BITCOIN PUMP!

[arulbero]

Ne parlavo con altri del forum recentemente: non esiste un metodo sicuro al 100% ma esistono molti metodi sicuri e facili da ricordare. Basta lavorare un po' di fantasia.....  
Ad esempio prendi una frase di un libro famoso (es. "Inferno", capitoloX, prima frase) e costruisci la pwd prendendo le prime lettere di ogni parola di quella prima frase.
Non ti ricorderai la frase, ma per ricostruire la pwd basta che ti ricordi di quale capitolo hai preso la prima frase, direi facilissimo da ricordare no ?
Non c'è il pericolo di perdere il libro - fuoco, allagamento, terremoto, .... -  perché tanto una qualsiasi altra copia avrebbe la stessa funzionalità per te. E nessuno sarebbe in grado di indovinarla visto che solo tu sapresti la regola che hai seguito (quale capitolo e  quale frase).
Secondo me è un metodo efficace e sicuro, e naturalmente è solo un'idea che chiunque può personalizzare cambiando piccole cose.

Non usate mai questi metodi. L'entropia con cui arriverete alla password finale è troppo bassa.

Bisogna distinguere 2 fasi:

1) scelta di una password (una stringa di 128 bit o quanti ne volete): NON deve essere mai una persona a farlo, usate un sofware wallet sconnesso dalla rete, un hardware wallet o un altro generatore di numeri pseudocasuali

2) scelta del formato in cui memorizzare la password: se deve essere facilmente memorizzabile da una persona, si prende una lista di parole e, con un metodo molto semplice tipo quello indicato nel bip39, quella password viene codificata in una sequenza di n parole. Tutto lì.

Ma fondere le due fasi, cioè costruire autonomamente la password scegliendo direttamente le parole da una lista (o le lettere da una lista di parole) non è mai una buona idea: in generale ogni semplice idea che ci viene per costruire una password viene anche all'aspirante hacker che ha a disposizione macchine molto potenti:  una idea umana = bassa entropia, non c'è nulla da fare. Penso che lavorare su un database di ogni libro scritto sia una delle prime cose a cui pensa chi vuole provare a violare qualche address bitcoin.

E' utile quindi semplificare solo il formato per ricordare la password, mai bisogna semplificare (= ridurre l'entropia) la fase di creazione della password stessa.

Dipende molto anche a che cosa serve la password: se è per accedere a un sito poco importante può bastare anche un metodo casalingo, ma se deve proteggere la mail principale o un wallet intero non è consigliabile affatto scegliere in prima persona la password.

[1714055109]

1714055109

[1714055109]

1714055109

[fillippone]

Ho visto personalmente qualcuno creare un wallet in questo modo:
1. prendere come password le prime parole una canzone dei pink floyd.
2. passarla in bip 39 per ottenere una master seed
3. generare un wallet partendo da quel seed.
4. depositare su quel wallet 0.1 BTC (altri tempi)
5. vedere quei 0.1 BTC essere traseferiti su un altro wallet dopo 30 secondi, ancora prima che la transazione fosse confermata
6. vedere il soggetto disperarsi per la perdita, anche perchè non aveva ovviamente attivato RBF perchè "non ci credo....figurati se qualcuno fa un dictionary attack sulle transazioni nella mempool"

Se volete provare anche voi l'esperienza di separazione dai vostri bitcoin vistitate https://www.bitaddress.org

EDIT: provate a generare un brain wallet usando come Key "satoshi nakamoto" e poi ricercate in un explorer l'indirizzo generato:
https://www.blockchain.com/btc/address/1Q7f2rL2irjpvsKVys5W2cmKJYss82rNCy

Appena c'è una transazione in arrivo viene subito dirottata su altro indirizzo (notate le fee crescenti, per la "concorrenza" de itool che guardano a quell'indirizzo, dove solo il tool con le fee più alte avrà la conferma della transazione.

[bitcoin-shark]

io ho fatto tempo fa un paper wallet su bitaddress seguendo tutte le precauzioni del caso disconnessione da internet,password/seed casuale con il mouse mi sembrava sicuro,poi l'ho trasferito ad electrum e non e successo nulla,sono stato fortunato? ero a rischio? ci sono ancora criticità?...

[arulbero]

Ho visto personalmente qualcuno creare un wallet in questo modo:
1. prendere come password le prime parole una canzone dei pink floyd.
2. passarla in bip 39 per ottenere una master seed
3. generare un wallet partendo da quel seed.
4. depositare su quel wallet 0.1 BTC (altri tempi)
5. vedere quei 0.1 BTC essere traseferiti su un altro wallet dopo 30 secondi, ancora prima che la transazione fosse confermata
6. vedere il soggetto disperarsi per la perdita, anche perchè non aveva ovviamente attivato RBF perchè "non ci credo....figurati se qualcuno fa un dictionary attack sulle transazioni nella mempool"

Ci sono un sacco di notizie riguardo a persone che hanno perso i loro btc protetti da  password '''casuali''' anche di 68 caratteri!

Riporto alcune considerazioni di gmaxwell in generale sulla sicurezza (prese da qui : https://bitcointalk.org/index.php?topic=1719563.msg17313440#msg17313440)

People _massively_ overestimate their ability to choose unguessable strings. They come up with absurd munging schemes that are easily predicted and exploited by attackers.  The result is that brainwallets cause funds loss _constantly_.

Why is it when it turns out that some website was using an unsalted hashing scheme to store their users password hashes in a private database people pull out the torches about how incompetent the web developer is-- but when people construct brainwallet software which stores the users hashed password in a PUBLIC database-- unsalted-- where every found password results in an irreversable theft of Bitcoin, some people fall over themselves to recommend it?

... because that is exactly what a brainwallet is doing:  A public key is a hash of the private key (with special homomorphic properties that makes it useful for signatures). When you use a brainwallet you are computing an unsalted password hash and sticking it in a public database along with the amount you can steal by cracking it.  Because they are unsalted, an attacker can target N users with ~O(1) effort just like any other unsalted password hash.


The advice would be to have a computer generate it randomly.  (the next best advice is to choose it with dice but it takes so many rolls to even get 128 bits, that I have found that users don't actually comply with the procedure; a treatment that the patient will not follow is not a good treatment, no matter how perfect it is if used flawlessly). Studying the result in practice isn't politics, it's science.  Developers are not magically anointed with an ability to not make these errors, they appear to be even more vulnerable: to quick to enamor themselves with fancy schemes but just as unable to really comprehend billions of attempts per second as any other human. It isn't a question of being stupid, I do not think I can securely use a brainwallet and I do not think I am stupid.

