Sicherheit

[Kaai]

Hey Guys, 

Habe ein paar Fragen zum Thema Sicherheit an Börsen und der Bitbox 02 von Shift Crypto. 

Wenn jemand beispielsweise an irgendeiner Exchange angemeldet ist, welche 2 FA unterstützt: ist es dabei egal auf welches Authentifikationsmodell man dabei setzt (SMS oder Google Authentifikator)? 

Hab schon gelesen, dass es bei der SMS Authentifizierung zu einem sogenannten Sim Swap kommen kann, sodass irgendwer die eigene Nummer kopiert, um damit dann an die Codes von beispielsweise Binance zu gelangen. Was ist jedoch, wenn auf der Börse keine Coins liegen, da diese auf eine Hardwarewallet verschoben worden? Dann greift der Hacker ja logischerweise ins Leere oder hat man dann später Probleme, wenn man die Coins in Fiat tauschen möchte (da Sie ja vorher auf ne Hardwarewallet abgelegt worden), da der Angreifer dann erneut die Daten abfängt? 

 

Zudem habe ich mich gefragt (rein hypothetisch), was passiert, wenn man eine Bitbox 02 in einen verseuchten PC schiebt und damit Coins versendet? besteht dabei die Möglichkeit, das der Hacker an die private Keys kommt bzw. verliert man dabei dann seine Coins? Weil die Bitbox ja mit dem Lappi verbunden ist oder hab ich einen Denkfehler ?

LG Kaai

 

 

[Morama]

Um dem beschriebenen Problem des Abfangens der Daten bei den der Börse, kannst du bei Bedenken bzgl. deines Rechners, von einem anderen Rechner aus erstmal dein Passwort ändern - sollte das Passwort irgendwie geleaked sein ist es damit erstmal ausgetauscht. Am besten ein von dir selbst aufgesetzter sauberer Linux-Rechner (alter Laptop oder so) Man sollte Passwörter aber nicht dauernd an beliebigen Orten ändern, denn auch da birgt es immer die Gefahr des Abfangens.

Bei 2FA empfehle ich definitiv den Google Authenticator zur verwenden statt SMS. Die Begründung hast du ja sehr gut selbst beschrieben. Der Authenticator ist erstmal an dein Gerät gebunden. Sollte jemand einen SIM-Swap machen oder dein Google Login ergaunern hat er trotzdem keinen Zugriff auf deine Authenticator Codes. Dort liegt eine Schwachstelle in dem Moment indem du den Authenticator-Code erstellst. Jemand könnte den QR-Code oder den Backup-Code (der für den Fall das dein Gerät kaputt geht) bei der Erstellung mitschneiden. Auch da solltest du wieder von einem sauberen Rechner aus gehen, wenn du Bedenken hast.

An die Private Keys der Bitbox sollte auch ein verseuchter PC nicht drankommen, da dieser Teil der Bitbox von dem Teil getrennt ist, der mit dem PC spricht. Das ist der Clou an der Hardwarewallet. Die Private Keys verlassen niemals "diese geschützte Seite" der Bitbox.