Insider: Jak bezpiecznie przechowywać kryptowaluty. Materiały dodatkowe do Podcastu.

in bitcoin •  7 years ago 

Link do odcinka podcastu KryptoJanusz. No i już.

https://www.spreaker.com/user/10618880/insider-bezpieczne-przechowywanie-krypto

Dziś nieco o bezpieczeństwie przechowywania środków. Jest to temat o tyle ważny, gdyż co jakiś czas docierają do nas informacje o włamaniu na serwery giełdy, tudzież atak na coin etc. To oznacza, że hackerzy nie śpią i jeśli tylko uda im się złapać kogoś z opuszczoną gardą, na pewno zostanie to wykorzystane.
Na początek kilka słów na temat sposobów przechowywania coinów na walletach, w części drugiej
podstawowe informacje o szyfrowaniu kluczy prywatnych i zestawów słów służących do
odzyskiwania portfeli, pod koniec podsumowanie oraz linki do materiałów dla zainteresowanych.

Rodzaje waletów

Webwallety – udostępniane przez niektórych developerów, są niczym innym jak stroną www na serwerze, na którym poprzez interface można założyć sobie konto z przyporządkowanym adresem. Można to porównać do zakładania skrzynki mailowej.
Potencjalne zagrożenia:

  1. podatne na włamania za pomocą narzędzi takich jak keylogger czy trojan
  2. brak kontroli, wallet jest na zewnętrznym serwerze
  3. niska świadomość użytkowników powoduje, iż hasła są relatywnie łatwe do złamania
  4. inżynieria socjalna czyli nawiązanie kontaktu z osobą, w celuzdobycia informacji o niej, takich jak rodzina, imiona dzieci, zwierząt, data urodzenia itp. Wszelkich danych które potencjalnie mogą mieć przełożenie na utworzone hasło.

Wallety software’owe – aplikacje stworzone przez developerów stacjonarne bądź mobilne, służące do przechowywania coinów. Najczęściej występują w wersji light czyli bez pobierania całego blockchaina, lub w wersji pełnej, „core” , która zajmuje o wiele więcej miejsca gdyż wymaga pobrania z sieci całego blockchaina danego coina.
Potencjalne zagrożenia:

  1. Mniejsze zagrożenie utratą coinów, jednakże niedoświadczeniu użytkownicy nie wiedzą lub nie pamiętają o konieczności zakodowania walleta, przez co kradzież coinów jest dla hackerów niezwykle prosta.
  2. Zaszyfrowany klucz prywatny (zwykle wallet.dat) wymaga również hasłaużytkownika, co powoduje utrudnione zadanie dla potencjalnego włamywacza, gdyż musi od zdobyć plik oraz hasło. Nie mniej jednak jest to wykonalne dla słabo zabezpieczonego urządzenia.

Paper wallet – wygenerowany i wydrukowany na papierze klucz prywatny, który może być dodatkowo zabezpieczony hasłem.
Potencjalne zagrożenia:

  • Ryzyko zagubienia/zniszczenia

Wallet sprzętowy – najbardziej znane to Ledger i Trezor – specjalnie skonstruowane urządzenia służące do przechowywania kluczy prywatnych. Wg zapewnień producentów są niemożliwe do shackowania, acz zaleca się zasadę ograniczonego zaufania.
W razie zagubienia można odzyskać swój wallet na dowolnym urządzeniu za pomocą seed’a.

Zabezpieczenia waletów, kluczy prywatnych etc.

Generalnie szyfrowanie zarówno kluczy prywatnych jak i seed phrase jest na takim poziomie, iż złamanie szyfru jest możliwe jedynie z teoretycznego punktu widzenia.
Klucz prywatny a zatem klucz służący do uzyskania dostępu i dysponowania środkami, swego rodzaju podpis użytkownika uprawnionego, szyfrowany jest 256 bitowo, a zatem do jego pozyskania należało by potencjalnie przeprowadzić 2^256 prób (dwa do dwieście pięćdziesiątej potęgi).
Recovery phrase jest to zbiór najczęściej 12 lub 24 wyrazów z listy (np. dla walleta Electrum jest to BIP39 zawierająca 2048 słów). Słowa te ułożone w konkretnej kolejności stanowią zaszyfrowaną frazę, dzięki której możliwe jest odtworzenie walleta wraz z jego wszystkimi adresami. Wiele waletów software’owych ma taką możliwość, podobnie jak wallety sprzętowe takie jak Ledger lub Trezor.
Dla zobrazowania poziomu szyfrowania i stopnia trudności nieuprawnionego dostępu podam kilka porównań, oczywiście orientacyjne tak aby łatwiej było sobie wyobrazić skalę bezpieczeństwa:

