fundering över wallets


#1

Hej!
Jag har funderat på det här med wallets men har inte riktigt blivit klok på hur de ska användas på ett säkert och praktiskt sätt.

För att skapa en wallet skall man egentligen ha en offline-dator där man skapar sin address dit man skickar sina bitcoins.
Man skall inte ens skriva ut wallet-adressen på nätverks-skrivaren eftersom för att minimera risken att få sin plånbok hackad.

Samtidigt vill man ju att det ska gå smidigt och enkelt att göra betalningar med en t.ex telefon som ständigt är uppkopplad till nätet. Man vill kunna se saldo och se om en transaktion är påväg eller inte. Detta strider ju helt mot rekomendationerna ovan.

man skulle kunna lösa det med att ha sin “stora” plånbok säker och använda sin “lilla” plånbok i mobilen och portionera ut pengar till den stora… Men samtidigt vill jag vara säker på att jag inte blir av med pengarna i mobilen även om det är en liten summa… På kontokortet har man ju kanske 10-20kkr i form av en buffer och det är ju relativt säkert. men om jag skulle bli av med motsvarande summa från min bitcoin plånbok på mobilen får jag aldrig tillbaka mina pengar vilket är väldigt surt.

Hur gör ni?


#2

Ytterligare en fundering kring wallets.

Jag har avnänt mig av blockchains tjänst “my wallet” som är en hybrid plånbok. dvs att så länge blockchains hemsida är uppe har jag tillgång till min plånbok och den är krypterad så att ägarna till hemsidan inte kommer åt mina pengar.

Det går att göra en backup av plånboken som skickas till min e-mail. Om jag förstått det hela rätt så har jag med hjälp av backupen tillgång till min plånbok även om blockchains server krashar.

Finns det några risker med att ha sin backup-plånbok på sitt hotmail-konto som jag tror är i stort sätt öppen för vilken noob-hackare som helst?

Mvh/
Daniel Grafström


#3

Var ute efter ungefär samma sak. Kolla in den här tråden.
bitcointalk.org/index.php?topic=458558.0

Så kommer nog jag göra. Vill du vara väldigt safe så kan du skapa betalningen på din kalla dator för att sedan regristrera på en nätansluten dator.
Finns rätt mkt svar på hur tips och trix, hur saker å ting funkar om du googlar runt och läser på.
Vill man ha bra förklaringar på saker så skulle jag rekommendera youtube.
Hittade en som kallar sig för bitcoin 101 som var intressant att lyssna på!


#4

Regel 1: Spara inte mer pengar i din mobila enhet än vad du skulle vara bekväm att spara i kontanter i en plånbok; både har samma syfte (skapa bekvämlighet) och båda har samma svagheter (stöld, eld, vatten, glömska etc).

Regel 2: Spara aldrig mer pengar i bitcoin än vad du har råd att förlora utan förvarning; så som bitcoin är idag finns det ingen som har försåelse nog att förstå och förutse allt som skulle kunna hända med betalsystem/valutan.

Regel 3: För större mängder pengar, eller pengar som skall lagras en lång tid, använd alltid pappersplånböcker, ha alltid multipla uppsättning förvarade på olika platser och generera nyclarna från en dator som inte är ansluten till internet, med en skrivare som inte är ansluten till internet och starta datorn från ett medium som är skrivskyddat, läs igenom källkoden för den mjukvara som skall användas och stäng av samtliga enheter ordentligt så att deras cache och minnen töms.

Regel 4: Vifta aldrig med stora mängder pengar, vare sig i kontanter, med screenshots av plånboksinnehåll, goldklumpar, smycken eller andra värdesaker; prestige-vinsten är simpelt nog aldrig värd hälsorisken; pengar kan alltid själas med vilja, våld och mera våld.


#5

Men, jag förstår hur man gör en “säker” plånbok.

Det jag inte förstår är hur man använder sin säkra plånbok på ett säkert sätt. Oftast kommer jag i kontakt med “sloppy wallets”

Publik adress: Går att skicka bitcoin till denna adress. Går att kolla om betalningen nått adressen.

Privat adress: Samma som ovan, men det går även att se saldo och göra uttag från adressen.

Den privata adressen är ofta krypterad med ett password, kan även vara 2-faktor autentisering.

så, låt säga att jag har en “säker plånbok” och vill komma åt mina pengar för att t.ex göra ett större uttag. Hur kan jag vara säker på att det inte finns malware eller annan mjukvara som scannar mina passwords och kan komma in på det sättet?