There are hundreds of millions of dollars worth of Bitcoin secured by the CSPRNG setup in Bitcoin Core. It is peer reviewed by quite a few subject matter experts. That is a pretty strong bit of auditing there, ... can you say the same for your scheme?

Human memory is very fallible.  We often just don't remember what we don't remember so we don't often realize how bad it is.   A fever, blow to the head, or other illness can easily kill single memories even of things you used frequently-- a brain wallet is the hardest kind to remember: to be secure it must be unusually random, and you should not be using it frequently (if you use it frequently, you will end up leaking it somehow) and being almost right is not good enough!

Backups are also easy if you don't need to redo them. They are practically free:  A small USB stick costs a few dollars, paper costs cents. You can make many backups and secure them with a weak password that your family also knows and really can never be forgotten-- but attackers with a FPGA farm in china cannot crack your password protected backed up wallet!

In particolare l'approccio suggerito da gmaxwell per creare e proteggere il proprio wallet mi convince:

A randomly generated and then password-encrypted wallet is by definition more secure than a brain wallet made by the same password

The requirements for the password security are much lower.

With a brainwallet, the moment you use it everyone in the world can begin cracking it-- in parallel with all other keys they are cracking at no extra cost.  They can also apply precomputed rainbow tables to try may of the passwords they tested in the past against it-- at low cost. They also can see the bounty attached to it.

If a wallet is encrypted it has a salt and (hopefully) an expensive KDF. The attacker cannot attack multiple files in parallel. If the whole wallet is encrypted, they don't know what their payoff will be and most importantly they can't even begin cracking until they get the file.  The security becomes multi-factor: You must have the file and the passphrase.  Theft of the file may also be noticed, giving you time to react.

So if your passphrase is a little weaker than you intended it to be-- there is likely no great harm.

in pratica conviene generare il seed / chiave privata con un CSPRNG affidabile tipo quello di Bitcoin Core, criptare il proprio wallet (anche con una password non esageratamente robusta) e farne dei backup (non online!). La password non troppo difficile da ricordare può essere data a uno / due famigliari, quindi persone di fiducia.

In questo modo l'attaccante non può cercare di craccare le tue chiavi private insieme a tutte quelle degli altri bitcoin presenti nella blockchain ma dovrebbe prima ottenere il tuo file e poi fare un tentativo specifico solo per il tuo file (cosa già molto improbabile).

Questo approccio crea più livelli di sicurezza:

1) livello massimo di protezione dai pericoli a livello globale (Internet) dove è presenta la maggiore forza d'attacco
2) livello minore ma ancora accettabile di protezione a livello locale (casa e d'intorni) dove le possibilità che ti entri in casa un ladro con a disposizione moltissima potenza computazionale e connesse capacità sono bassissime.

io ho fatto tempo fa un paper wallet su bitaddress seguendo tutte le precauzioni del caso disconnessione da internet,password/seed casuale con il mouse mi sembrava sicuro,poi l'ho trasferito ad electrum e non e successo nulla,sono stato fortunato? ero a rischio? ci sono ancora criticità?...

No se la generazione è stata effettivamente casuale ed eri disconnesso. penso che Filippone si riferisse a bitaddress -> sezione brainwallet

[fillippone]

Premesso che non mi fiderei di un wallet generato da un tool del genere, ma non ho approfondito la questione, mi riferivo in effetti alla sezione brainwallet (dove appunto puoi generare un seed da una frase a piacere).

[babo]

Premesso che non mi fiderei di un wallet generato da un tool del genere, ma non ho approfondito la questione, mi riferivo in effetti alla sezione brainwallet (dove appunto puoi generare un seed da una frase a piacere).

non spevo potessi creare un indirizzo da una frase a piacere

la FEATURE PIU STUPIDA in assoluto (ma solo perche la gente la usa in maniera molto stupida)

mi avete aperto un mondo grazie

[Paolo.Demidov]

Purtroppo un metodo sicuro al 100% non c'è.
Metti che le pk di tutti i tuoi wallet le metti in tanti file zippati con password cifrata (una sola) in sha-256 o AES o quel che ti pare.
Ma la password devi cmq ricordartela tu.
Già se la scrivi da qualche parte in chiaro la sicurezza si abbassa.
E se ad un certo momento ti viene un amnesia come quando sei davanti al bancomat e i 5 numeri che ti sei sempre ricordato senza fatica non ti vbengono più in mente?
Ripeto, secondo me un metodo sicuro al 100% non  c'è.... purtroppo.

Ne parlavo con altri del forum recentemente: non esiste un metodo sicuro al 100% ma esistono molti metodi sicuri e facili da ricordare. Basta lavorare un po' di fantasia..... 
Ad esempio prendi una frase di un libro famoso (es. "Inferno", capitoloX, prima frase) e costruisci la pwd prendendo le prime lettere di ogni parola di quella prima frase.
Non ti ricorderai la frase, ma per ricostruire la pwd basta che ti ricordi di quale capitolo hai preso la prima frase, direi facilissimo da ricordare no ?
Non c'è il pericolo di perdere il libro - fuoco, allagamento, terremoto, .... -  perché tanto una qualsiasi altra copia avrebbe la stessa funzionalità per te. E nessuno sarebbe in grado di indovinarla visto che solo tu sapresti la regola che hai seguito (quale capitolo e  quale frase).
Secondo me è un metodo efficace e sicuro, e naturalmente è solo un'idea che chiunque può personalizzare cambiando piccole cose.

Il pericolo quindi qual è ? quello che diceva @babo:

e se voi morite? si perde tutto?

ma di questo in realtà abbiamo parlato in altro thread un paio di anni fa - vado a memoria.
Avevo letto parecchi suggerimenti ottimi ma quello che buttai lì io - e per questo me lo ricordo  - era un metodo di questo tipo (appunto per cautelarci contro il rischio che alla mia morte il wallet venga perso magari perché gli eredi non sanno nemmeno che avevo Btc):

- creo un wallet multisig, ad esempio di tipo 2/3 (due firme su 3 necessarie per sbloccare)
- due chiavi le tengo io e le uso finché sono in vita per firmare
- la terza la do a una persona di cui ho fiducia anche se senza le mie chiavi questa persona da sola non potrebbe comunque spendere i miei Btc
- poi uso un servizio per inviare a quella persona le mie chiavi in caso di morte; un servizio del tipo ifttt.com  (se non mi faccio vivo una volta al mese manda una mail al mio erede), oppure un semplice programma python che invia una mail con le chiavi se non compio un'azione entro tot tempo, programma che posso far girare sui una RasbPI a casa mia o su una Vps minimale nel caso voglia essere sicuro che la rete funzioni (30€/anno che chiunque può permettersi)

Fin che io sarò in vita le mie chiavi rimarranno a me, quando morirò, dopo tot settimane sarà mandata la mail con le chiavi alla persona/erede che voglio entri in possesso dei btc.

