Sigurnost walleta

[slackovic]

Budući sam jučer imao nezgodu s jednim (sva sreća ne glavnim) walletom, odlučio sam napisati jedan post o sigurnosti. Kripto svijet je još uvijek relativno nereguliran i kad vam netko "očisti" wallet, ne može se napraviti skoro ništa osim gledati svoj ETH, BTC ili neku treću kripto valutu na tuđem walletu. Ali zato se takav scenarij može spriječiti. I ne, nemojte razmišljati "pa neće se valjda meni dogoditi". Tako sam i ja razmišljao (pogotovo jer sam IT-evac pa sam imao stav "tko meni išta može"). Zaštita kripto walleta je ustvari jednostavna - treba spriječiti da netko sazna private key od walleta. Najjednostavnije je nabrojati razne načine kako se zaštiti, a ja ću krenuti od najsigurnijih pa prema najmanje sigurnim načinima.


1. Hardware wallet

Ledger Nano S hardware wallet

Hardware wallet je po mojem mišljenju najsigurnija metoda zaštite walleta. Radi se o uređaju na kojem je fizički potrebno pritisnuti tipku da bi se odobrila transakcija. Private key u niti jednom trenutku "ne izlazi" iz uređaja pa tako čak ni vlasnik uređaja ne zna koji je private key njegovog walleta. Najpopularniji uređaji su: Ledger i Trezor. Oba proizvođača imaju više proizvoda. Ja osobno koristim Ledger Nano S i jako sam zadovoljan (ne, nije mi hakiran Ledger wallet nego MetaMask wallet - za više detalja pogledajte drugu temu). U slučaju kvara ili krađe uređaja, kupi se drugi uređaj i svi walleti se vrate pomoću recovery seed (skupina riječi koja se dobije kod prvog pokretanja uređaja).
Jedina mana koja mi pada na pamet je to što se ne može koristiti wallet za sve valute nego samo za one za koje postoji softver. Tako ja još uvijek čekam podršku za Cardano (ADA) na Ledger walletu.
Dodatni nedostatak (ne bih bar rekao mana) je što je hardware wallet jedini kojeg treba platiti (ipak se kupuje uređaj kojeg je netko trebao prizvesti). Zbog toga svatko za sebe treba procijeniti u kojem trenutku je dobro dati npr. 100 eura za Ledger Nano S. Sigurno nitko na uređaju od 100 eura neće držati kripto u vrijednosti 200 eura.

Korisni linkovi:

• Ledger
• Trezor

2. Paper wallet

Bitcoin paper wallet

Paper wallet je ništa drugo nego komad papira na kojem su napisani podaci o walletu. Postoje rasprave je li paper wallet sigurniji od hardware walleta ili nije, ali ja ipak smatram da nije. Ako paper wallet netko ukrade, vrlo lako može doći do private key-a, a kod hardware walleta ipak postoji dodatna razina zaštite - PIN.
Paper wallet se najčešće koristi za sredstva koja korisnik planira dugoročno držati na walletu jer čim se private key s paper walleta upotrijebi za prijenos sredstava, taj paper wallet postaje nesiguran (jer je private key dospio online i samim time paper wallet gubi svoj smisao). Zbog toga korisnici paper walleta kod prebacivanja sredstava prebacuju sva sredstva (tzv. wallet sweep) na drugi wallet. Naravno, dio sredstava se može poslati na jedan wallet (npr. na burzu), a ostatak na drugi paper wallet. Bitno da se sredstva ne ostavljaju na paper walletu nakon što je private key jednom iskorišten.

Korisni linkovi:

• Kako napraviti BTC paper wallet
• Kako napraviti ETH paper wallet

*VAŽNO: Za još veću sigurnost, paper wallet bi se UVIJEK trebao raditi na čistom računalu (znači računalo koje nema instalirane kojekakve programe uz koje bi mogao biti i virus/keylogger/trojan) koje nije spojeno na Internet.