Även om jag använder mig av 2-faktors autentisering med t.ex google-authenticator på mobilen så har jag både plånbok, och autentiseringsprogram på samma enhet. Det borde väl inte vara så svårt att komma över tillräckligt med information för att få plånboken kapad?

Eller att att någon kommit över mitt google-konto lösenord och lösenord till en plånbok, då är det väl oxå ganska kört? Då kan de (väl?) lätt installera google-authenticator på sin egen mobil och logga in på plånboken om jag fått min PC hackad? dvs Om jag dessutom har en backup av plånboken på mitt google-konto så är det ju high-score för hackaren…

Någon säger att “key loggers” måste spara alla knapptryckningar till en fil. Det är ju inte sant. Vi har väldigt mycket ramminne i datorerna och kan säkert lagras där tills det går att skicka över informationen tillsammans med något annat för att “gömma” överföringen av data.

jag tycker mig inte riktigt ha fått svar fastän jag sökt runt en hel del.


#6

Ett exempel
Låt säga att jag vill gå in och köpa lite datorutrustning på Inet för 10.000:- Det skulle vara tråkigt att tappa bort denna summa pengar.

Då har jag fått lära mig att man gör såhär (youtube.com/watch?v=rYjH16zbf38):

  1. ta fram pappret med alla slumpade bitcoin adresser, stoppa i fickan.
  2. gå till affären.
  3. överför bitcoin från den säkra plånboken till affären.
  4. Titta på pappret, välj ut nästa lediga adress man vill använda.
  5. knappa in de långa nummret på nästa lediga bitcoin adress mha mobiltelefonen som är känd för att skriva in bokstaven bredvid.
  6. överför pengarna till nästa lediga adress på pappret.
  7. därefter titta upp på expediten och ta varorna och gå ut genom dörren.

Det jag menar är att visst, det går att lösa men det känns inte riktigt som den där smidiga betalmetoden som jag förväntat mig från början. Det borde väl gå att lösa på ett smidigare sätt? Dvs att man gör ett engångsuttag på sin säkra plånbok och behåller resterande pengar där på något sätt?


#7

När du är hemma, innan du går till affären eller försöker göra en beställning, läs in den privata nyckeln från din pappersplånbok till en enhet som inte är säker (web wallet, mobil app, program på din dator). Flytta alla pengar du inte planerar att spendera till en ny, oanvänd, pappersplånbok.

Genomför sedan beställningen med dem pengar du har i den bekväma och användarvänliga enheten?

Att temporärt (timmar/dagar) ha mer pengar än man är bekväm med i plånboken är inte en katastrof så länge du inte viftar med pengarna så folk ser dem. Det är inte mer eller mindre svårt att ta dem ifrån dig för att dem är bitcoin jämfört med andra valutor, allt som behövs är en kniv eller annat tillhygge och några väl valda ord.

Ett tips för att slippa flytta pengar till nya säkra pappetsplånböcker lika ofta är att ha rtt storlekar och rätt antal sådana från början. Har du två 10 000kr plånbocker, en 5 000kr, en 2 000kr, fyra 1 000kr och fem 500kr och vill handla för 10 000kr, så tömmer du antingen en 10 000kr eller lite blandat av dem mindre och behåller eventuell växel på din bekväma enhet.

Personligen sköter jag det hela på omvänd väg; alla inkommande bitcoin lagrara jag direkt på min osäkra enhet och skickar sedan vidare det jag vill långtidsspara till säker lagring, och då långtidssparar jag seriöst (min ~5 år eller så).

Det kommer att komma hårdvara dedikerad till att signera transaktioner som sparar dina privata nycklar och som inte är internet anslutna, som du skickar transaktioner utan signatur till för att få dem signerade och som kommer med olika typer av authentisering innan transaktionerna signeras. En jag minns vid namn är trezor, men det finns många andra på väg ut på marknaden.

Allt detta sagt; om du idag litar tillräckligt på 3:e parten som är din bank så att du har ditt bankkort i plånboken så är det mycket sannolikt att du skulle kunna hitta en annan 3:e part som kan agera bitcoin bank åt dig där du har deras app/kort/webbsida för att sköta saker med.