Anche questo meccanismo lo posso complicare  a piacere aumentando il numero di firme e/o distribuendo a più attori chiavi o pezzi di chiave. L'unica cosa di cui mi devo preoccupare è che queste persone siano consapevoli dell'importanza di conservare quella chiave che avrò dato loro, anche se non necessariamente devo dire che è una chiave Btc, posso limitarmi a dire che è una cosa importante da conservare perché è legata all'eredità che intendo lasciare alla mia morte: non spiegando il meccanismo mi cautelo circa il fatto che qualcuno possa essere tentato dal giocare brutti scherzi (anche se per definizione sto parlando di persone di fiducia, quindi.....).
Nella mail potrò poi mandare un documento che spieghi cosa fare di queste firme.

In sintesi: anche qui sistemi sicuro al 100% non ce ne sono, ma imho ci si può avvicinare moooooolto ad un elevatissimo livello di sicurezza nella conservazione delle chiavi, e nella "certezza" che alla mia morte il wallet non vada perso.
E non ho volutamente citato i servizi che stanno nascendo per dare questo tipo di garanzie; se non erro proprio a inizio 2019 ne erano saltati fuori due.


Tornando invece all'interessantissimo scambio che state facendo su Btc/oro mi viene da fare una riflessione: il punto "cosa succederà quando non si mineranno più Btc" secondo me è irrilevante per due motivi:

1) visto che comunque l'halving sappiamo che continuerà a dimezzare i Btc minati ogni 4 anni, non vedo molta differenza tra l'anno 2136/2140  e i 4 anni precedenti, o gli 8 o i 12. Rimane vero il fatto che il premio per i miner sarà sempre più costituito dalle fee rispetto al premio Btc di blocco. E' questo che conta e che ci deve far riflettere.
Non mi sembra cioè che il discorso sia da riferirsi ad uno specifico anno (fine reward btc per il blocco) ma piuttosto ad un periodo che coprirà decine di anni. Un numero di anni così elevato che imho il passaggio alle sole fee potrebbe essere del tutto indolore.

2) si parla comunque di un periodo troppo in là nel tempo e prima di questo bisognerà affrontare sfide più importante: quantum computer e altro, che porteranno per forza di cose a modificare qualcosa nel protocollo.
Non è detto che questo debba comportare anche una modifica nelle regole di "premio" di blocco (anche per non alterare il tetto dei 21 mln) ma potrebbero altresì modificare qualche altro aspetto utile a incentivare in altri modi i miner.

Insomma per me questo aspetto del fine premio è una cosa che non dovrebbe destare preoccupazioni oggi.

In tanti aspetti, di Bitcoin valore, sicurezza, uso, ecc...
quando si deve fare una cosa, si fa... viene bene, viene male...
Non solo Bitcoin.


Quando invece si deve fare qualcosa, essendo certi che quella cosa funzioni per un lungo oeriodo, di tempo, sia al 100% sicura, ecc... cominciano tutta una serie di pensieri...
ipotesi... scenari...


I problemi futuri non affrontati oggi, non pensati oggi, possono essere il disvalore di domani.


Immaginiamo che io ti voglia dare un terreno in affitto, dove tu puoi costruire una fattoria.

Io ti concedo un terreno con affitto perpetuo.

Tu sapendo che questo terreno sarà di fatto tuo, pensando che
quello che fai lo potrai lasciare a tuo figlio, alla tua famiglia...
ti sprona a fare interessanti Investimenti, anche a lungo termine.

Inizi anche a costruire una casa colonica, impianti d'irrigazione, serre, ecc... cose che per essere costruite occorrono di qualche anno di lavoro, ammortamenti decennali...


Se io quello stesso terreno, te lo concedo in affitto, rinnovabile solo di anno in anno... non ci andresti ad investire molto, non ne vedresti il valore nel tempo, anzi...
... useresti un approccio predatorio, di scarsa cura, cercheresti di spremere il limone il più possibile, adesso, subito, per ricavarci il più possibile...
...tanto poi domani, se è tutto sciupato, perché hai fatto solo colture intensive, massive... se non ti mandano via, puoi andare tu altrove, spostarti, prendere un altro terreni e sfruttarlo... d'altronde avevi un solo un orizzonte temporale di un anno, più al massimo qualche rinnovo...



Sempre pensando a cose che devono portare risultati certi, sicuri ed attendibili... sul lungo periodo...

Se oggi parte una sonda spaziale che deve esplorare lo spazio per 50 anni o anche molto si più, vengono utilizzati non i processi di ultimissima generazione, ma quelli molto più datati... ma molto collaudati, di cui si conosco già eventuali problemi, magari di performance molto inferiori, ma più attendibili.
Processori che hanno dei problemi, ma si sa quali sono...
...non si utilizzano tecnologie che possono dare problemi non previsti o problemi nuovi...

( https://www.tomshw.it/altro/la-cpu-della-prima-playstation-e-in-viaggio-verso-plutone/ )


Su questa matrice, il fatto di utilizzare Bitcoin anche pensando di lasciarne traccia a qualcuno a cui si vogliono tramandare... perché in caso di morte... o comunque nel caso che raggiunti i 99 anni, la mente e la memoria non siano quelli di adesso...
...dà valore a quello che si fa.

Immaginiamo per assurdo che i detentori vengano colpiti da amnesia e nessuno sapesse come andare a recuperare i dati di accesso... o immaginiamo che nel tempo questo detentori arrivino al fine vita, senza aver previsto un passaggio...
...si potrebbe arrivare all'assurdo che ci sarebbe in qualche modo una infrastruttura blockchain, con tutti i wallet inaccessibili.
Passando per un periodo intermedio in cui i pochi bitcoin circolanti potrebbero aumentare moltissimo di valore, o essere considerati inutili.

Uno scenario che apre a misure particolari e straordinarie.

A proposito, qualcuno ha dato e stime certe sui bitcoin "persi per sempre" ?
Di persone che saranno morte... di chi si è dimenticavo tutto... di chi ha perso tutti nell'incendio di casa... a chi gli hanno rubato il computer... terremoti... cose in più di dieci anni, nel mondo, su milioni di persone, ne saranno successe...


