Paper wallet als passwort verschlüsseltes PDF speichern - sicher genug?

[Plumpaquatsch]

Also mal wegen Bison (da bin ich auch):

Ich würde mir keine Sorgen wegen der Aufbewahrung bei denen machen. Allerdings mache ich mir etwas Sorgen betreffs dem Zugang zum Portal bzw. zur App.

Lediglich ein Passwort ins Handy tippen erscheint mir derzeit auch nicht gerade sicher. Verliere ich das Handy oder wird es mir gestohlen, könnte mein Zugang zu Bison ja gehackt werden. Und da gibt es dann keine weitere Hürde. Man kann ungehindert kaufen, verkaufen, in Wallets verschieben und für den gesamten Betrag auf dem Konto der Solarisbank (also die eventuelle Seitelinie an Fiat) Coins kaufen und wegschieben. Ein Zugang vom PC zusammen mit einer 2FA übers Handy wäre mir lieber.

Also ich denke die Coins bei Blocknox sind sicher, der Zugang mit der App aber keinesfalls.

Gruß

 

 

[Crusader]

vor 9 Minuten schrieb Plumpaquatsch:

Ein Zugang vom PC zusammen mit einer 2FA übers Handy wäre mir lieber.

Das sehe ich auch so. Dieser Wahnsinn mit den Apps auf dem Handy ist brandgefährlich und führt doch die 2FA ad absurdum.

Also Handel an BSDEX am Computer und 2FA über das Handy.

Das ist deutlich sicherer.

[btctester.com]

Sowohl bei der Nutzung von paperwallets als auch bei der Nutzung von hardware wallets kann man viel falsch machen und seine coins verlieren - die Foren sind voll davon. Wenn man viel reist oder soviel hat, dass der Verlust bei abgebranntem Haus oder bei Einbruch weh tun wuerde, dann kann ich verstehen, warum man das Risiko des online ablegens in Betracht zieht. Ich wuerde da kein pdf waehlen. Ich wuerde einen alten Laptop nehmen und darauf ein frisches Linux installieren, dann unbedingt offline gehen und bleiben und dann den code in eine Textdatei schreiben und mit gpg symmetrisch verschluesseln. Das ist recht einfach aber das Passwort sollte lang und gut sein. Die Textdatei wuerde ich loeschen und die gpg Datei dort speichern wo du es willst (stick, server, Emailentwurf auf Online Email account). Ich wuerde es auf einem Stick speichern offline und erst spaeter online bringen, sofern dies gewuenscht ist, also nicht vom gleichen System aus. Dann wuerde ich einen Datenschredder auf den Linuxrechner loslassen, also das System plattmachen durch alles ordentlich ueberschreiben.

Du musst dir sicher sein, dass du das Passwort nicht vergisst und dass du auch noch in Jahren weisst wo du die Datei abgelegt hast. Das ist schon mal eine Herausforderung fuer sich.

Auf keinen Fall solltest du einen Drucker verwenden (ausser du bist sicher dass er keinen Speicher hat und nicht ueber Netzwerk angeschlossen ist). Nahezu alle Drucker haben einen Speicher und heben eine Kopie deiner ausgedruckten Daten auf. Diese koennten Dritte auslesen.

Einfacher ist die Handhabung mit einem sicheren VM/Containerbasierten Betriebssystem wie z.B. Qubes OS. Dort ist standardmaessig ein Conainer names Vault dabei, die Daten darin gehen nie online und sind auch nicht von den anderen Containern auslesbar. Dort kannst du die Datei auch wieder sicher auslesen, wenn du den urspruenglichen Code wieder brauchst. Von diesem Vault kannst du auch ein verschluesseltes backup erstellen, falls der Rechner abhanden kommt oder so.

Wenn es um sehr viel geht sei dir auch bewusst dass es nicht nur Softwarebugs/Viren/Sicherheitsluecken gibt sondern auch hardware backdoors. Z.B. haben die Intelprozessoren eine management engine die agiert wie ein zusaetliches uberlagerndes Betriebssystem, das kein Virenscanner scannen kann. Wenn jemand deinen Rechner in die Haende bekommt und dort einen keylogger abspeichert, dann kann er spaeter auch sowas wie den Code oder Passworter auslesen. Wenn es um sehr viel Geld geht wuerde ich da auch aufpassen, dass keiner den Rechner in die Hand bekommst und wenn ja dass du es merkst (Versiegelung) und danach die Kiste nicht mehr anruehrst, da du ja ein gues Backup auf einem neuen Rechner einspielen kannst.