En bra balans för dig enligt mig skulle vara att ha långtidssparning i pappersplånböcker (pension, spara till hus/bil/båt exempelvis), ha en webbwallet som blockchain.info för mellanlångtidssparning (inkommande lön, räkningar etc) samt en app i din telefon för enklare spendering (mat, nöjen). Detta ger dig bekvämlighet i alla spontana situationer, tillräcklig bekvämlighet för att sköta ditt uppehåll och god säkerhet för att sköta din framtid, och du lägger inte alla ägg i samma korg så skulle det oväntade inträffa och någon av dessa felar, så har du dem två andra kvar.


#8

Hej tack för förtydliganden.

Du nämner att om man " inte viftar med pengarna" så är man relativt säker.
Är du säker på detta? Jag tänker att om man har någon form av spyware i datorn/mobilen som skickar lösenord/adresser till något ställe. Då förmodar jag att den server som tar emot informationen även testar lösenord och plånböcker. Då går det att bli av med sina pengar på några få sekunder från det att man exponerar informationen tills dess att pengarna är borta.

eller?


#9

Korrekt, om din telefon/dator är infekterad med någon mjukvara vars uppgift är att stjäla bitcoins so spelar det ingen roll om du viftar med med pengarna eller inte, det är därför du inte skall förvara onödigt mycket pengar, onödigt länge, i ett medium som kan antas vara hackat. Följande medium kan antas vara hackade:

  1. Alla PC datorer i världen.
  2. Alla Mac datorer i världen.
  3. Alla andra datorer i världen.
  4. Alla telefoner i välden.
  5. Alla surfplattor i världen.
  6. Alla kameror, skrivare och andra datortillbehör i världen.

Kort och gott, lite inte på något du inte byggt själv, men våga lita på dina egna erfarenheter och tid. Har du haft 400kr liggandes på din telefon i sju månader och dem inte blivit stulna kommer du antagligen inte bli stulen på idag heller om du inte gör något annorlunda och om du behöver köpa något för 10 000kr som du behöver ha spenderingsbara på fysisk plats annan än vid den egna dator, så lägg dem på din bekväma och osäkra enhet i några timmar om du så måste och utgå ifrån den är tillräckligt säker eftersom den kunna hålla dina 400kr i sju månader.

Givetvis väljer du själv hur paranoid du vill vara, och du kan hålla alla tillgångar offline, på papper, i ett brand och vattenskyddat kassaskåp men får då också leva med den obekvämlighet som följer.


#10

Jag har tänkt ha en “cold storage” med min stora summa btc, som förhoppningsvis blir värda maaaassa!! :wink:
Då är det väl bra att ha den i pappersform och 3-4 st kopier. Ha en sparad i ett bankfack, ett hemma, ett hos mina föräldrar och kanske någon nergrävd nån stans :wink:
Det jag är orolig med pappersplånböcker är ju att den privata nyckeln också syns. Vilket är givet! Men för en tjuv så är det ju simpelt att ta cashen om han kommer över den. Och även om man har en bunt med sloppy wallets. Så kan ju en som kommer över den här bunten, inkl den stora plånboken kolla över alla plånböcker innan han gör utag från dem. De kommer han ju givetvis börja med den stora och kanske först då jag märker att det händer något.
Börjar han med någon annan så kan jag kanske hinna märka av det och flytta ifrån den stora.

Men det man kan införskaffa för att säkra upp sig lite mer är ju ett program som krypterar dina knapptryckningar. Dvs skickar mot att dina lösenord blir tagna av en keylogger.
Har ej testat detta, finns säkert alternativ till den här men den här som jag blev tipsad om:
qfxsoftware.com/ks-windows/w … ambler.htm

Detta kanske finns till mobilen med?

Btw 2 stegsinloggning är ju jättebra. Där är du ju säker. På de sidor där de använder 2 stegsinloggning. Men har ju inget med plånboken att göra.


#11

Så använd bitcoinpaperwallet.com’s design för pappersplånböcker och försegla den privata nyckeln med stickers för att förhindra folk som är inblandade i hanteringen att lätt och obemärkt kopiera nyckeln? (bankpersonalen för bankvalvet, föräldrar och deras vänner och bekanta för föräldrarna, din egna vänner och bekanta som hälsar på hemma hos dig)

Använd lösenordskyddade krypterade pappersplånböcker sådana att om någon kommer över dem kan dem inte använda dem utan din kod för dekryptering? (Inte bra vid minnesförlust dock)

Kom ihåg att allting som ett program på en dator kan göra, kan också en hackare eller annan mjukvara göra, så det finns inget effektivt skydd där, även om du krypterar end-to-end mellan ditt fysiska tangentbord och programmet som skall ta emot knapptryckningarna så kan hackare alltid göra följande:

  1. Lägga sig mellan din kryptering och mottagaren och utge sig för att vara mottagaren
  2. Notera att du försöker kryptera och byta ut den kod som används för krypteringen sådan att du tror att det är säkert men i själva verket är avlyssnat.