Tutto questo è poi in contrapposizione al fatto che vi siano grassi conti sugli exchange o il proliferare di derivati molto particolari.

Sono cose che prospettano una scarsa progettualità per il futuro di lungo periodo in molti dei partecipanti.

Se nessuno avesse utilizzato intermediari o nessuno avesse lasciato coin sui conti di questi intermediari, il crollo di MtGox non avrebbe intaccato il valore di Bitcoin, anzi...
... è vero che il valore di Bitcoin si è ripreso ed è continuato a salire, evitando questo, sarebbe solo salito.
Tra l'altro uno dei fattori di rischio che permangono anche attualmente, anche se in misura diversa.


Se vogliamo invece parlare di sistemi semplici, funzionati, senza energia elettrica, insituwzioni estreme, di privazione, scenari di guerra... pandemie...
...al limite dovendo percorrere dei km a piedi... io prendo una moneta d'oro vado da Taranto a Lugano a piedi, ed effettuo al transazione con uno che mi dà kg. 10 di cioccolato Svizzero.
Al limite un piccione viaggiatore

Moneta d'oro che è già riconosciuta in tutto il mondo, dal Canada alla Nuova Zelanda, senza bisogno di convincere qualcuno.

Chi vuole dare apporto alla rete Bitcoin , oltre che al mero sviluppo tecnologico, dovrebbe pensare e sviluppare l'idea di qualcosa che possa funzionare nel lungo periodo, anche senza energia elettrica o con scarsità di energia o in scenari difficili.
Qualcuno mi dirà, lo è già... non saprei.

Si accennava al fatto dei satelliti... una cosa che poi darebbe valore anche in termini di vantaggio competitivo su idee di Bitcoin alternative o improbabili fork.

[babo]

paolo ma adesso quello scenario (capitato) ha delle mitigations

fai un wallet multi-sig con 4 attori con fondi sbloccabili da 3 attori
es: fondi di famiglia
attori con chiave:
- marito
- moglie
- amico intimo
- notaio


solo 3 possono sbloccare i fondi
se viene a mancare la moglie (o il marito) gli altri tre, possedendo di fatto un file possono sbloccare i fondi
e' molto piu facile delle attuali procedure di successione

[bitcoin-shark]

Premesso che non mi fiderei di un wallet generato da un tool del genere, ma non ho approfondito la questione, mi riferivo in effetti alla sezione brainwallet (dove appunto puoi generare un seed da una frase a piacere).

non spevo potessi creare un indirizzo da una frase a piacere

la FEATURE PIU STUPIDA in assoluto (ma solo perche la gente la usa in maniera molto stupida)

mi avete aperto un mondo grazie

permettimi di dissentire se la gioca con un indirizzo vanity con il quale puoi creare un indirizzo bitcoin personalizzato che cominci con il tuo nome per esempio mettendo in comune parte della tua chiave privata alla faccia della sicurezza...

[picchio]

Premesso che non mi fiderei di un wallet generato da un tool del genere, ma non ho approfondito la questione, mi riferivo in effetti alla sezione brainwallet (dove appunto puoi generare un seed da una frase a piacere).

non spevo potessi creare un indirizzo da una frase a piacere

la FEATURE PIU STUPIDA in assoluto (ma solo perche la gente la usa in maniera molto stupida)

mi avete aperto un mondo grazie

permettimi di dissentire se la gioca con un indirizzo vanity con il quale puoi creare un indirizzo bitcoin personalizzato che cominci con il tuo nome per esempio mettendo in comune parte della tua chiave privata alla faccia della sicurezza...

Spiegati meglio.
A me risulta che i vanity non siano necessariamente insicuri.
L'unico problema è che se lo fai fare ad un pool devi esporre la chiave pubblica al pool ma la chiave privata rimane segreta e casuale, forse anche più casuale della chiave originaria in quanto addizionata alla chiave che genera il vanity.

[bitcoin-shark]

quello intendevo affidarsi a qualcuno/pool per crearlo che richiede si la chiave pubblica ma non credo che la chiave privata non sia a rischio...e poi mi riferivo in parte anche a la feature piu stupida...

[arulbero]

quello intendevo affidarsi a qualcuno/pool per crearlo che richiede si la chiave pubblica ma non credo che la chiave privata non sia a rischio...

Se fornisci solo la chiave pubblica, la tua chiave privata non è a rischio.

1) Tu crei la chiave privata m e fornisci alla pool la chiave pubblica P  (P = m*G)

2) La pool calcola P + k*G = Q e ti restituisce la chiave privata parziale k  (Q è la chiave pubblica con indirizzo vanity)

3) la chiave privata di Q la conosci solo tu, ed è m+k


Si potrebbe fare anche con la moltiplicazione anzichè con la somma:

2) k*P = Q

3) la chiave privata di Q è k*m

[picchio]

quello intendevo affidarsi a qualcuno/pool per crearlo che richiede si la chiave pubblica ma non credo che la chiave privata non sia a rischio...e poi mi riferivo in parte anche a la feature piu stupida...

L'unico rischio lo corri quando la pool potrà permettersi un computer quantistico adeguato. Ossia in grado di passare dalla chiave pubblica alla chiave privata.

[duesoldi]

Ne parlavo con altri del forum recentemente: non esiste un metodo sicuro al 100% ma esistono molti metodi sicuri e facili da ricordare. Basta lavorare un po' di fantasia.....  
Ad esempio prendi una frase di un libro famoso (es. "Inferno", capitoloX, prima frase) e costruisci la pwd prendendo le prime lettere di ogni parola di quella prima frase.
Non ti ricorderai la frase, ma per ricostruire la pwd basta che ti ricordi di quale capitolo hai preso la prima frase, direi facilissimo da ricordare no ?
Non c'è il pericolo di perdere il libro - fuoco, allagamento, terremoto, .... -  perché tanto una qualsiasi altra copia avrebbe la stessa funzionalità per te. E nessuno sarebbe in grado di indovinarla visto che solo tu sapresti la regola che hai seguito (quale capitolo e  quale frase).
Secondo me è un metodo efficace e sicuro, e naturalmente è solo un'idea che chiunque può personalizzare cambiando piccole cose.

Non usate mai questi metodi. L'entropia con cui arriverete alla password finale è troppo bassa.