Egal was du machst, speichere seeds oder private keys auf keinen Fall im Klartext. Selbst wenn du die Datei gut in Ordnerstrukturen oder durch Namenswahl versteckst glaubst, dann koennte jemand dein ganzes Dateisystem nach dem bech56 Format der Bitcoinadressen oder private keys oder nach seed Woertern in Dateien scannen. Das ist schnell erledigt, ggfls wenn du mal 2 Minuten aus dem Raum bist und das System nicht sperrtest. Oder wenn der Rechner gehackt wird. Aus dem gleichen Grund warum ich pdf nicht nehmen wuerde wuerde ich auch keine andere Software nehmen, ausser sie ist open source, gepflegt und hat eine nicht kleine Community die das staendig weiterentwickelt. Das gpg ist native bei jedem Linux dabei, dem wuerde ich z.B. vertrauen auch wegen der Einfachheit in der Anwendung (zumindest wenn man schon mal mit DOS oder einer shell arbeitete).

Mich wuerde noch interessieren wie du es fuer dich dann geloest hast ... . Sicher gibt es andere gute Ideen als die von mir erwaehnten.

P.S: Bedenke dass auch online Dateien verloren gehen koennen, eine einfache Absicherung waere also nicht ausreichend. Du koenntest keybase oder einen anderen service nutzen um soche verschluesslten Dateien auf mehrere Geraete und server zu verteilen. Zusaetlich wuerde ich noch automatische backups davon machen weil keybase alles synchronisiert. Du koenntest es sonst auf allen geraeten gleichzeitig loeschen aus Versehen.
Auf alle Faelle mache nur was du verstehst weil du sonst Gefahr laeufst Fehler zu machen und deine coins zu verlieren. Und lass dir nicht von Fremden helfen.

Bearbeitet 10. April 2021 von btctester.com

[pauli]

Am 24.3.2021 um 03:01 schrieb o0dy:

Völlig richtig. 

Diese 9 Zeichen waren von TE auch nur so in dem Raum geworfen, dann sind so ein paar "Mondscheinfahrer" darauf angesprungen, als ob dass, das ultimative Limit wäre.

Wichtige Daten vernünftig verschlüsseln (Programme hab ich schon gepostet), da beisst sich auch NSA&Co ihre Zähnchen aus. Kannste lagern wo du willst, hauptsache redundant.

 

 

 

Hallo,

ich habe das schon vor Jahren mal hier gepostet, die Wahrscheinlichkeit gehackt zu werden ist viel geringer als die Wahrscheinlichkeit sein Passwort für die offlline gesicherten Zugangsdaten zu verlieren.

Ich fahre hier 3 Gleisig. Meine Zugangsdaten zu Börsen und Wallets sind Offline (in Papier)  und verschlüsselt online gespeichert. Hardwarewallet ist mit nirgends gespeichertem zusätzlichen Wort für den Seed gesichert.

Zugang Offline natürlich für jeden Einbrecher möglich, aber dann fehlt der 2. Faktor, also das Handy, für Hardwarewallet fehlt der Seed.

Zugang Online für Hacker möglich, auch hier fehlt der 2. Faktor, also Handy, beim Hardwarewallet das Gerät.

Handy verloren? Dann wird es spannend. Theoretisch könnte sich der Finder Zugang zu Onlinedaten verschaffen, damit auch auf Börsen eingloggen, Auszahlungsadressen ändern usw. Das ist der Schwachpunkt bei meinem System, aber nur für den Zugang zu Börsen. Dafür habe ich bisher noch keine Lösung gefunden, ausser das Kapital auf den Börsen auf geringe Guthaben zu begrenzen. Ich trade ja nicht mit meinem gesamten Cryptos.  Für das Hardwarewallet ist der Verlust des Handys aber keine Gefahr.

Gruß Pauli

Bearbeitet 10. April 2021 von pauli

[Anevay]

vor 12 Stunden schrieb pauli:

Zugang Offline natürlich für jeden Einbrecher möglich, aber dann fehlt der 2. Faktor, also das Handy, für Hardwarewallet fehlt der Seed.

Der Einbrecher muss nur auf dich warten.

Oder er kommt nochmal wieder.

Hast du Kinder? Das wird er herausbekommen. Im Tausch gegen deine Kinder gibst du sicher deinen vollständigen Seed raus.

