Monero paper wallet

[io87tris]

Buonasera a tutti.
Premetto che ho fatto una veloce ricerca sul forum ma non ho travato niente di specifico. Spero che questo post magari possa essere utile a qualcun altro.
Io sono da sempre un fan dei paper wallet.
Adesso vorrei ritirare alcuni XMR e depositarli su un paper wallet e ho trovato i seguenti siti:

https://moneroaddress.org/
questo sito genera le chiavi provate.
Vorrei sapere se è sicuro ed attendibile e non si corra alcun rischio che le chiavi private finiscano in mano ad estranei

https://mymonero.com/#/
Da questo sito invece è possibile disporre dei propri fondi, (inserendo chiave privata o mnemonic seed).

Avete riscontri in merito a questi siti? Avete mai avuto problemi di sicurezza?
Attendo Vs. aggiornamenti. Grazie in anticipo per chi mi risponderà.

[LordStapy]

Il primo lo puoi usare offline, quindi non dovrebbero esserci problemi di sicurezza se prendi le giuste precauzioni tipo: PC offline, sistema operativo pulito (linux-live), tapparelle chiuse ecc.

Il secondo io tenderei a non fidarmi... non sono esperto di wallet online, ma se mi chiede la chiave privata mi puzza 
Usare un wallet "vero" è troppo sicuro? 

[io87tris]

Il secondo io tenderei a non fidarmi... non sono esperto di wallet online, ma se mi chiede la chiave privata mi puzza 
Usare un wallet "vero" è troppo sicuro? 

Cosa mi consigli?

[LordStapy]

Se usi paper wallet vuol dire che i fondi devi lasciarli fermi per diverso tempo, se devi fare transazioni ogni giorno diventa un po' uno sbattimento...
Quando devi spendere importi la chiave privata o seed in un qualsiasi wallet per XMR, non ti consiglio perchè ne ho usato solo uno (monero-wallet-cli) e non ho termini di paragone  
Non sto dicendo che mymonero sia insicuro, ma la cosa va prima verificata cercando informazioni online e magari dando un'occhiata al progetto su github o simili, se c'è. Senza la certezza che le chiavi private rimangano al sicuro e non vengano inviate al gestore del sito il mio consiglio è di evitare questi wallet online, ci sono decine di scam-web-wallet in giro fatti appositamente per rubare crypto agli utenti, come ce ne sono di validi (ho provato MEW per ether e non ho avuto problemi)

EDIT: rimane il fatto che, secondo me, un qualsiasi wallet web è meno sicuro di un wallet "installato", ci sono vari metodi per compromettere un sito web che non funzionano con un normale wallet.

[picchio]

Il primo lo puoi usare offline, quindi non dovrebbero esserci problemi di sicurezza se prendi le giuste precauzioni tipo: PC offline, sistema operativo pulito (linux-live), tapparelle chiuse ecc.
...

Non conosco il sito ma, oltre ai consigli sopra, va verificato che il generatore delle chiavi casuali non sia bacato. Se fosse bacato potrebbe verificarsi che la generazione sia non casuale e qualcuno potrebbe generare la stessa chiave anche se tu non sei mai stato collegato.
Se importi una chiave casuale generata non incorri in questo problema ma devi verificare che l'address pubblico sia collegato effettivamente alla chiave. Un malevolo potrebbe dare un address differente controllabile da una chiave in suo possesso.
NB: non voglio spaventare nessuno, da una rapida occhiata non ho notato nulla di compromettente nel sito ma per essere tranquilli servono anche le garanzie che il codice non sia bacato e/o compromesso.
 

[LordStapy]

Hai detto benissimo, ho risposto in modo forse troppo leggero perchè conoscevo già quel sito... Comunque il progetto è su github (link) e personalmente non ho visto nulla di strano, ammetto comunque di non aver studiato nei dettagli l'algoritmo di generazione delle chiavi.

[io87tris]

Il primo lo puoi usare offline, quindi non dovrebbero esserci problemi di sicurezza se prendi le giuste precauzioni tipo: PC offline, sistema operativo pulito (linux-live), tapparelle chiuse ecc.
...