Bisogna distinguere 2 fasi:

1) scelta di una password (una stringa di 128 bit o quanti ne volete): NON deve essere mai una persona a farlo, usate un sofware wallet sconnesso dalla rete, un hardware wallet o un altro generatore di numeri pseudocasuali

2) scelta del formato in cui memorizzare la password: se deve essere facilmente memorizzabile da una persona, si prende una lista di parole e, con un metodo molto semplice tipo quello indicato nel bip39, quella password viene codificata in una sequenza di n parole. Tutto lì.

Ma fondere le due fasi, cioè costruire autonomamente la password scegliendo direttamente le parole da una lista (o le lettere da una lista di parole) non è mai una buona idea: in generale ogni semplice idea che ci viene per costruire una password viene anche all'aspirante hacker che ha a disposizione macchine molto potenti:  una idea umana = bassa entropia, non c'è nulla da fare. Penso che lavorare su un database di ogni libro scritto sia una delle prime cose a cui pensa chi vuole provare a violare qualche address bitcoin.

E' utile quindi semplificare solo il formato per ricordare la password, mai bisogna semplificare (= ridurre l'entropia) la fase di creazione della password stessa.

Dipende molto anche a che cosa serve la password: se è per accedere a un sito poco importante può bastare anche un metodo casalingo, ma se deve proteggere la mail principale o un wallet intero non è consigliabile affatto scegliere in prima persona la password.

Sinceramente non ho capito se stiamo parlando della stessa cosa o no, perché anche se qui parli chiaramente di un metodo che consiglieresti per creare una pwd (non un wallet), poi nel post successivo dove hai linkato il thread con gli interventi di gmaxwell  si fa invece spesso riferimento alla generazione di wallet.
La qual cosa sposterebbe di molto il discorso e sarebbe diversa dalla casistica per la quale facevo la mia proposta.
Per chiarezza: io mi riferivo a creare una pwd per un utilizzo generico (proteggere un file, un container,  .... protezione di un wallet)  non da usare come frase per generare un wallet.
La differenza è enorme perché proprio riprendendo quel che diceva gmaxwell, nel caso di uso per generare un wallet ti esporresti a parecchi rischi (quoto: dal suo post che hai quotato anche tu)

With a brainwallet, the moment you use it everyone in the world can begin cracking it-- in parallel with all other keys they are cracking at no extra cost.  They can also apply precomputed rainbow tables to try may of the passwords they tested in the past against it-- at low cost. They also can see the bounty attached to it.

ma questi rischi sono legati appunto alll'utilizzo di un wallet, NON li avresti se usassi quella stessa pwd per proteggere un wallet (o un container).
Per questo sottolineo la differenza e dicevo che non sono sicuro che stiamo parlando della stessa cosa.


Supponendo comunque che anche tu ti riferissi ad una pwd slegata alla generazione di un wallet, non vedo rischi specifici nel seguire un metodo come quello che proponevo.

Facciamo due rapidi conti spannometrici:

1) quanti libri sono stati scritti? boh, ma da qui  
https://www.lastampa.it/tecnologia/2010/08/06/news/quanti-libri-ci-sono-al-mondo-te-lo-dice-google-1.37003261
sembrerebbero essere almeno 130 mln
2) quante parole mediamente in un libro?  da qui
http://primadisvanire.it/2013/02/quante/   diciamo 20k in media  (per fare i conti facili)
3) lunghezza media di una parola? facciamo 10 sempre per fare i conti facili anche se probabilmente sarebbe inferiore

Quindi abbiamo un totale di 26 teracaratteri. Per semplicità diciamo quindi che questi libri non compressi occupano 26TB, ignoriamo cioè charset e compressioni varie.

Proseguiamo e cerchiamo di buttare giù una di quelle regole che dicevo:

4) prendo un capitolo y a caso (ovviamente fisso) del libro che ho scelto
5) prendo la prima frase di quel capitolo a patto che abbia almeno tot parole (diciamo 30 per sicurezza?) , se no scelgo un altra frase o un altro capitolo
6) prendo la x-esima lettera di ogni parola di quella frase  con x prefissato e scelto da me

Alla fine ti devi ricordare solo: libro + y + x , nient'altro.

Ora, non posso fare i conti perché non sono bravo a farli    però chiedo: su una base dati di 26TB quante sarebbero le combinazioni possibili di tutti gli elementi su detti?
Secondo me viene fuori un numero mooooooooooooolto grande, abbastanza da farmi dormire sonni più che tranquilli.

Aggiungo:
nei post di gmaxwell si da (giustamente) molto peso all'entropia, ma puoi introdurne una buona dose nel metodo descritto giocando su almeno due elementi:

- al punto 5) posso decidere di scartare le frasi con lunghezza inferiore ad un certo valore (e questo il metodo di calcolo brute force non potrebbe saperlo)

- al punto 6) posso sbizzarrirmi in cosa decidere di fare quando x > (lunghezza della i-esima parola). Esempio ho scelto x = 3, come considero la parola "LA" ? la scarto e quindi salto alla successiva? oppure prendo sempre l'ultima lettera? oppure..... avanti con la fantasia. Questo naturalmente per tutte le parole di quella frase.

Già questi due gradi di libertà introducono una buona dose di entropia nel sistema, eppure una volta stabiliti NON devo ricordare nulla in termini di parole, devo ricordare - di nuovo - solo la regola che mi sono dato.



Il vantaggio di questo metodo - vorrei ripeterlo se no non si capirebbe perché insistere rispetto a quel che riportavi - è che non ti obbliga a ricordare nessuna parola come invece dovresti fare nel caso che proponevi, vedi tuo punto 2)  - ma è sufficiente ricordare la regola con la quale hai creato la pwd.

Molto più facile da ricordare anche in età avanzata.


p.s. comunque molto interessante li thread che hai linkato, grazie....

[Plutosky]

Un bitcoin è una catena di firme digitali che va dalla/e coinbase fino all'indirizzo X. Questa sequenza è nella blockchain. Quindi la blockchain non si "limita a dire", è l'unico posto che ospita quella particolare informazione digitale che chiamiamo bitcoin.

Che cosa intendi tu altrimenti con "una certa quantità di bitcoin"? Dove sono i tuoi bitcoin? Dove sono tutti i 18 milioni di bitcoin minati finora?

Siamo un po' scesi sul filosofico e non voglio annoiare oltre con queste argomentazioni, ma per come la vedo io i bitcoin non “esistono” da nessuna parte, è moneta digitale, è come se ci domandassimo dove esistono gli euro che figurano sul conto corrente: da nessuna parte, sono solo un’annotazione su un registro.