3. Add-ons za preglednike

Ovaj način zaštite walleta je siguran koliko je sigurno računalo na kojem se koristi. Recimo, meni je u jedan takav wallet provaljeno neki dan (link na početku posta) jer sam se malo "zaigrao". Inače, jedan od najpopularnijih dodataka je MetaMask. Instalira se na Chrome, Firefox ili Operu (na službenoj stranici metamask.io nema informacije o dodatku za Microsoft preglednike IE i Edge) i kod svake transakcije otvara se prozor u kojem se (nakon što se upiše lozinka za ulazak u MetaMask) potvrđuje transakcija. Slično kao kod hardware walleta, samo što se lozinka za MetaMask (ili bilo koji drugi wallet) upisuje preko tipkovnice. Zbog toga su ovakvi walleti ranjivi na razne keyloggere, viruse, trojance i slične informatičke gadosti.

Korisni linkovi:

• MetaMask
• JAXX wallet

4. USB stickovi

Dosta ljudi koristi USB stickove za spremanje private key-a. To je dosta nesigurno jer se private key mora copy&paste-ati na stranicu na Internetu (npr. MyEtherWallet). Vrlo često sam vidio da ljudi u žurbi umjesto adrese walleta copy&paste-aju njegov private key. Ako se to dogodi, odmah i bez odgađanja treba sva sredstva s tog walleta prebaciti na neki drugi sigurni wallet. U suprotnom će netko kad-tad shvatiti da se radi o private key-u i pokupiti sva sredstva s walleta. Inače, od private key-a se lako može doznati adresa walleta ali suprotno (da se iz adrese sazna private key), logično, ne vrijedi.
Za one koji su ipak odlučili na ovaj način čuvati svoje private key-eve imam jedan savjet. Koristite BitLocker enkripciju da bi zaštitili sadržaj USB sticka. Ovdje su upute kako to napraviti. Bitno je napomenuti da obavezno spremite recovery key na sigurno mjesto (kod postavljanja BitLocker zaštite Windows će vam ponuditi da spremite recovery key). Najbolje ga je isprintati i spremiti negdje na sigurno. Za pristup USB sticku koristi se lozinka, a recovery key se koristi u slučaju da se BitLocker zaštita želi maknuti. Upravo zbog toga što Recovery Key nije potreban za korištenje USB sticka, najbolje ga je isprintati i spremiti na sigurno (npr. sef). Naravno, uvijek postoji mogućnost da ćete izgubiti USB stick (u tom slučaju nalaznik bez šifre može jedino formatirati stick; do podatak ne može) pa je sve private key-eve koje imate na njemu pametno spremiti još negdje (npr. isti onaj sef gdje vam je i recovery key).


Zaključak
Još jednom ću ovo napisati... Shvatite zaštitu vašeg walleta ozbiljno, naročito ako im je vrijednost velika. Ako neki coin ili token ne koristite za trejdanje, nemojte ga ostavljati na burzi. Radije skinite službeni wallet i čuvajte ga na njemu (većina službenih walleta se isto tako može pohraniti na USB stick). Ako trejdate, trejdate pametno i na burzama koje su koliko-toliko poznate (iako je u prošlosti bilo primjera krađe kripto sredstava s poznatih burzi).
I još nešto... Nikad, ali BAŠ NIKAD nemojte razmišljati "ma neće se to meni dogoditi". Dovoljna je sekunda nepažnje, instalacija nekog naizgled bezazlenog freeware programa da se dogodi sranje.

[marinko9]

Odličan članak! Hvala što si podijelio sve to s nama. Ja upravo gledam koji bih wallet najbolje iskoristio za pohranu Monera. Sviđa mi se hardverski Ledger Nano S, ali mi nisu baš jasni oko Monero podrške. Koliko sam čitao na njihovoj stranici, Monero nije naveden kao prodržan, a nije mi niti jasno hoće li i biti u potpunosti podržan ili ne te da li da čekam da se Monero podrži ili da skinem instalaciju sa getmonero.org/downloads/. Ne znam ima li tko da ima iskustva što bi bilo najbolje za čuvanje Monera?

[CryptoCoinArbitrage]

Za čuvanje vrednih coina neizbežno je uzeti Ledger Nano S.
Moji walleti su otvoreni na MyEtherWallet-u, ali transakcije radim isključivo na mobilnom telefonu. Od aplikacije koristim imToken i Trust. Na mobilnom ima antivirus (kupljeni, nikako Free), u aplikacije ulazim sa Fingerprintom a kod transakcije uvek se traži dodatna lozinka.
Koristim kompleksne lozinke od preko 20 karaktera. Lozinku stavljam copy - paste ali, npr. 5,11,22 karaker ubacujem ručno (oni fale u lozinci), da bi izbegao mogućnost da mi se očita lozinka copy - paste.
Mislim da je ovo zadovoljavajući način zaštite za sada.

