Zum Inhalt springen

Ledger Warnung vor möglichem Datendiebstahl 29.07.20

kater
 Teilen

Empfohlene Beiträge

kazzumoto

kazzumoto

Geschrieben
Geschrieben

.....ich weiss jetzt nicht unter welchem threat ich das hier eingeben müsste....

falls ein admin das liest, evtl bitte verschieben.

eine grundsätzliche frage zu den wallets.

nach all den skandalen bei ledger und problemen bei anderen  hw herstellern bin ich am überlegen, ob ich mir zusätzlich ein

atomic desktop wallet erstellen soll.

dazu hätte ich gern eure meinung....

falls ich ein atomic wallet auf dem rechner installiere, sind meine private keys auf meinem rechner und nicht im wallet.

ist das so korrekt?

könnte das atomic wallet selbst gehackt werden?

gibt es zusätzlich zu email und passwort noch andere sicherheitseinrichtungen um sich bei atomic anzumelden?

2fa?

wenn ich mir die 12 wörter notiert habe und den rechner ausschliesslich für dieses wallet nutze müsste ich doch ziemlich sicher sein oder?

zusätzlich noch eine frage zum yubikey....

könnte ich meinen rechner so absichern, dass er nach dem anschalten erst hochfährt, wenn der yubi eingestöpselt und  angetippt wird?

danke 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben (bearbeitet)
vor 2 Stunden schrieb kazzumoto:

falls ich ein atomic wallet auf dem rechner installiere, sind meine private keys auf meinem rechner und nicht im wallet.

ist das so korrekt?

Korrekt? Nein, eher nicht. Deine Private Keys werden größtenteils von der Atomic Wallet verborgen und du kannst effektiv in der Atomic Wallet nur einen pro Coin oder Token direkt einsehen, den für die aktuell zu verwendenden Adresse für den nächsten Transfer (eingehend, nehme ich an). Ansonsten natürlich auch den Mnemonic Seed der Wallet. Mehr nicht! Das reicht natürlich für einfache Ansprüche und das UI ist auch sehr sehr simpel gehalten, aber das war es dann auch. Für meinen persönlichen Bedarf ist mir die Atomic Wallet auf zu einfache Bedienung ausgelegt, mir fehlen da dann doch mitunter nötige speziellere Optionen, wenn man bestimmte Details von Transaktionen beeinflussen möchte. Im Zusammenhang mit Bitcoin sei noch ein weiterer Nachteil der Atomic Wallet erwähnt: es werden nur Legacy Adressen 1.... (also p2pkh) unterstützt, was absolut nicht mehr zeitgemäß ist und Transkationen größer und teurer als nötig macht.

Wie genau die Atomic Wallet relevante Daten speichert, weiß ich nicht, mit dem Wallet-Passwort sind sie jedenfalls verschlüsselt und man kann hoffen, daß Atomic Wallet ein sicheres Verschlüsselungsverfahren benutzt. Die Wallet ist eine "normale" HD-Wallet, zu der man einen Mnemonic Seed aus 12 Worten hat, neben dem Derivation Path, der für Bitcoin m/44'/0'/0' lautet, also ziemlich standardkonform. Ich denke mal, daß sich für andere Coins und Token, die Atomic Wallet sehr am üblichen Standard hält (nicht selbst ausprobiert).

vor 2 Stunden schrieb kazzumoto:

könnte das atomic wallet selbst gehackt werden?

Auf einem Computer kann praktisch alles gehackt werden, was in Software läuft. Ein Keylogger reicht, um dein Wallet-Passwort mitzuschneiden. Damit kann dann die Wallet entsperrt werden und ich sehe keine relevanten Hindernisse, warum man dann nicht auch den Seed deiner Wallet stehlen kann. Damit hätte man alles, um die Coins einer Wallet zu stehlen. Die Sicherheit einer Software-Wallet steht und fällt mit der Sicherheit des Computers/des laufenden Betriebssystems. Da ist Windows die am meisten gefährdete Plattform.

vor 2 Stunden schrieb kazzumoto:

gibt es zusätzlich zu email und passwort noch andere sicherheitseinrichtungen um sich bei atomic anzumelden?

2fa?

