Jump to content

Blockchain Wallet sicher ?


Leo Carter

Recommended Posts

Ich habe mir eine Blockchain Wallet erstellt auf der ich jetzt Bitcoins empfangen und versenden kann.

Wie kann ich mich gut absichern, dass das Geld nicht abhanden kommt.

Gibt es sicherere Wallets als eine Blockchainwallet ?

Für hilfreiche Tipps bedanke ich mich im Vorraus.

Link to comment
Share on other sites

Blockchain-Info-Wallets sind nicht sicher, die wurden schonmal im großen Stil leergeräumt.

Keine Wallet im Internet ist sicher.

Keine Wallet ist sicher bei der Du Deinen PrivateKey in die Hände Dritter gibst.

Erstelle Dir auf Deinem Computer offline eine Paperwallet und halte den PrivateKey geheim. Das ist dann sicher genug.

Link to comment
Share on other sites

vor 21 Minuten schrieb Jokin:

Blockchain-Info-Wallets sind nicht sicher, die wurden schonmal im großen Stil leergeräumt.

Keine Wallet im Internet ist sicher.

Keine Wallet ist sicher bei der Du Deinen PrivateKey in die Hände Dritter gibst.

Erstelle Dir auf Deinem Computer offline eine Paperwallet und halte den PrivateKey geheim. Das ist dann sicher genug.

und wo kann ich so eine Paperwallet erstellen ?

Link to comment
Share on other sites

vor 15 Stunden schrieb fox912:

Sehr genial finde ich ja auch Paperwallets, die zusätzlich mit einem Passwort geschützt sind (BIP38).

Gar nicht genial wenn man das Passeort nach Jahren nicht mehr wiederfindet.

Ein gesundes Maß an Sicherheit ist super, zuviel kann üble Konsequenzen haben.

Link to comment
Share on other sites

vor 4 Stunden schrieb Jokin:

Gar nicht genial wenn man das Passeort nach Jahren nicht mehr wiederfindet.

Das stimmt ... setzt natürlich ein entsprechendes Passwort-Sicherungskonzept voraus.
Ich kann an dieser Stelle einen Passwort-Safe empfehlen ... keepass ... ich finde sehr komfortabel, Möglichkeit Passwörter automatisch zu erstellen, copy-paste von Benutzernamen und Passwörtern, Ablegen der korrekten URL, für alle Systeme inkl. portable Lösungen usw.
Ein entsprechend starkes Master-Passwort sollte es natürlich sein, wer den Level noch etwas heben möchte nimmt noch eine Schlüsseldatei dazu.
Die Passwort-Datenbank selbst sollte dann entsprechend mehrmals gesichert werden (auch örtlich getrennt), bevorzugt in einem verschlüsselten Container!

Link to comment
Share on other sites

Am 21.1.2019 um 01:16 schrieb Jokin:

1. https://www.bitaddress.org/ HTML-Seite offline speichern.

2. Internetverbindung trennen.

3. HTML-Seite gemäß Anweisungen benutzen und drucken.

Die Adresse kannte ich auch nicht. Sieht gut aus, einfach und übersichtlich :)

Übrigens: Wer seinen Key lieber auswürfeln würde aber die Mühe scheut, die 99 Würfe wirklich auszuführen, kann sie auch gratis hier holen.

Das sind echte Zufallszahlen, die aus atmosphärischem Rauschen erzeugt werden, im Unterschied zu sog. Pseudo-Zufallszahlen vom PC, die nicht wirklich zufällig sind.

Link to comment
Share on other sites

vor 3 Stunden schrieb fox912:

Ein entsprechend starkes Master-Passwort sollte es natürlich sein, wer den Level noch etwas heben möchte nimmt noch eine Schlüsseldatei dazu.
Die Passwort-Datenbank selbst sollte dann entsprechend mehrmals gesichert werden (auch örtlich getrennt), bevorzugt in einem verschlüsselten Container!

Ja, und natürlich feuer- und wasserfest müssen die Container sein.

Noch was: Wer gaaanz sicher gehen will, sollte die Container unbeobachtet irgendwo mitten im Pazifik versenken. Die genauen Geo-Koordinaten sollte man natürlich ebenso geschützt wieder woanders versenken usw. *SCNR*

  • Haha 1
Link to comment
Share on other sites

vor 9 Minuten schrieb Herr Coiner:

Noch was: Wer gaaanz sicher gehen will, sollte die Container unbeobachtet irgendwo mitten im Pazifik versenken. Die genauen Geo-Koordinaten sollte man natürlich ebenso geschützt wieder woanders versenken usw. *SCNR*

Damn - wieso bin ich nicht darauf gekommen ... vielen Dank für den Tipp 😉

Aber ernsthaft -> in der Praxis: mehrere örtlich getrennte, mit LUKS (= container 😉 verschlüsselte USB-Sticks auf denen die Passwort-Datei gespeichert ist ... finde ich sehr "safe". Da lässt mich auch Diebstahl, Feuer, Wasser oder Defekt eines einzelnen USB-Sticks kalt!

