Проблема Coinbase: удобство или безопасность?

[Arvicco]

http://bitnovosti.com/2014/07/03/problema-coinbase/

Программист из Канады сообщил о выявлении существенной уязвимости в приложении Coinbasе, используя которую, злоумышленники могут получить полный доступ к аккаунту пользователя. Это далеко не первая проблема безопасности, выявленная для данной платформы. В широком смысле, возникает вопрос: какую цену приходится платить пользователям за кажущееся удобство сервиса Coinbase?

...

Возможно, использование Coinbase-aккаунта и удобно для повседневных биткойн-расходов (хотя не очень понятно, что в нем есть такого, чего бы не было в сервисе Blockchain.info). Однако, держать на этом счете остаток в биткойнах, который превышает сумму, которую вы в любой момент готовы потерять, однозначно не стоит. Как показывает нам история, все централизованные сервисы подобного рода рушатся, неизбежно погребая под своими обломками средства излишне доверчивых пользователей.

[Pinka42]

кто нибудь пользовался коинбэйс?) я все никак не попробую

[MaD!CaT]

кто нибудь пользовался коинбэйс?) я все никак не попробую

А оно вам нужно? Зачем, если есть старый, добрый, проверенный временем Bitcoin-qt

[icreator]

да пора бы уже всем новичкам понять - что централизация = обман или рабство

[tee-rex]

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

[Arvicco]

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

[tee-rex]

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

[Arvicco]

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

[icreator]

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги.

все это было и на mtgox - не спасло ))
а старожилы говорят и до этого биткоины много раз уходили от владельцев на других "крутых" веб-проектах

[tee-rex]

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

[Arvicco]

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

[DeQuade]

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

А мне казалось банки тоже грабят...

[Arvicco]

А мне казалось банки тоже грабят...

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

[DeQuade]

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...

[Pinka42]

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...

странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц

[DeQuade]

странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц

Кто сказал сложно? Я лично такого не говорил. А нецелесообразно потому, что аренда этих ячеек не бесплатна!

[tee-rex]

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет?

[Arvicco]

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет?

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

[tee-rex]

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет?

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?

[Arvicco]

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет?

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?

С безопасностью Coinbase как раз все понятно - ее просто нет, как ни крути. Я как раз говорю о том, что любой вменяемый сервис "облачного кошелька" должен быть построен по модели Blockchain.info, и в этом случае бэкап ключей - дополнительный уровень безопасности, который может быть отнюдь не лишним (зависит от того, сколько у вас там денег хранится, конечно).