[RegulusHr]

Za čuvanje vrednih coina neizbežno je uzeti Ledger Nano S.
Moji walleti su otvoreni na MyEtherWallet-u, ali transakcije radim isključivo na mobilnom telefonu. Od aplikacije koristim imToken i Trust. Na mobilnom ima antivirus (kupljeni, nikako Free), u aplikacije ulazim sa Fingerprintom a kod transakcije uvek se traži dodatna lozinka.
Koristim kompleksne lozinke od preko 20 karaktera. Lozinku stavljam copy - paste ali, npr. 5,11,22 karaker ubacujem ručno (oni fale u lozinci), da bi izbegao mogućnost da mi se očita lozinka copy - paste.
Za sada mislim da je dosta siguran način zaštite.

Ova ideja sa dodatnom sigurnošću kroz dodavanje još par karaktera koji nisu copy pase mi se baš sviđa.

[eroejoe]

Ako koristite MEGA Chrome ekstenziju 3.39.4, prestanite ju koristiti, promjenite važne šifre, prebacite sredstva, ta verzija ekstenzije prikuplja informacije s kojima se prijavljujete na Google, Facebook, MyEtherWallet, MyMonero, Github, Microsoft Live i moguće neke druge.

Reddit -> The MEGA Chrome extension has been compromised and includes functionality to steal your cryptocurrency

[xxxgbxxx]

Dobar post

[I.Grozni]

Odličan članak! Hvala što si podijelio sve to s nama. Ja upravo gledam koji bih wallet najbolje iskoristio za pohranu Monera. Sviđa mi se hardverski Ledger Nano S, ali mi nisu baš jasni oko Monero podrške. Koliko sam čitao na njihovoj stranici, Monero nije naveden kao prodržan, a nije mi niti jasno hoće li i biti u potpunosti podržan ili ne te da li da čekam da se Monero podrži ili da skinem instalaciju sa getmonero.org/downloads/. Ne znam ima li tko da ima iskustva što bi bilo najbolje za čuvanje Monera?

Svi ozbiljni walleti imaju problem s Monerom jer za Monero ne postoji light wallet. Coinomi radi već duže od godinu dana u suradnji s Monerovim programerima da naprave siguran Monero light wallet, a da svaki korisnik walleta ima svoju passphrase i svoje privatne klučeve. Za sve postojeće wallete ili treba skinuti cijeli blockchain ili korisnik nije u posjedu svog novčanika (poput Freewalleta) izuzev My Monero web wallet. Znači ništa od ležernog korištenja na mobitelu ili tabletu, ako želiš stvarno biti u posjedu svog novčanika.

[slackovic]

Odličan članak! Hvala što si podijelio sve to s nama. Ja upravo gledam koji bih wallet najbolje iskoristio za pohranu Monera. Sviđa mi se hardverski Ledger Nano S, ali mi nisu baš jasni oko Monero podrške. Koliko sam čitao na njihovoj stranici, Monero nije naveden kao prodržan, a nije mi niti jasno hoće li i biti u potpunosti podržan ili ne te da li da čekam da se Monero podrži ili da skinem instalaciju sa getmonero.org/downloads/. Ne znam ima li tko da ima iskustva što bi bilo najbolje za čuvanje Monera?

Svi ozbiljni walleti imaju problem s Monerom jer za Monero ne postoji light wallet. Coinomi radi već duže od godinu dana u suradnji s Monerovim programerima da naprave siguran Monero light wallet, a da svaki korisnik walleta ima svoju passphrase i svoje privatne klučeve. Za sve postojeće wallete ili treba skinuti cijeli blockchain ili korisnik nije u posjedu svog novčanika (poput Freewalleta) izuzev My Monero web wallet. Znači ništa od ležernog korištenja na mobitelu ili tabletu, ako želiš stvarno biti u posjedu svog novčanika.