Daher gelten für die Aufbewahrung einfache Regeln:

1. Keinerlei Informationen über Kryptowährungen im Haus haben.

2. Sind Hinweise unvermeidbar, dann MUSS der Einbrecher einen Seed finden auf dem Guthaben war.

Erst wenn Einbrecher haben was sie wollten, kommen sie nicht mehr wieder. 

Somit muss ihnen unbedingt dieses Gefühl gegeben werden.

Daher: Neuen Seed einrichten. Aufschreiben. Geringey Guthaben hinsenden. Ruhig mehrfach. Und wieder wegsenden. Seed in den Aktenordner zu den Bankunterlagen oder in den Schuhkarton mit dem Schmuck oder Bargeld legen. Das ist dann das "Opfervermögen".

Somit kann man seinen Ledger ganz normal mit einem anderen Seed benutzen.

Wer seinen Seed in der Cloud speichern will, kann das mit einer verschlüsselten ZIP-Datei ruhig machen. Sie sollte jedoch nicht den Seed enthalten sondern die Zufallszahl aus der der Seed ermittelt wird. Solange die Datei nicht "Zufallszahl für Seedgenerierung.zip" heißt muss die nichtmal mit einem Passwort gesichert sein.

Wer es sicherer gaben will, benutzt Metadaten in Dateien um seine Informationen unterzubringen.

EXIF-Daten in Bildern.

Kommentare in den Eigenschaften von PDF-Dokenten.

Und vieles mehr.

 

[Gast]

Ich empfehle den "Cold Steel Brooklyn Shorty " 😎

[rheingold]

Am 11.4.2021 um 07:58 schrieb Anevay:

Wer es sicherer gaben will, benutzt Metadaten in Dateien um seine Informationen unterzubringen.

EXIF-Daten in Bildern.

Kommentare in den Eigenschaften von PDF-Dokenten.

Ernsthaft? Das soll sicher sein, nicht zu fassen. Ok, wenn man davon ausgeht, dass alle anderen Dümmer sind als man selber, dürfte es sicher sein.

Wenn niemand außer euch die Daten sehen soll, sind sie zu verschlüsseln. Gute Tools gibt es genug wie z.Bsp. gpg, ccrypt, wenn Verzeichnisse verschlüsselt werden sollen, bittet sich gocryptfs an oder LUKS für ganze Festplatten.

Bearbeitet 13. April 2021 von rheingold

[o0dy]

Am 11.4.2021 um 07:58 schrieb Anevay:

Wer seinen Seed in der Cloud speichern will, kann das mit einer verschlüsselten ZIP-Datei ruhig machen. Sie sollte jedoch nicht den Seed enthalten sondern die Zufallszahl aus der der Seed ermittelt wird. Solange die Datei nicht "Zufallszahl für Seedgenerierung.zip" heißt muss die nichtmal mit einem Passwort gesichert sein.

Wer es sicherer gaben will, benutzt Metadaten in Dateien um seine Informationen unterzubringen.

EXIF-Daten in Bildern.

Kommentare in den Eigenschaften von PDF-Dokenten.

Und vieles mehr.

Sichere verstecke sind die, die man nicht in Foren veröffentlicht 😏

Zitat

Solange die Datei nicht "Zufallszahl für Seedgenerierung.zip" heißt muss die nichtmal mit einem Passwort gesichert sein.

Oh Mann, Leute macht das ganz einfach nicht! Zumindest wundert euch dann nicht wenn ihr beklaut werdet. Die "bösen Buben" sind nicht so blöde. 

Bearbeitet 13. April 2021 von o0dy

[Anevay]

Wenn Angreifer nicht wissen wo sie suchen sollen, dann werden sie natürlich auch nichts finden.

 

[o0dy]

vor 1 Stunde schrieb Anevay:

Wenn Angreifer nicht wissen wo sie suchen sollen, dann werden sie natürlich auch nichts finden.

 

Am 11.4.2021 um 07:58 schrieb Anevay:

Hast du Kinder? Das wird er herausbekommen. Im Tausch gegen deine Kinder gibst du sicher deinen vollständigen Seed raus.

😉

[Anevay]

vor 2 Minuten schrieb o0dy:

 

😉

Meine Gegenfrage bezog sich darauf, dass ein Einbrecher Hinweise auf Kryptovermögen findet.

Findet er keine Hinweise auf Kryptovermögen, dann besteht auch keine Gefahr für Leib und Leben.

Ansonsten greift natürlich Plan B: Der Einbrecher erhält den Seed zu einer echten Wallet auf der nur ein kleiner Teil des Guthabens ist. Solange er nicht weiß wieviel insgesamt zu holen ist, ist damit erledigt.