Infatti quando si parla di “possesso” di btc, il termine è improprio: chi possiede btc in realtà non “possiede” nulla. L’unica cosa che possiede è la facoltà di spostare un numero (i btc) da un address ad un altro. Facoltà data dal possesso della chiave privata.

La blockchain serve solo a garantire che il mittente della transazione non si attribuisca denaro che non ha, ma per il resto per concludere la transazione tra due parti non servirebbe nemmeno la blockchain.

Possedere bitcoin , alla fine dei salmi, significa solo avere il potere di modificare una voce del registro. Per mantenere questo potere non serve energia elettrica.

In un mondo ideale dove tutti fossero onesti, bitcoin potrebbe funzionare anche senza una blockchain perché il registro pubblico sarebbe sempre uguale alla copia privata di ognuno. E’ di fatto quello che accade su LN dove l’aggiornamento del dare-avere avviene solo tra le parti.

La blockchain scatta delle fotografie ogni certo intervallo di tempo, che è una variabile aleatoria. Quindi è previsto che il processo di aggiornamento della blockchain (= creazione di un nuovo blocco) possa "fermarsi" anche per 2 o 3 ore. Certo che i bitcoin non scompaiono per poche ore di blackout, ma questo non è fare a meno della blockchain, è il suo modo naturale di funzionare.

Ferma l'aggiornamento della blockchain per 6 mesi e allora il discorso cambia.

In realtà non cambia. L'interruzione di corrente a livello mondiale per, diciamo, 1 anno impedirebbe a chiunque di attaccare/modificare la blockchain che resterebbe come "congelata". Chiunque potrebbe vedere, dall'ultima copia del registro, che io sono autorizzato a spendere i bitcoin associati al mio address. L'assenza di un registro on line durante il periodo di black out non pregiudicherebbe il mio diritto sui i soldi che possiedo, fin quando conservo al sicuro la mia private key. Certo, il valore in dollari crollerebbe per l'impossibilità a spostare i btc ( soprattutto se il black out fosse improvviso e non programmato) , ma questo è un altro discorso.

[Paolo.Demidov]

paolo ma adesso quello scenario (capitato) ha delle mitigations

fai un wallet multi-sig con 4 attori con fondi sbloccabili da 3 attori
es: fondi di famiglia
attori con chiave:
- marito
- moglie
- amico intimo
- notaio


solo 3 possono sbloccare i fondi
se viene a mancare la moglie (o il marito) gli altri tre, possedendo di fatto un file possono sbloccare i fondi
e' molto piu facile delle attuali procedure di successione

Non sono tanti quelli che si preoccupano della successione...

Per il resto... confidiamo nell'elevato tenore della stupidità mondiale 

[arulbero]

Sinceramente non ho capito se stiamo parlando della stessa cosa o no, perché anche se qui parli chiaramente di un metodo che consiglieresti per creare una pwd (non un wallet), poi nel post successivo dove hai linkato il thread con gli interventi di gmaxwell  si fa invece spesso riferimento alla generazione di wallet.
La qual cosa sposterebbe di molto il discorso e sarebbe diversa dalla casistica per la quale facevo la mia proposta.
Per chiarezza: io mi riferivo a creare una pwd per un utilizzo generico (proteggere un file, un container,  .... protezione di un wallet)  non da usare come frase per generare un wallet.

Sì, ho un po' mescolato le due cose (seed wallet con password generica) ma solo per evidenziare il seguente punto:

insieme di regole facili da ricordare  = bassa entropia

Chiaro che se ti basta una password con poca entropia il tuo metodo può essere sufficiente, ma stai usando molta meno entropia di quello che credevi. Avevo letto tempo fa che l'entropia di una frase presa a caso su un libro dovrebbe essere di circa 30 bit o giù di lì (ma potrei sbagliarmi).

In ogni caso applicare un metodo proprio ha la grave carenza che poi è molto difficile quantificarne la sicurezza (di solito la si sovrastima e di parecchio).

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Io faccio così ultimamente per generare una password qualsiasi:

1) faccio generare al computer un numero a caso di 256 bit
2) codifico con "python-mnemonic" il numero casuale (python-mnemonic è riferito a bip39, è un tool a riga di comando che fa la stessa cosa di https://iancoleman.io/bip39/ e il suo funzionamento è illustrato in questa immagine)
3) mi limito a prendere le prime n parole (in base all'entropia cercata)

Esempio pratico (da terminale linux):

Code:

$ hexdump -n 20  -e '8/4 "%08X"' /dev/urandom >  python3  mnemonic.py

lorenzo notturno narciso azzurro cortese dipolo pudica sinistro aliante ninfa asciutto vitello satellite sposo accadere tumulto focaccia afoso mantide guidare garzone bilancia patologia vile

dove l'output di hexdump è un valore casuale di 32 byte che non stampo neanche a video ma qui riporto per chiarezza:

Code:

$ hexdump -n 32  -e '8/4 "%08X"' /dev/urandom
74D16E1C0B932A796ACE8506F138497E0C0FB3C0477153E081E5B1A5B439A6B7

A questo punto scelgo: quanto voglio che sia la sicurezza della password?

Poichè la lista di parole è di 2048 = 2^11, se mi bastano 66 bit di entropia prendo le prime 6 parole: (2^11)^6 = 2^66 (in realtà è un po' meno, sto semplificando la sequenza: 2^11 * (2^11 - 1) * (2^11 - 2) * (2^11 - 3) * (2^11 - 4) * (2^11 - 5))

Posso così affermare con ragionevole sicurezza che la passphrase

"lorenzo notturno narciso azzurro cortese dipolo"

ha entropia 66 bit. Se voglio invece circa 100 bit di entropia prendo le prime 9 parole e così via.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Lo so che è più facile memorizzare un metodo semplice come il tuo anzichè 6 parole così 'casuali', ma questo avviene per un unico motivo:
poichè l'entropia nei due casi è molto diversa. E' facile pensare che non sia così ma lo è.

Ogni volta che per te è facile recuperare una tua password, lo è anche per me attaccante, e questo perchè vuol dire che hai ridotto di molto le azioni necessarie per indovinare/recuperare la tua password.

Spero di non aver creato troppa confusione...  


EDIT:

Ad esempio già in questo passo:

Proseguiamo e cerchiamo di buttare giù una di quelle regole che dicevo:

4) prendo un capitolo y a caso (ovviamente fisso) del libro che ho scelto

stai affermando che sei in grado si scegliere un capitolo veramente a caso.