Auch ein Ablegen von public + private keys in einem keepass-file (anstelle von gedruckten Paperwallets) entsprechend mit starkem Passwort + Schlüsseldatei fände ich eine sehr sichere Lösung.

Link to comment
Share on other sites

vor 9 Minuten schrieb fox912:

Aber ernsthaft -> in der Praxis: mehrere örtlich getrennte, mit LUKS (= container 😉 verschlüsselte USB-Sticks auf denen die Passwort-Datei gespeichert ist ... finde ich sehr "safe". Da lässt mich auch Diebstahl, Feuer, Wasser oder Defekt eines einzelnen USB-Sticks kalt!

Ja stimmt schon. Man kann die dann problemlos an gute Freunde und Familienmitglieder verteilen, um einen Komplettverlust im Katstrophenfall (Haus oder ganzer Kiez abgebrannt) zu vermeiden. Bankschließfächer gehen wohl auch. Der beste Passwortschutz im eigenen Haus nützt ja nichts, wenn die Hütte bis auf die Grundmauern abbrennt, vom Erdboden verschluckt oder ins Meer gespült wird oder was immer. Es gibt nunmal auch höhere Gewalt, nicht nur Datenklau.

Link to comment
Share on other sites

vor 3 Stunden schrieb Master_of_Coindesaster:

Also bei solchen Wallet- oder Seed-Generatoren wäre ich sehr vorsichtig. Ich erinnere nur an die gestohlenen Coins durch einen betrügerischen IOTA-Seed-Generator im Januar 2018

Das war ein Online-Seedgenerator, der sich offline nicht benutzen ließ.

Daher immer der deutliche Hinweis: PrivateKeys nie oder nur ein einziges Mal dem Internet bekannt zu machen, also nur bei der Auszahlung.

Und von wegen Zufallszahl: 99 x die 1 ist genauso zufällig wie jede andere gewürfelte Zahl.

Und ob Computerzahlen zufällig sind oder nicht, ist beim Seed recht egal, da innerhalb derselben Sekunde wohl kaum mehrere Menschen Paperwallets anlegen werden. Selbst dann ist das Risiko verschwindend gering. Um sicher zu gehen einfach bei der Zufallszahl noch ein paar Zeichen selber austauschen und fertig.

Link to comment
Share on other sites

vor 8 Stunden schrieb Jokin:

Und von wegen Zufallszahl: 99 x die 1 ist genauso zufällig wie jede andere gewürfelte Zahl.

Und ob Computerzahlen zufällig sind oder nicht, ist beim Seed recht egal, da innerhalb derselben Sekunde wohl kaum mehrere Menschen Paperwallets anlegen werden. Selbst dann ist das Risiko verschwindend gering. Um sicher zu gehen einfach bei der Zufallszahl noch ein paar Zeichen selber austauschen und fertig.

Dachte, diese Seed Phrase ist das Passwort, mit dem eine Wallet-Software den privaten und öffentlichen Schlüssel erzeugt bzw. wieder herstellt? Da kann es doch nicht egal sein, ob zufällig oder nicht. Nicht umsonst soll man eine Seed wählen, die nicht jeder gleich errät, und diese dann sicher aufbewahren.

Natürlich kann man auch zufällig 99x in Folge die 1 würfeln, aber dann ist es viel wahrscheinlicher, dass gar keine anderen Zahlen auf dem Würfel sind. Und erraten bzw. ausprobieren ist in dem Fall einfach: Man braucht nur 6 Versuche, wenn man annimmt, dass ein Wallet mit 99 gleichen Würfelzahlen erstellt wurde.

Edited by Herr Coiner
Link to comment
Share on other sites

vor 3 Stunden schrieb Master_of_Coindesaster:

Ja, aber weiß ich wirklich, was passiert, wenn ich wieder online bin? Oder ob die generierten Wallets nicht schon vorher feststehen und gar nicht per Zufall erstellt werden?

Ja, das weißt Du.

Es handelt sich bei diesen beiden Seiten um reine HTML-Dokumente, die sich lokal speichern lassen:
- https://iancoleman.io/bip39/
- https://www.bitaddress.org
Diese Dokumente lassen sich prüfen indem man sich den Quellcode anschaut.

Weiterhin haben HTML-Dokumente (mit darin enthaltenem Javascript) keine Möglichkeit lokale Dateien zu speichern oder offline etwas zum Senden vorzubereiten. Nach dem Schließen des Browsers ist alles weg. Zur Sicherheit kann man auch nochmal die Zwischenablage leeren oder den Rechner neu starten.

Bei dem ersten Dokument klickst Du auf "Show Entropy Details" und Du kannst dann den Zufallswert anpassen.

vor einer Stunde schrieb Herr Coiner:

Dachte, diese Seed Phrase ist das Passwort, mit dem eine Wallet-Software den privaten und öffentlichen Schlüssel erzeugt bzw. wieder herstellt? Da kann es doch nicht egal sein, ob zufällig oder nicht. Nicht umsonst soll man eine Seed wählen, die nicht jeder gleich errät, und diese dann sicher aufbewahren.