12 losowych słów z listy 2048 stosowanej przez Electrum daje ilość kombinacji rzędu 2^128. Ile to jest?
Moc obliczeniową komputerów mierzy się umownie we FLOPS czyli ilości operacji zmiennoprzecinkowych na sekundę. Uruchamiany w 2018 roku najnowszy super komputer Summit (USA) ma moc ok. 180 PFLOPS (PetaFLOPS). Istnieją również inne superkomputery o mniejszej mocy niż Summit. 500 najmocniejszych superkomputerów łącznie (wliczając amerykański Summit) posiada moc poniżej 1000 PetaFLOPS (PetaFLOPS = 10^15 – dziesięć do piętnastej potęgi). Na chwilę obecną, moc sieci BITCOIN szacuję się na odpowiednik około jednego ZettaFLOPS (10^21). Zakładając, iż dysponujemy komputerem o równej mocy, testowanie wszystkich kombinacji mogło by zająć ok. 5,6 miliarda lat.
Trochę długo.
Oczywiście jest prawdopodobieństwo iż udałoby się za pierwszym razem, jednak o wiele większe prawdopodobieństwo jest trafienia 6 liczb ze zbioru 49 ;) ;) ;)
Trzeba tu również wziąć pod uwagę nakłady finansowe związane z podjęciem próby. Wszystkie te rzeczy czynią próbę włamywania się na wallety, nieopłacalne z punktu widzenia ekonomicznego.

Najczęstrze przyczyny utraty środków

Najczęstszą przyczyną utraty środków przez użytkowników jest ich własny błąd. Aby tego uniknąć, należy stosować kilka żelaznych zasad:

  • Używać mocnych haseł wieloznakowych, alfanumerycznych nie powtarzających się z innymi hasłami.
  • Zabezpieczać komputery programami antywirusowymi
  • wyłącznie my mamy dostęp. Nie, portfel ani schowek samochodu nie są bezpiecznymi miejscami.
  • Trzymać na giełdach wyłącznie te środki, które przeznaczone są do bieżącego obrotu.
  • Zasada „Nie trzyma się wszystkich jajek w jednym koszyku” – co znaczy, że warto rozbijać środki i trzymać je w różnych miejscach/giełdach/urządzeniach
  • Paper wallety generować wyłącznie w trybie offline.
  • Używać 2FA - warto! W przypadku Google Authenticator należy pamiętać o zapisaniu w bezpiecznym miejscu frazy odzyskiwania konta, na wypadek utraty urządzenia.

Oczywiście musimy mieć świadomość tego, iż wszystko co wymyślimy może zawieść, możemy mieć zwyczajnie pecha tudzież może wystąpić szereg niekorzystnych okoliczności. Przestrzegając jednak kilku podstawowych zasad bezpieczeństwa, możemy zminimalizować ryzyko utraty naszych coinów lub też w razie nieszczęśliwego zdarzenia – utraty jakiejś części a nie całości.

Powodzenia – nie dajcie się oskubać.
Wasz KryptoJanusz. No i już.

Na koniec kilka ciekawych linków:

Informacja od developerów Electrum nt. recovery phrase:
http://docs.electrum.org/en/latest/seedphrase.html

Informacje na temat zbiorów BIP:
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki#Generating_the_mnemonic

Dyskusja na temat różnic pomiędzy 12 a 24 słowami w recovery phrase:
https://www.reddit.com/r/Bitcoin/comments/2znexd/noobie_here_whats_the_difference_between_a_seed/

bitcoin cryptocurrency kryptowaluty blockchain kryptojanusz
7 years ago by

Downvoting a post can decrease pending rewards and make it less visible. Common reasons:

  • Disagreement on rewards
  • Fraud or plagiarism
  • Hate speech or trolling
  • Miscategorized content or spam

Submit
$0.00
    4 votes
    0
    Authors get paid when people like you upvote their post.
    If you enjoyed what you read here, create your account today and start earning FREE STEEM!