Se così fosse, perchè nessuno di noi sceglie un numero a caso tra 1 e 2^256 come chiave privata per il proprio wallet? In fondo basta scegliere 64 caratteri esadecimali a caso. Perchè non siamo in grado di scegliere a caso. Se ogni persona (siamo in 8 miliardi) facesse così, probabilmente pescheremmo tutti all'interno di un bacino alquanto ridotto di possibilità, non sfrutteremmo assolutamente lo spazio di 2^256 possibilità diverse all'interno delle quali 'pensiamo' di stare operando.

Come ultima annotazione, in generale fondare la sicurezza sulla segretezza del metodo anzichè sulla generazione veramente casuale del seed/chiave/password non è consigliato.
La pratica di rendere pubbliche le specifiche degli algoritmi deriva dall'accettazione del principio di Kerckhoffs formulato da Auguste Kerckhoffs nel 1880 e conosciuto anche come massima di Shannon. Questo principio afferma che bisogna dare per scontato che l'attaccante conosca perfettamente l'algoritmo crittografico e che quindi la sicurezza del messaggio deve dipendere unicamente dalla bontà della chiave.

Anche nella creazione di una password è meglio che sia chiara e pubblica la procedura di creazione e nello stesso tempo molto sicura la sorgente di entropia da cui si parte. Rendere oscura la procedura sperando di renderla più difficile agli occhi altrui e parallelamente più semplice da ricordare per noi è una strategia che non paga.

Il principio di Kerckhoffs --> https://it.wikipedia.org/wiki/Principio_di_Kerckhoffs è esattamente opposto al principio che stai applicando tu, detto principio della sicurezza mediante segretezza https://it.wikipedia.org/wiki/Sicurezza_tramite_segretezza

[arulbero]

Un bitcoin è una catena di firme digitali che va dalla/e coinbase fino all'indirizzo X. Questa sequenza è nella blockchain. Quindi la blockchain non si "limita a dire", è l'unico posto che ospita quella particolare informazione digitale che chiamiamo bitcoin.

Che cosa intendi tu altrimenti con "una certa quantità di bitcoin"? Dove sono i tuoi bitcoin? Dove sono tutti i 18 milioni di bitcoin minati finora?

Siamo un po' scesi sul filosofico e non voglio annoiare oltre con queste argomentazioni, ma per come la vedo io i bitcoin non “esistono” da nessuna parte, è moneta digitale, è come se ci domandassimo dove esistono gli euro che figurano sul conto corrente: da nessuna parte, sono solo un’annotazione su un registro.

Infatti quando si parla di “possesso” di btc, il termine è improprio: chi possiede btc in realtà non “possiede” nulla. L’unica cosa che possiede è la facoltà di spostare un numero (i btc) da un address ad un altro. Facoltà data dal possesso della chiave privata.

La blockchain serve solo a garantire che il mittente della transazione non si attribuisca denaro che non ha, ma per il resto per concludere la transazione tra due parti non servirebbe nemmeno la blockchain.

Possedere bitcoin , alla fine dei salmi, significa solo avere il potere di modificare una voce del registro. Per mantenere questo potere non serve energia elettrica.

Io non mi annoio, ma effettivamente siamo fuori tema. Non è però interessante che in un forum su bitcoin, dopo aver parlato tantissimo di bitcoin, nel momento stesso in cui dobbiamo definire l'ovvio: "che cos'è un bitcoin?" abbiamo immagini nella testa e quindi risposte del tutto diverse?

Per me sì, è molto interessante  

[jqprez]

Un bitcoin è una catena di firme digitali che va dalla/e coinbase fino all'indirizzo X. Questa sequenza è nella blockchain. Quindi la blockchain non si "limita a dire", è l'unico posto che ospita quella particolare informazione digitale che chiamiamo bitcoin.

Che cosa intendi tu altrimenti con "una certa quantità di bitcoin"? Dove sono i tuoi bitcoin? Dove sono tutti i 18 milioni di bitcoin minati finora?

Siamo un po' scesi sul filosofico e non voglio annoiare oltre con queste argomentazioni, ma per come la vedo io i bitcoin non “esistono” da nessuna parte, è moneta digitale, è come se ci domandassimo dove esistono gli euro che figurano sul conto corrente: da nessuna parte, sono solo un’annotazione su un registro.

Infatti quando si parla di “possesso” di btc, il termine è improprio: chi possiede btc in realtà non “possiede” nulla. L’unica cosa che possiede è la facoltà di spostare un numero (i btc) da un address ad un altro. Facoltà data dal possesso della chiave privata.

La blockchain serve solo a garantire che il mittente della transazione non si attribuisca denaro che non ha, ma per il resto per concludere la transazione tra due parti non servirebbe nemmeno la blockchain.

Possedere bitcoin , alla fine dei salmi, significa solo avere il potere di modificare una voce del registro. Per mantenere questo potere non serve energia elettrica.

Io non mi annoio, ma effettivamente siamo fuori tema. Non è però interessante che in un forum su bitcoin, dopo aver parlato tantissimo di bitcoin, nel momento stesso in cui dobbiamo definire l'ovvio: "che cos'è un bitcoin?" abbiamo immagini nella testa e quindi risposte del tutto diverse?

Per me sì, è molto interessante  

In effetti noi non possediamo i bitcoin ma solo le chiavi per poterli spostare. I bitcoin vengono prodotti ( 18 mln ) e sono sulla blockchain su cui si verifica che tot bitcoin sono spostabili esattamente con la chiave pubblica X, che a sua volta, è utilizzabile mediante la chiave privata Y

[duesoldi]

Proseguiamo e cerchiamo di buttare giù una di quelle regole che dicevo:

4) prendo un capitolo y a caso (ovviamente fisso) del libro che ho scelto

stai affermando che sei in grado si scegliere un capitolo veramente a caso.

Dicendo "a caso" intendevo dire che non aveva particolare rilevanza la scelta di quel capitolo rispetto ad un altro. E' stata una scelta di vocabolo poco felice - se vuoi - ma il concetto era che non aveva rilevanza prendere il primo piuttosto che il secondo o un qualsiasi altro.
Tant'è che poi in seguito dicevo anche:

- al punto 5) posso decidere di scartare le frasi con lunghezza inferiore ad un certo valore (e questo il metodo di calcolo brute force non potrebbe saperlo)

Come ultima annotazione, in generale fondare la sicurezza sulla segretezza del metodo anzichè sulla generazione veramente casuale del seed/chiave/password non è consigliato.
La pratica di rendere pubbliche le specifiche degli algoritmi deriva dall'accettazione del principio di Kerckhoffs formulato da Auguste Kerckhoffs nel 1880 e conosciuto anche come massima di Shannon. Questo principio afferma che bisogna dare per scontato che l'attaccante conosca perfettamente l'algoritmo crittografico e che quindi la sicurezza del messaggio deve dipendere unicamente dalla bontà della chiave.