Ich wüsste nicht, daß man eine Email für die Atomic Wallet bräuchte. Da ich die Wallet für kurze Zeit selbst verwendet habe, kann ich mich nicht daran erinnern, eine Emailadresse verwendet zu haben. Standardmäßig ist eine Atomic Wallet mit einem Passwort geschützt, das stark und komplex genug sein sollte. 2FA ist mir nicht als Option aufgefallen.

vor 2 Stunden schrieb kazzumoto:

wenn ich mir die 12 wörter notiert habe und den rechner ausschliesslich für dieses wallet nutze müsste ich doch ziemlich sicher sein oder?

Wenn du dein Betriebssystem sicher hältst und weitgehend auf andere Aktivitäten auf diesem Rechner verzichtest und die Atomic Wallet als Closed Source Software auch sicher bleibt, würde ich die Frage so einigermaßen mit ja beantworten. Firma hinter Atomic Wallet ist in Estland registriert, eine Adresse des Hauptbüros und ein paar Namen finden sich auf atomicwallet.io, man muss aber eben der Firma vertrauen, daß ihre Wallet-Software alles richtig™ macht und essentielle Wallet-Daten deinen Rechner nicht heimlich verlassen.

vor 2 Stunden schrieb kazzumoto:

könnte ich meinen rechner so absichern, dass er nach dem anschalten erst hochfährt, wenn der yubi eingestöpselt und  angetippt wird?

Kann gut sein, daß man einen Fido2 Token für Windows mit Bordmitteln zur Anmeldung einrichten kann. Wie das bei Linux oder MacOS aussieht, weiß ich nicht. Meist bleiben aber andere Anmeldeoptionen weiterhin aktiv, was durchaus sinnvoll ist, schließlich kann man den Token ja auch verlieren. Das Verlust- oder Beschädigungsszenario ist übrigens garnicht mal so unwahrscheinlich. Verlieren geht schließlich leichter als man denkt.

Bearbeitet von Cricktor
Link zu diesem Kommentar
Auf anderen Seiten teilen
kazzumoto

kazzumoto

Geschrieben
Geschrieben
vor 2 Stunden schrieb Cricktor:

Korrekt? Nein, eher nicht. Deine Private Keys werden größtenteils von der Atomic Wallet verborgen und du kannst effektiv in der Atomic Wallet nur einen pro Coin oder Token direkt einsehen, den für die aktuell zu verwendenden Adresse für den nächsten Transfer (eingehend, nehme ich an). Ansonsten natürlich auch den Mnemonic Seed der Wallet. Mehr nicht! Das reicht natürlich für einfache Ansprüche und das UI ist auch sehr sehr simpel gehalten, aber das war es dann auch. Für meinen persönlichen Bedarf ist mir die Atomic Wallet auf zu einfache Bedienung ausgelegt, mir fehlen da dann doch mitunter nötige speziellere Optionen, wenn man bestimmte Details von Transaktionen beeinflussen möchte. Im Zusammenhang mit Bitcoin sei noch ein weiterer Nachteil der Atomic Wallet erwähnt: es werden nur Legacy Adressen 1.... (also p2pkh) unterstützt, was absolut nicht mehr zeitgemäß ist und Transkationen größer und teurer als nötig macht.

Wie genau die Atomic Wallet relevante Daten speichert, weiß ich nicht, mit dem Wallet-Passwort sind sie jedenfalls verschlüsselt und man kann hoffen, daß Atomic Wallet ein sicheres Verschlüsselungsverfahren benutzt. Die Wallet ist eine "normale" HD-Wallet, zu der man einen Mnemonic Seed aus 12 Worten hat, neben dem Derivation Path, der für Bitcoin m/44'/0'/0' lautet, also ziemlich standardkonform. Ich denke mal, daß sich für andere Coins und Token, die Atomic Wallet sehr am üblichen Standard hält (nicht selbst ausprobiert).