Ne razumijem to kompliciranje... "Mass adoption" se ne može dogoditi dokle god je teško i komplicirano imati kupljeni coin na svom walletu. I da se razumijemo, prosječnom korisniku kojem računalo služi za čitanje vijesti i slanje mailova je instalacija nekog softvera i skidanje cijelog blockchaina iznimno komplicirano. Naravno, u ovom slučaju mislim na Monero jer većina drugih projekata ima vrlo dobre mobilne wallete gdje je prilično jednostavno poslati i primiti coin ili token.

[marinko9]

Odličan članak! Hvala što si podijelio sve to s nama. Ja upravo gledam koji bih wallet najbolje iskoristio za pohranu Monera. Sviđa mi se hardverski Ledger Nano S, ali mi nisu baš jasni oko Monero podrške. Koliko sam čitao na njihovoj stranici, Monero nije naveden kao prodržan, a nije mi niti jasno hoće li i biti u potpunosti podržan ili ne te da li da čekam da se Monero podrži ili da skinem instalaciju sa getmonero.org/downloads/. Ne znam ima li tko da ima iskustva što bi bilo najbolje za čuvanje Monera?

Svi ozbiljni walleti imaju problem s Monerom jer za Monero ne postoji light wallet. Coinomi radi već duže od godinu dana u suradnji s Monerovim programerima da naprave siguran Monero light wallet, a da svaki korisnik walleta ima svoju passphrase i svoje privatne klučeve. Za sve postojeće wallete ili treba skinuti cijeli blockchain ili korisnik nije u posjedu svog novčanika (poput Freewalleta) izuzev My Monero web wallet. Znači ništa od ležernog korištenja na mobitelu ili tabletu, ako želiš stvarno biti u posjedu svog novčanika.

Ne razumijem to kompliciranje... "Mass adoption" se ne može dogoditi dokle god je teško i komplicirano imati kupljeni coin na svom walletu. I da se razumijemo, prosječnom korisniku kojem računalo služi za čitanje vijesti i slanje mailova je instalacija nekog softvera i skidanje cijelog blockchaina iznimno komplicirano. Naravno, u ovom slučaju mislim na Monero jer većina drugih projekata ima vrlo dobre mobilne wallete gdje je prilično jednostavno poslati i primiti coin ili token.

Očito da to za Monero nije lako izvesti. Ajde, nadajmo se da će taj Coinomi i podržati Monero uskoro. Moneru je tako nešto prijeko potrebno!

[ojzika]

Hvala na puno informacije!

[ZeljkoNemet]

Novi ICO za koji radim Gigzi planira ubaciti biometric security u kripto (odnosno hardware walete koji ce se otkljucavati skeniranjem oka).

Izrada ovoga je u toku vec su skontali kako da od zenice oka kreiraju unique key. Prednost ovoga je sto je ovo bukvalno jedini wallet koji nije hackabilan uopste, jer je svaka zanica razlicita i svako ce imati unique key.

Cak i da izgubite/neko vam ukrade wallet niko nece moci da ga otkljuca sem naravno ukoliko vam je izvadio oko xD Dobra stvar je takodje sto cete moci da porucite novi walet i ponovo ga otkljucate bez ikakvih problema

[EustaceBagge]

Novi ICO za koji radim Gigzi planira ubaciti biometric security u kripto (odnosno hardware walete koji ce se otkljucavati skeniranjem oka).

Izrada ovoga je u toku vec su skontali kako da od zenice oka kreiraju unique key. Prednost ovoga je sto je ovo bukvalno jedini wallet koji nije hackabilan uopste, jer je svaka zanica razlicita i svako ce imati unique key.

Cak i da izgubite/neko vam ukrade wallet niko nece moci da ga otkljuca sem naravno ukoliko vam je izvadio oko xD Dobra stvar je takodje sto cete moci da porucite novi walet i ponovo ga otkljucate bez ikakvih problema

A što ako te otmu i prisile da ga pogledaš? Vrlo lako mogu zamisliti takav scenarij.

[slackovic]

Novi ICO za koji radim Gigzi planira ubaciti biometric security u kripto (odnosno hardware walete koji ce se otkljucavati skeniranjem oka).