Anche nella creazione di una password è meglio che sia chiara e pubblica la procedura di creazione e nello stesso tempo molto sicura la sorgente di entropia da cui si parte. Rendere oscura la procedura sperando di renderla più difficile agli occhi altrui e parallelamente più semplice da ricordare per noi è una strategia che non paga.

Il principio di Kerckhoffs --> https://it.wikipedia.org/wiki/Principio_di_Kerckhoffs è esattamente opposto al principio che stai applicando tu, detto principio della sicurezza mediante segretezza https://it.wikipedia.org/wiki/Sicurezza_tramite_segretezza

Sono principi noti (li ricordo anche citati in un corso universitario.... ma troppi anni fa!  )  però anche nel link che hai postato  ( https://it.wikipedia.org/wiki/Principio_di_Kerckhoffs ) viene detto che pur essendo universalmente riconosciuti ci sono anche alcuni distinguo.
Ad esempio copio e incollo una parte (ma ritrovi lo stesso concetto anche più avanti sempre nel link wikipedia):

Considerazioni odierne

Un cambiamento odierno al principio di Kerckhoffs idealizza che la sicurezza di un crittosistema dovrebbe dipendere esclusivamente dalla segretezza della chiave e da un randomizzatore privato. Si può dire dunque che un metodo per decifrare e trasmettere informazioni segretamente dovrebbe essere sicuro anche se tutti sono a conoscenza del suo funzionamento. Sicuramente gli attaccanti hanno più familiarità col sistema in questione, ma mancheranno di conoscenza quando dovranno approcciarsi con tutte le possibili istanze che gli vengono presentate dal sistema.

Alcuni crittografi non sono d'accordo con questo e controbattono sul fatto che Kerckhoffs sentisse la necessità di mantenere segreta la chiave. Un altro fattore discordante è dato dal fatto che non si è sicuri della contrarietà di Kerckhoffs al mantenere "segreti" altri componenti del sistema di crittografia (tabelle, protocolli, algoritmi, ecc.) fintanto che il sistema rimane "indecifrabile".

E così via.
La sintesi di questo è che ci posso essere "altre vie" per ottenere lo stesso livello di sicurezza rispetto all'assolutezza del principio di k.

Mi spiego riprendendo il metodo che descrivevo ieri.

Ipotesi a)  rendo pubblico il metodo di calcolo (algoritmo) in ossequio al principio di k

Se facessi questo, la pwd che avessi scelto con il metodo descritto ieri verrebbe "indovinata" in pochissimi secondi perché anche a fronte di una base dati non piccola (26 TB), fissati y e x mi basterebbe applicare una scansione lineare e usare un banale algoritmo di pattern matching per trovare la pwd davvero in pochi secondi.
Oltre tutto - cosa ancor più grave - la ricerca sarebbe lineare quindi se anche aumentassi il db sottostante (quello dei 26 TB) la pwd la troverei comunque con un aumento di tempo lineare, quindi in questo caso irrisorio.
Perciò se rendessi noto l'algoritmo, per mantenere la sicurezza dovrei complicarlo un po' e introdurre altre variabili scelte da me, quindi non più solo libro + y + x  ma nuove variabili aggiuntive (che lascio alla fantasia, l'importante sarebbe il loro numero, non la regola nel definirle).
In questo scenario quindi la sicurezza deriverebbe dal fatto che pur essendo noto l'algoritmo, aumentando le variabili in gioco riuscirei ad aumentare il tempo di calcolo (brute force o analisi statistica) in modo da rendere nel concreto impraticabile la ricerca della pwd.
Certo in questo caso mi allontanerei un po' da quello che era lo scopo iniziale di non voler memorizzare le parole del seed ma di dover ricordare una regola e pochi valori di variabili, perché questi pochi valori potrebbero non essere più "così pochi" come avevo desiderato.
Certamente però aumentando queste variabili riuscirei ad arrivare ad un insieme tale (senza crearne 20, ovvio!) da rendere impraticabile il calcolo a forza bruta.


Vediamo invece l'
Ipotesi b)  NON rendo pubblico il metodo di calcolo (algoritmo)

in questo caso invece mi basterebbe tenere la semplice regola che dicevo ieri, o al più aggiungere un'ulteriore variabile per rendere impossibile qualsiasi attacco brute force. E con impossibile intendo proprio impossibile, o almeno l'"impossibile" che tutti noi accettiamo quando affidiamo (consapevolmente) la sicurezza dei Btc non alla certezza matematica del fatto che io non possa trovare una tua k privata, ma al calcolo delle probabilità che dice che io ho una probabilità talmente bassa di indovinare quella k da rendere per te "certa" la possibilità di mantenerne il controllo esclusivo.
Da cosa nasce questa sicurezza? beh dal fatto che se l'algoritmo non fosse noto, fin da subito un attaccante dovrebbe partire con un insieme di combinazioni tali da rendere impossibile un attacco su una base dati di 26 TB (attenzione questo è un fattore fondamentale perché se la base dati fosse piccola il discorso cadrebbe).
Cosa intendo con "rendere impossibile un attacco"? intendo che sarebbe impossibile con gli attuali sistemi di computer (quindi escludendo quantum e quant'altro possa essere fronte di ricerca) in qualsiasi scala/dimensione possa cercare di portare l'attacco. Non sarebbe possibile.


In senso assoluto non sto qui a discutere sulla bontà del mio metodo rispetto a quello che proponi (non è mica una sfida!  )  o rispetto a quello che la letteratura suggerisce oggi di fare: ad esempio per creare un wallet esistono metodo noti e consolidati... quindi dico: usiamo quelli, non voglio mica riscoprire l'acqua calda!
Però per altre necessità - come appunto il creare una pwd anche per cose importanti da proteggere - io non vedo particolari problemi nel farlo con metodi alternativi (i.e. "il mio") a patto di scegliere con oculatezza il metodo. E quando dico con oculatezza intendo dire che se seguissi quello descritto e non rendessi noto il metodo, OGGI non ci sarebbero santi in grado di indovinare la pwd (salvo rapirmi per farmi "cantare", ma questo è un altro film....).



(interessante il metodo che hai descritto e molto utile il link che descrive bene nel grafico il processo bip39 )