Keystone 3, где все кошельки находятся в одном корпусе.

Физически разнесённые кошельки можно и хранить в разных местах и брать с собой только один нужный на данный момент.

Keystone многофункциональный кошелек и это делает его удобным именно для ежедневного использования. Для хранения такой набор функций не нужен.
Сейчас производителей этих кошельков больше, чем производителей телефонов, и много моделей появляются каждый новый квартал, поэтому сложно выбрать. До этого основными кошельками были трезор с леджером, а теперь все иначе.

[satscraper]

Тем кто интересуется Keystone 3 и думает о его приобретении может быть интересен свежий пост n0nce о возможной уязвимости этого кошелька, связанной с использованием встроенного в его нестандартную батарейку контролера заряда.

Теоретически этот контролер может исполнять зловредный код, встроенный злоумошленником, оказавшимся в   цепочке поставок.

[safar1980]

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли
Если открыть сохраненный в редакторе, то там не скрыты публичные ключи,  а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера
и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

[witcher_sense]

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли
Если открыть сохраненный в редакторе, то там не скрыты публичные ключи,  а зашифрована только сид фраза.

После этого облачное хранилище знает сколько крипты у бекапера
и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Читаю https://community.trustwallet.com/t/trust-wallet-rolls-out-encrypted-cloud-backup-recovery-feature/698307 и размышляю, на кого рассчитаны подобные решения, ведь даже из описания понятно, что это хранение в облаке никак не защищает вас от потери доступа к кошельку, а наоборот увеличивает вероятность такой потери. Во-первых, сид фраза шифруется с помощью пароля, который хранится у пользователя. В данном случае это означает, что потеря пароля равносильна потере доступа к кошельку и никакой проблемы "защиты от потери" тут не решается. Во-вторых, да, часть данных хранится в открытом виде и может быть полезна хакерам или еще кому для выявления потенциальных жертв. Даже если владельцы облака честнейшие люди, это не спасет от неожиданных сливов данных со всеми зашифрованными фразами и адресами. Хакеру останется только подобрать пароль, который у многих пользователей будет гораздо менее сложный, чем сама сид-фраза.

[satscraper]

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли

После этого облачное хранилище знает сколько крипты у бекапера
и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как  Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению  облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них  застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

[safar1980]

Сейпал, 1inch, трастваллет и другие кошельки предлагают хранить сид фразу в облаках. это такой тренд чтоли

После этого облачное хранилище знает сколько крипты у бекапера
и ко всему еще бэкапер должен хранить пароль от кошелька в облаке.

Ха, что там такие пешки как  Сейпал, 1inch, трастваллет и другие. Тут целый Microsoft иееет намерение переместить свою следующую операционку в облака.

К большому сожалению  облака становятся к трендом. Видимо руководство кошельковых и не только компаний крепко в них  застряло.

К счастью есть такие компании, как например Foundation c их Passport, которые поклялись, что никогда туда не залезут.

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

[witcher_sense]

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

[safar1980]

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

С опенсорсныии аппаратными кошельками не принято доверять обещания чего-то не делать. Всегда можно самостоятельно проверить подлинность файла, прошерстить код прошивки и банально спросить с разработчика. Если они станут вводить подобную фичу, то она тоже должна быть максимально прозрачной и верифицируемой, а иначе смысл в открытости кода теряется. Но в любом случае, подобные нововведения пагубно сказываются на репутации компании, специализирующей на устройствах для оффлайн хранения. Если они станут предлагать вам передать сид-фразу, в зашифрованной или незашифрованной форме, то это хороший повод начать пользоваться услугами компании "менее" ориентированной на клиентов.

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

[witcher_sense]

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

[safar1980]

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Вообще-то в этом и смысл открытого кода: другие компании могут свободно брать его и производить свое ПО и свое железо, но также могут вносить вклад в чужие продукты. Тот же Coldcard, Password, Trezor когда-то делили общую кодовую базу, но такое 'сотрудничество' не всегда проходит гладко. Найдутся и те кто скопирует идею у Леджера и предложит более вразумительные методы восстановления, но вряд ли они когда-нибудь будут лучше самостоятельного хранения. Любое облако с ключами пользователей будет взломано, так как это лакомый кусок для хакеров. Централизация хранения плохо работает везде: и на биржах, и на кошельках, и на облаках.

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.   

[witcher_sense]

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.   

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

[satscraper]

Ну как бы Леджер предлагает услугу и зарабатывает на этом.

Леджер, как я понял, предлагает услоугу, в которой пользователю советуют переложить всю заботу о безопасности своей заначки на плечи самой компании.

Отдай свои паспортные данные и ни о чём не думай, так простыми словами можно выразить то, что предлагает пользователям эта компания.

Вообще если кто-то думает, что существует 100% решение для безопасности его заначки, то он глубоко ошибается. Такого решения нет и скорее всего оно не появится и в будущем.

Её безопасность необходимо строить самому шаг за шагом, наращивая её слоями так, чтобы каждый новый слой накрывал собой слабые стороны старых слоёв, защищая в целом заначку от возникающих новых угроз.

Применительно к аппаратным кошелькам это может означать, что если уж пользователь выбрал их для хранения заначки, то каждый новый слой будет означать новый кошелёк от нового ппроизводителя и новая подпись к его новому мультисиг кошельку. Мультисиг схема при этом конечно усложняется и она должна соответствовать размеру самой заначки.

[safar1980]

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.   

Самостоятельное хранение практически никому не подходит, потому что это банально неудобно и иногда абсолютно небезопасно из-за низкой квалификации пользователей в области защиты информации от неавторизованного вмешательства. Но хранение сид-фраз в облаке даже в зашифрованном виде небезопасно, потому что пользователи не способные к самостоятельному хранению также зачастую не способны к придумыванию надежного пароля и опять же к надежному хранению такого пароля. Поэтому любой слив данных с облака приведет к потере средств у многих пользователей. А услуги естественно предлагаются, так как на них есть спрос, в том числе у крупных инвесторов.