Non conosco il sito ma, oltre ai consigli sopra, va verificato che il generatore delle chiavi casuali non sia bacato. Se fosse bacato potrebbe verificarsi che la generazione sia non casuale e qualcuno potrebbe generare la stessa chiave anche se tu non sei mai stato collegato.
Se importi una chiave casuale generata non incorri in questo problema ma devi verificare che l'address pubblico sia collegato effettivamente alla chiave. Un malevolo potrebbe dare un address differente controllabile da una chiave in suo possesso.
NB: non voglio spaventare nessuno, da una rapida occhiata non ho notato nulla di compromettente nel sito ma per essere tranquilli servono anche le garanzie che il codice non sia bacato e/o compromesso.
 

Si si avevo già verificato. Gli adress privati corrispondono ai relativi pubblici

[Jessy11]

Il primo lo puoi usare offline, quindi non dovrebbero esserci problemi di sicurezza se prendi le giuste precauzioni tipo: PC offline, sistema operativo pulito (linux-live), tapparelle chiuse ecc.
...

Non conosco il sito ma, oltre ai consigli sopra, va verificato che il generatore delle chiavi casuali non sia bacato. Se fosse bacato potrebbe verificarsi che la generazione sia non casuale e qualcuno potrebbe generare la stessa chiave anche se tu non sei mai stato collegato.
Se importi una chiave casuale generata non incorri in questo problema ma devi verificare che l'address pubblico sia collegato effettivamente alla chiave. Un malevolo potrebbe dare un address differente controllabile da una chiave in suo possesso.
NB: non voglio spaventare nessuno, da una rapida occhiata non ho notato nulla di compromettente nel sito ma per essere tranquilli servono anche le garanzie che il codice non sia bacato e/o compromesso.
 

Ciao se ho capito bene vuoi dire che se il generatore mi ha creato la chiave privata ed io magari non ho effettuato l'accesso potrebbe rigenerare la stessa ad un altro? e come faccio a capirlo?sono nuova non ho molta esperienza...

[Jack Liver]

c'è sotto un campo che dice

Custom entropy for deterministic wallet (leave empty to use the browser's PRNG)

mi fa venire un grosso dubbio che questo wallet generator non usi i movimenti del mouse per l'entropia come quelli a cui siamo abituati con i bitcoin ma si limiti ad usare solo lo pseudo random number generator del browser che potrà anche essere il migliore al mondo mai scritto ma resta pseudo e dunque potenzialmente attaccabile.


ho fatto un'altra verifica inserendo un mio seed su due diverse istanze del browser ed ottengo un indirizzo deterministico dunque non è un seed per l'entropia come il testo lascia già presagire ma una roba alla brainwallet.

[picchio]

Il primo lo puoi usare offline, quindi non dovrebbero esserci problemi di sicurezza se prendi le giuste precauzioni tipo: PC offline, sistema operativo pulito (linux-live), tapparelle chiuse ecc.
...

Non conosco il sito ma, oltre ai consigli sopra, va verificato che il generatore delle chiavi casuali non sia bacato. Se fosse bacato potrebbe verificarsi che la generazione sia non casuale e qualcuno potrebbe generare la stessa chiave anche se tu non sei mai stato collegato.
Se importi una chiave casuale generata non incorri in questo problema ma devi verificare che l'address pubblico sia collegato effettivamente alla chiave. Un malevolo potrebbe dare un address differente controllabile da una chiave in suo possesso.
NB: non voglio spaventare nessuno, da una rapida occhiata non ho notato nulla di compromettente nel sito ma per essere tranquilli servono anche le garanzie che il codice non sia bacato e/o compromesso.
 

Ciao se ho capito bene vuoi dire che se il generatore mi ha creato la chiave privata ed io magari non ho effettuato l'accesso potrebbe rigenerare la stessa ad un altro? e come faccio a capirlo?sono nuova non ho molta esperienza...

Piu' o meno ma non dipende dal fatto che/se tu li hai utilizzati (non so cosa intendi con "effettuato l'accesso"). Se il generatore non è sicuro meglio non usare il servizio. Di generatori sicuri non ne esistono. Quindi?
Bisogna fidarsi qu qualcosa/qualcuno ...
Non so se generando la chiave con wallet btc originale e usando quella chiave privata puoi generare e utilizzare indirizzi di altre monete.
Non voglio spaventarti, solo evidenziare quelli che al momento vedo come problemi, siamo a livello didattico, se mai non caricare gli indirizzi con milioni di euro e non investire piu' di quanto sei disposta a perdere completamente.