Izrada ovoga je u toku vec su skontali kako da od zenice oka kreiraju unique key. Prednost ovoga je sto je ovo bukvalno jedini wallet koji nije hackabilan uopste, jer je svaka zanica razlicita i svako ce imati unique key.

Cak i da izgubite/neko vam ukrade wallet niko nece moci da ga otkljuca sem naravno ukoliko vam je izvadio oko xD Dobra stvar je takodje sto cete moci da porucite novi walet i ponovo ga otkljucate bez ikakvih problema

A što ako te otmu i prisile da ga pogledaš? Vrlo lako mogu zamisliti takav scenarij.

Protiv takvog načina krađe nema zaštite. Ako te otmu, mogu te prisiliti da uđeš u wallet na bilo koji način. Eventualno mi pada na pamet (za ovaj wallet kojeg ZeljkoNemet spominje) jedan zanimljiv feature - u glavni wallet ulaziš tako da skeniraš desno oko, a u "lažni" wallet (koji ima vrlo malo love) ulaziš skeniranjem lijevog oka. Na taj način čak i ako te netko otme, možeš ući u lažni wallet i pokazati mu da nemaš para. Jedino ako otmičar zna da imaš para... Tu te ništa ne može spasiti.

[Trofo]

Novi ICO za koji radim Gigzi planira ubaciti biometric security u kripto (odnosno hardware walete koji ce se otkljucavati skeniranjem oka).

Izrada ovoga je u toku vec su skontali kako da od zenice oka kreiraju unique key. Prednost ovoga je sto je ovo bukvalno jedini wallet koji nije hackabilan uopste, jer je svaka zanica razlicita i svako ce imati unique key.

Cak i da izgubite/neko vam ukrade wallet niko nece moci da ga otkljuca sem naravno ukoliko vam je izvadio oko xD Dobra stvar je takodje sto cete moci da porucite novi walet i ponovo ga otkljucate bez ikakvih problema

A što ako te otmu i prisile da ga pogledaš? Vrlo lako mogu zamisliti takav scenarij.

Protiv takvog načina krađe nema zaštite. Ako te otmu, mogu te prisiliti da uđeš u wallet na bilo koji način. Eventualno mi pada na pamet (za ovaj wallet kojeg ZeljkoNemet spominje) jedan zanimljiv feature - u glavni wallet ulaziš tako da skeniraš desno oko, a u "lažni" wallet (koji ima vrlo malo love) ulaziš skeniranjem lijevog oka. Na taj način čak i ako te netko otme, možeš ući u lažni wallet i pokazati mu da nemaš para. Jedino ako otmičar zna da imaš para... Tu te ništa ne može spasiti.

Pa šta nije da već postoji tako nekakva opcija na nekom harware walletu? Tipa imaš dvije šifre i ako te otmu daš onu koja vodi na lažni račun na kojem držiš neki mani iznos love kako bi izgledalo uvjerljivo. Ko da sam čitao nešto o tome.

[slackovic]

Novi ICO za koji radim Gigzi planira ubaciti biometric security u kripto (odnosno hardware walete koji ce se otkljucavati skeniranjem oka).

Izrada ovoga je u toku vec su skontali kako da od zenice oka kreiraju unique key. Prednost ovoga je sto je ovo bukvalno jedini wallet koji nije hackabilan uopste, jer je svaka zanica razlicita i svako ce imati unique key.

Cak i da izgubite/neko vam ukrade wallet niko nece moci da ga otkljuca sem naravno ukoliko vam je izvadio oko xD Dobra stvar je takodje sto cete moci da porucite novi walet i ponovo ga otkljucate bez ikakvih problema

A što ako te otmu i prisile da ga pogledaš? Vrlo lako mogu zamisliti takav scenarij.

Protiv takvog načina krađe nema zaštite. Ako te otmu, mogu te prisiliti da uđeš u wallet na bilo koji način. Eventualno mi pada na pamet (za ovaj wallet kojeg ZeljkoNemet spominje) jedan zanimljiv feature - u glavni wallet ulaziš tako da skeniraš desno oko, a u "lažni" wallet (koji ima vrlo malo love) ulaziš skeniranjem lijevog oka. Na taj način čak i ako te netko otme, možeš ući u lažni wallet i pokazati mu da nemaš para. Jedino ako otmičar zna da imaš para... Tu te ništa ne može spasiti.