[o0dy]

vor 21 Minuten schrieb Anevay:

Meine Gegenfrage bezog sich darauf, dass ein Einbrecher Hinweise auf Kryptovermögen findet.

Findet er keine Hinweise auf Kryptovermögen, dann besteht auch keine Gefahr für Leib und Leben.

Ansonsten greift natürlich Plan B: Der Einbrecher erhält den Seed zu einer echten Wallet auf der nur ein kleiner Teil des Guthabens ist. Solange er nicht weiß wieviel insgesamt zu holen ist, ist damit erledigt.

Du biegst dir gerne alles so hin dass es für dich wieder passt? 😉
 

Zitat

Findet er keine Hinweise auf Kryptovermögen, dann besteht auch keine Gefahr für Leib und Leben.

Börsen Daten-Hack wie bei Ledger, und die Hinweise sind da. 
Wenn du Kinder hast, werden diese Einbrecher u.U. testen wie sehr dir die Kohle wichtiger ist als deine Kinder. 
...pssst das Beispiel stammt immerhin von dir, gilt aber wohl nur für die anderen, was?

 

Bearbeitet 13. April 2021 von o0dy

[Cricktor]

Anstatt euch gegenseitig ans Bein zu pieseln, wären konstruktivere Vorschläge nützlicher. Einige interessante Vorschläge waren ja durchaus dabei. Ich für meinen Teil würde nicht auf ein buggy System wie verschlüsselte PDFs setzen. Adobe zeigt nicht gerade die Befähigung, ihre Software besonders gut warten zu können. Außerdem macht man sich vom Funktionieren derer Software abhängig. (OK, das gilt auch für andere Sachen wie Open-Source-Produkte wie GPG usw., aber GPG- vertraue ich mehr als PDFVerschlüsselung.)

Da in meiner Familie nicht viel Coins im Besitz sind, ich aber dennoch nicht möchte, daß davon irgendetwas verloren geht, arbeite ich mir einen Desaster Recovery Plan aus (noch lange nicht fertig). Wenn man den Aufwand treiben möchte, dann müsste man möglichst viele Dinge berücksichtigen. Seeds sicher an mehreren Orten lagern, um Verlust durch Brandfall oder Einbruch zu verhindern. Sicher hiesse auch z.B. den Seed nur verschlüsselt zu hinterlegen. Dann braucht man aber eine Absicherung für diesen Verschlüsselungsschlüssel (verteilen, so daß er nie komplett an einer Stelle ist etc.)
Opferwallet für physische Angriffe ist nicht schlecht, würde ich bei mir aber nicht wirklich nutzen wollen, weil das Volumen unseres Coin-Besitzes zur Not verschmerzbar wäre. Wenn aber der BTC weiter so steigt, denke ich doch darüber nach. Wenn man nicht gerade im Urlaub ist und die Einbrecher es wissen, dann haben die ja meistens nicht viel Zeit, daher ist eine Opferbrieftasche mit Fiat und ggf. 'nem Zettel mit Opfer-Seed nicht unpassend. Aber man solle nicht glauben, daß Gauner das nicht auch wüssten. Die dunkle Seite kennt auch viele Tricks der hellen.
Ein anderer Aspekt ist das eigene Ableben im schlimmsten Fall oder schwere Krankheit, die Pandemie lässt solche Szenarien wesentlich näher rücken als einem vielleicht lieb ist. Mögliche Traumata, die zu Vergessen führen, wären zu berücksichtigen, schließlich könnte der Fall eintreten, daß man sich an das eine letzte Passwort in der Kette dann doch nicht mehr erinnern kann, warum auch immer. Was muss ich alles tun und sicher bereithalten, damit Restfamilie Zugriff auf die Coins behält: da kommen dann noch einige Sachen dazu. Vollständige Dokumentation auch für die technisch weniger versierten usw. usf.

Da öffnet sich eine Dose mit ziemlich flinken Würmern... Im Zweifelsfalle strukturiert vorgehen und alles, was einem relevant erscheint, notieren und sich vernünftige und praktikable Gegenmaßnahmen überlegen. 100% wird man kaum abdecken können, wenn man einen Zero-Trust-Ansatz fährt. Z.B. würde ich Familienmitgliedern einbinden, die u.U. nicht direkt beteiligt sind, denen ich aber einen versiegelten Umschlag anvertrauen würde, damit ein wählbarer Informationsumfang dort gelagert ist, auf den zur Not zurückgegriffen werden kann.