Natürlich kann man auch zufällig 99x in Folge die 1 würfeln, aber dann ist es viel wahrscheinlicher, dass gar keine anderen Zahlen auf dem Würfel sind. Und erraten bzw. ausprobieren ist in dem Fall einfach: Man braucht nur 6 Versuche, wenn man annimmt, dass ein Wallet mit 99 gleichen Würfelzahlen erstellt wurde.

Der "Seed" ist eine Kombination von 12 Wörtern (oder andere Anzahl). Diese Wörter sind nicht frei wählbar sondern aus einem Pool von 2048 Wörtern auszuwählen. Das letzte Wort enthält die Prüfsumme ob der Seed auch korrekt ist.

Der Seed kann zusätzlich mit einem Passwort kombiniert werden um daraus die Privatekeys der Wallet auszurechnen.

Warum sollte jemand annehmen, dass eine Wallet mit 99 gleichen Würfelzahlen erstellt wurde? Das ist eine Information, die man nicht preisgeben sollte.

Die Zufallszahl muss auch keine 99 Ziffern von 1-6 enthalten, die kann auch nur ein einziges Zeichen enthalten oder Spielkarten, kopiere mal "ahqs9dtc" in das entropy-Feld 😉

 

Link to comment
Share on other sites

vor 11 Stunden schrieb Master_of_Coindesaster:

Ja, aber weiß ich wirklich, was passiert, wenn ich wieder online bin? Oder ob die generierten Wallets nicht schon vorher feststehen und gar nicht per Zufall erstellt werden?

Naja, im Fall von bitaddress.org ist es Open-Source-Software, die man auch direkt von GitHub runterladen kann, wenn man meint, dass bitaddress.org das Zeug verfälscht haben könnte.

Open-Source heißt, dass der Code von jedem eingesehen werden kann, und in konkreten Fall  arbeite(te)n über 170 19 Entwickler daran. Dass die alle unter einer kriminellen Decke stecken, ist eher unwahrscheinlich. Aber klar, sicher ist nur das Risiko. Das weiß man allerdings von vorneherein, wenn man anfängt mit Kryptowährung zu hantieren.

Spätestens wenn die USA Krieg gegen die EU führen, funktioniert eh kein Computer mehr richtig und alle Coins sind verloren ;) Aber ist das wahrscheinlich?

Edited by Herr Coiner
über 170 Entwickler sind zu doch viele
Link to comment
Share on other sites

vor 9 Minuten schrieb Jokin:

Der "Seed" ist eine Kombination von 12 Wörtern (oder andere Anzahl). Diese Wörter sind nicht frei wählbar sondern aus einem Pool von 2048 Wörtern auszuwählen. Das letzte Wort enthält die Prüfsumme ob der Seed auch korrekt ist.

Der Seed kann zusätzlich mit einem Passwort kombiniert werden um daraus die Privatekeys der Wallet auszurechnen.

Hmm... vielleicht habe ich da auch was verwechselt ^^.

Ich bezog mich auf den Vorschlag ganz unten auf der Seite "Wallet Details" bei bitaddress.org zum privaten Schlüssel im B6-Format (auf das grüne Plus-Zeichen klicken).
Dort wird beschrieben, wie man einen wirklich zufälligen B6-Schlüssel mit dem Würfel erzeugt und sie schreiben auch, dass echter (physikalischer) Zufall besser ist als einer aus dem Zufallsgenerator vom PC.

Zitat

Warum sollte jemand annehmen, dass eine Wallet mit 99 gleichen Würfelzahlen erstellt wurde? Das ist eine Information, die man nicht preisgeben sollte.

Dann hast du oben aber einen Fehler gemacht und die Information hier doch preisgegeben :P;) .

Link to comment
Share on other sites

vor einer Stunde schrieb Herr Coiner:

Dann hast du oben aber einen Fehler gemacht und die Information hier doch preisgegeben :P;) .

Nö, meine Seeds sind anders ermittelt.

Und ja, aus Sicherheitsgründen hab ich mehrere.

Link to comment
Share on other sites

vor 1 Stunde schrieb Herr Coiner:

Spätestens wenn die USA Krieg gegen die EU führen, funktioniert eh kein Computer mehr richtig und alle Coins sind verloren ;) Aber ist das wahrscheinlich?

Ich denke, dass bei solch einem Szenario erstmal eine Kuh, ein Bach und ein kleines Wäldchen wichtiger sind als Coins ...

  • Like 1
Link to comment
Share on other sites

bitaddress.org kenn ich schon extrem lange, jedoch habe ich da einige fragen.

wie ich sehe werden die adressen durch zufall generiert. wie kann ich denn sicher sein, dass dies sicher passiert und keiner ebenfalls die private key lesen kann.
bitaddress.org gehört einer privaten organisation an oder gehört sie bitcoin.org?
und in der fußzeile steht außerdem, dass die ganze sache ohne gewähr behandelt wird.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.