Pa šta nije da već postoji tako nekakva opcija na nekom harware walletu? Tipa imaš dvije šifre i ako te otmu daš onu koja vodi na lažni račun na kojem držiš neki mani iznos love kako bi izgledalo uvjerljivo. Ko da sam čitao nešto o tome.

Moguće. Možda mi je odatle i došla ta ideja. Makar, ako netko ide otimati osobu, sigurno zna koliko ima love tako da neće povjerovati kad otvoriš lažni wallet.

[Trofo]

Moguće. Možda mi je odatle i došla ta ideja. Makar, ako netko ide otimati osobu, sigurno zna koliko ima love tako da neće povjerovati kad otvoriš lažni wallet.

Ma nije to za nas smrtnike. To je za one koji stvarno imaju sredstava u kriptu. Zamisli da imaš recimo 10 miljuna dolara u BTC, pa svjesno na lažnu adresu staviš 1 ili 2. Po meni bi moglo upaliti. Naravno da bi bolilo da ostanes bez 10-20% svog bogastva ali puno manje nego da ostaneš bez svega ili da naude tebi samome ili bližnjima.

Tu pričamo zapravo o konttoli štete, znači krećemo od toga da je sitacija vrlo loša po nas i pokušavamo spriječiti najgore a za takav slučaj mislim da je lažni novčanik dosta dobro rješenje.

Naravno da je puno bolje rješenje da nitko ne zna da uopće imaš lovu ali onda si ne možeš kupiti zlatni lambo s tablicama Kripto Kralj 

[ZeljkoNemet]

Morace jos jedna implementacija da padne instaliranje robota u wallet i onda ako te neko kidnapuje skeniras levim okom i izadje mali robotic i ubije tog koji te je oteo xDDD Vrednost neprocenjiva )

[CryptoCoinArbitrage]

Vrlo važna tema. Za svakog newbie-ja je to obavezno štivo, koji se svaki dan čita dok se svaka reč ne nauči napamet. Hardware valet je sigurno najsigurniji način za akumlaciju crypto valuta, ali mobilni telefon je najlakši za dnevne potrebe, ali trba da bude stalno zaključan, da ima na sebi antivirus i da se otključava sa otiskom prstiju sa dodatno zaštitom za aplikacije gde držimo crypto valute.

[Dzeronimo]

Ja osobno koristim Ledger Nano S i jako sam zadovoljan (ne, nije mi hakiran Ledger wallet nego MetaMask wallet - za više detalja pogledajte drugu temu). U slučaju kvara ili krađe uređaja, kupi se drugi uređaj i svi walleti se vrate pomoću recovery seed (skupina riječi koja se dobije kod prvog pokretanja uređaja).

Ovo boldovano mi je konacno (donekle) razjasnilo neke stvari. Uvek sam se pitao kako se ljudi mogu osloniti na parce hardvera koje se lako moze pokvariti, a mrzelo me da guglam odgovor

[slackovic]

Ja osobno koristim Ledger Nano S i jako sam zadovoljan (ne, nije mi hakiran Ledger wallet nego MetaMask wallet - za više detalja pogledajte drugu temu). U slučaju kvara ili krađe uređaja, kupi se drugi uređaj i svi walleti se vrate pomoću recovery seed (skupina riječi koja se dobije kod prvog pokretanja uređaja).

Ovo boldovano mi je konacno (donekle) razjasnilo neke stvari. Uvek sam se pitao kako se ljudi mogu osloniti na parce hardvera koje se lako moze pokvariti, a mrzelo me da guglam odgovor

Mislim da wallet ne bi bio siguran kad bi ovisio o pouzdanosti uređaja. Ali isto tako zbog te činjenice je JAKO VAŽNO naglasiti da je važnije na sigurnom držati taj recovery seed nego sam uređaj. Uređaj je ipak zaštićen PIN-om, a ako netko sazna recovery seed ništa ga ne sprečava da kupi Ledger i ubaci te riječi u njega te na taj način dođe i posjed vaših kripto valuta. Osim toga, ja sam jednu kopiju ostavio kod svojih za slučaj da kod mene doma dođe do poplave, požara ili neke druge katastrofe u kojoj bi izgubio recovery seed.