Auf einem Computer kann praktisch alles gehackt werden, was in Software läuft. Ein Keylogger reicht, um dein Wallet-Passwort mitzuschneiden. Damit kann dann die Wallet entsperrt werden und ich sehe keine relevanten Hindernisse, warum man dann nicht auch den Seed deiner Wallet stehlen kann. Damit hätte man alles, um die Coins einer Wallet zu stehlen. Die Sicherheit einer Software-Wallet steht und fällt mit der Sicherheit des Computers/des laufenden Betriebssystems. Da ist Windows die am meisten gefährdete Plattform.

Ich wüsste nicht, daß man eine Email für die Atomic Wallet bräuchte. Da ich die Wallet für kurze Zeit selbst verwendet habe, kann ich mich nicht daran erinnern, eine Emailadresse verwendet zu haben. Standardmäßig ist eine Atomic Wallet mit einem Passwort geschützt, das stark und komplex genug sein sollte. 2FA ist mir nicht als Option aufgefallen.

Wenn du dein Betriebssystem sicher hältst und weitgehend auf andere Aktivitäten auf diesem Rechner verzichtest und die Atomic Wallet als Closed Source Software auch sicher bleibt, würde ich die Frage so einigermaßen mit ja beantworten. Firma hinter Atomic Wallet ist in Estland registriert, eine Adresse des Hauptbüros und ein paar Namen finden sich auf atomicwallet.io, man muss aber eben der Firma vertrauen, daß ihre Wallet-Software alles richtig™ macht und essentielle Wallet-Daten deinen Rechner nicht heimlich verlassen.

Kann gut sein, daß man einen Fido2 Token für Windows mit Bordmitteln zur Anmeldung einrichten kann. Wie das bei Linux oder MacOS aussieht, weiß ich nicht. Meist bleiben aber andere Anmeldeoptionen weiterhin aktiv, was durchaus sinnvoll ist, schließlich kann man den Token ja auch verlieren. Das Verlust- oder Beschädigungsszenario ist übrigens garnicht mal so unwahrscheinlich. Verlieren geht schließlich leichter als man denkt.

ok, 

danke für die antwort..... sind alle online wallets so aufgebaut? also das gleiche auch bei exodus?

und wenn die meine private keys halten, dann sind die von der sicherheit her ja auch nicht besser, als würden meine coins auf einer börse liegen......

Link zu diesem Kommentar
Auf anderen Seiten teilen
Crusader

Crusader

Geschrieben
Geschrieben
vor 3 Minuten schrieb kazzumoto:

und wenn die meine private keys halten, dann sind die von der sicherheit her ja auch nicht besser, als würden meine coins auf einer börse liegen......

Eine software-Wallet ist eher unsicherer als die Coins an der Börse zu halten.

Wenn du dir einen Trojaner einfängst ist das Geld gleich weg.

Also das geht nur auf einem absolut sauberen System das nie ins Internet kommt.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben
vor 40 Minuten schrieb kazzumoto:

danke für die antwort..... sind alle online wallets so aufgebaut? also das gleiche auch bei exodus?

und wenn die meine private keys halten, dann sind die von der sicherheit her ja auch nicht besser, als würden meine coins auf einer börse liegen......

Atomic Wallet lässt sich auch offline öffnen und zeigt auch offline Seed und PrivateKeys an, beschwert sich dann natürlich, daß keine Verbindung zum Internet für Kurse und Lauschen auf Transaktionen besteht. Exodus habe ich nie benutzt, kann also keinen Vergleich ziehen. Aber in dem Sinne ist die Atomic Wallet keine Online-Wallet und die PrivateKeys sind in der lokalen Wallet auf deinem Rechner gespeichert, wo du die Atomic Wallet installiert hast, nicht irgendwo online.

Die Atomic Wallet ist eine sogenannte non-custodial Wallet, d.h. die PrivateKeys sind im Besitz des Benutzers, nicht beim Betreiber/Hersteller/Anbieter und so wie ich die Wallet verstanden habe, bleiben die für die Wallet wichtigen kryptografischen Geheimnisse auch in der lokalen Wallet, die auf dem eigenen Computer gespeichert wird. Mir wäre nicht bekannt, daß eine verschlüsselte Wallet-Kopie bei atomicwallet.io gespiegelt liegen würde.

Wobei ich nur die Desktop-Version verwendet habe. Ich gehe aber auch für die mobile Version davon aus, daß die sich analog der Desktop-Version verhält.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.