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

[witcher_sense]

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

Думаю, что большинство пользователей либо прямо сейчас хранят секретные ключи на компьютере, либо когда-то копировали сид-фразу в файл, а потом удаляли оставив следы на жестком диске. В обоих случаях сид-фразу можно украсть удаленно, причем наличие аппаратного кошелька никак на это не влияет. Если пользователь решит ходлить в течение нескольких лет, то ему надо проводить ревизию своего сетапа, так как могут найтись дыры в определенном способе хранения. Хранение же в облаке - это одна сплошная дыра в безопасности, ревизии там проводить бесполезно, хранить там средства бессмысленно и опасно. Ну, а по поводу хранения дома в разных местах: чем больше копий, тем больше вероятность потерять одну из них. Здесь нужно сохранять баланс и распределять не в пределах одного помещения, а среди нескольких относительно удаленных локаций.

[bakasabo]

А по вашему пользователи хранят сид фразу на персональном компьютере?

Конечно. И не только сид фразу, но и все пароли от всего. Все ведь всегда думаю, что хакнут кого-то еще, но не его. Недавно как раз в англоязычной части форума был топик о том как пользователя высокого ранга хакнули. Вредоносное ПО было на его компе давно, и взломщик просто выжидал. Топик назывался что-то типа «не думал что это может произойти со мной».

Многие пользуются криптовалютой посредством использования компьютера, читаю новости о крипте на компьютере, скачивают файлы на компьютере, пользуются ежедневно компьютером, пароли придумывают такие, которые схожи с паролями на почту или комп. Слишком много компьютера в жизни, он слишком удобен и привычен. Все равно через него все проходит. Вот и сид фразы и пароли они оставляют на том устройстве, за которым чаще всего и проводят время.

[satscraper]

Пользователи эксплуатирующие десктопные кошельки создают СИДы на компьютере.

Существует класс зловредов способных делать скриншоты и отсылать их злоумышленникам.

Если компьютер заражён таким зловредом, то созданный СИД скорее всего окажется в руках хакеров несмотря на то, что пользователь  сохранил его не в компьютере, а где-то в другом месте.

Поэтому аппаратные кошельки, особенно бесконтактные, в этом смысле намного безопаснее.

[Inwestour]

Конечно. И не только сид фразу, но и все пароли от всего. Все ведь всегда думаю, что хакнут кого-то еще, но не его. Недавно как раз в англоязычной части форума был топик о том как пользователя высокого ранга хакнули. Вредоносное ПО было на его компе давно, и взломщик просто выжидал. Топик назывался что-то типа «не думал что это может произойти со мной».

Многие пользуются криптовалютой посредством использования компьютера, читаю новости о крипте на компьютере, скачивают файлы на компьютере, пользуются ежедневно компьютером, пароли придумывают такие, которые схожи с паролями на почту или комп. Слишком много компьютера в жизни, он слишком удобен и привычен. Все равно через него все проходит. Вот и сид фразы и пароли они оставляют на том устройстве, за которым чаще всего и проводят время.

Ну тогда в таком случае нечего удивляться, что мошенник смог добраться до монет, это же первое правило не хранить ничего важного на компьютере. Пароли конечно в браузере точно большинство сохраняет, потому что это удобно, но и для хакера это подарок. А вот скачивать файлы на компьютер, это уже не очень разумно. Для скачивания нужно завести себе какой то отдельный ноут, на котором нету вообще ничего важного.

Но вы тут правы в том, что каждый думает, что да такое случается, но это может с другими произойти, но не с тобой.

[safar1980]

А по вашему пользователи хранят сид фразу на персональном компьютере?
Я считаю что вполне легко придумать способ хранения сид фразы дома, не связываясь с компьютером. защитой будет служить парольная фраза, которую нужно помнить.
Но только сид фразу нужно сохранить в разных местах.

Думаю, что большинство пользователей либо прямо сейчас хранят секретные ключи на компьютере, либо когда-то копировали сид-фразу в файл, а потом удаляли оставив следы на жестком диске. В обоих случаях сид-фразу можно украсть удаленно, причем наличие аппаратного кошелька никак на это не влияет. Если пользователь решит ходлить в течение нескольких лет, то ему надо проводить ревизию своего сетапа, так как могут найтись дыры в определенном способе хранения. Хранение же в облаке - это одна сплошная дыра в безопасности, ревизии там проводить бесполезно, хранить там средства бессмысленно и опасно. Ну, а по поводу хранения дома в разных местах: чем больше копий, тем больше вероятность потерять одну из них. Здесь нужно сохранять баланс и распределять не в пределах одного помещения, а среди нескольких относительно удаленных локаций.

Если появляются сомнения в ненадежности сид фразы, то можно создать новую фразу и отправить монетки на новый кошелек.
Я уверен что прямо сейчас большинство пользователей хранят свои монетки на централизованных биржах, потому что это более надежно чем семейный компьютер.
Копия сид фразы не должна быть похоже на ее копию. Если вам в руки моя попадет, то вы об этом и знать не будете.

[Dimenzino]

деньги - это прерогатива государства, а доступ можно получить только с разрешения государственных органов через верификацию личности и требования делать отчеты о транзакциях. Любая транзакция должна быть одобрена банком, если есть малейшее подозрение на незаконнность перевода, счет должен быть заблокирован для разбирательства. Система полностью отлажена для обеспечения контроля над переводами. Единственное исключение - это наличные, но в последнее время ведется успешная работа по вымещению этого вида переводов.

https://www.youtube.com/watch?v=a-jstewdff0