Vidare kan du aldrig vara säker på att den mjukvara du vill använda för att skydda dig faktist gör vad den utlovar om du inte har tillgång till dess källkod, källkoden till den kompilator som skall kompilera samt en tillförlitlig kompilator att kompilera din kompilator på.

Kort och gott, datorer är osäkra! Det är bara en fråga om vilken kombination av hårdvara och mjukvara som är minst osäker, ich min rekommendation är att hitta en så icke-komplex lösning som möjligt med så få komponenter som möjligt som fortfarande är rimligt brukbar.

Jag handlar sällan för större mängder pengar, så jag har inte dem säkerhetsbehov som följer. Det är härligt att vara mig ibland och inte ha alla dessa problem som pengar innebär :slight_smile:


#12

Ok.
Jag förstår mer nu vilket är bra!
Men :wink:

Hur gör man om man är t.ex ett mindre Cafee som vill ta emot bitcoins eller en större butik?
Jag vet att det finns tjänster som direkt växlar till aktuell valuta och sätter in på ett konto vilket gör att plånboken nästan alltid är tom.
Men det finns väl fall där butiksägaren gör detta manuellt och i stort sätt måste byta plånbok dagligen och hålla på och fippla med en massa addresser när man räknar dagskassan?

Eller hur fungerar det för marknadsplattser för bitcoins som t.ex MtGox eler Bitstamp. Det verkar ju som att dessa ställen har en stor plånbok för samtliga bitcoins och fördelar ut det åt sina användare. I annat fall skulle väl inte buggen tvingat många ställen att stoppa bitcoin-betlatlningar(coindesk.com/bitcoin-bug-gui … leability/).
Här är datorerna ständigt uppkopplade mot nätet och där mjukvara har möjlighet att skicka/ta emot bitcoins vilket borde betyta att den privata adressen ligger i minnet någonstans på den uppkopplade datorn.
Här har man ju gigantiska summor av bitcoins och förlitar sig helt på att brandväggen och protokollet håller för hacker-attacker. Eller finns det smartare sätt att gömma den privata adressen?


#13

Intressant tråd, det finns ett uppenbart behov av rekommendationer i detta ämne. Man kan tänka sig lite olika nivåer, som kräver olika grader av säkerhet:

  1. Småpengar i mobilen för dagligt behov.
  2. Pengar motsvarande en lön som används för att sköta räkningar.
  3. Buffertbesparingar.
  4. Pensionsbesparingar.
  5. Mindre affärsverksamhet (typ irriterande ifall pengarna stjäls).
  6. Omfattande affärsverksamhet (typ konkurs ifall pengarna stjäls).

Notera Coinbase, de sparar upp till 97% offline verkar det som.

Fördelen med “en bunt” identiska paperwallets är att man inte förlorar kapitalet vid eldsvåda, eller liknande. Men det ökar ju också risken med motsvarande grad. Om man har en kopia hos sina föräldrar, en i madrassen och en hos sin kompis, då räcker det med inbrott på ett av ställena för att man skall bli av med allt.

Eftersom jag har familj, så vill jag inte att mina pengar skall försvinna ifall jag tappar minnet av en eller annan orsak. En lösning av denna situation är så klart papperswallet i bankfack, men lite enklare kan vara att maila en krypterad nyckel till en familjemedlem och krypteringslösenordet till en annan familjemedlem. Om något av deras mail blir hackat så räcker inte det för att kunna komma åt mina bitcoins. Svagheten med denna lösning är ifall båda dessa mail blir hackade utan att någon märker det eller om någon lyssnar av denna kommunikation. NSA kan säkert knäcka det, men den risken kan man kanske acceptera. En luring är att inte spara automatiska kopior av dessa utgående mail i sin egen mail, vilket skulle utgöra en “single point of failure”.


#14

Det bästa om du vill ha en helt privat är ju att ha en “cold” dator. Dvs en som INTE har, är eller kommer vara uppkopplad mot internet. Gör din betalning/flytt ifrån den till en public plånbok.


#15

För affärsverksamheter som säljer varor eller tjänster mot bitcoins och som har för avsikt att spara sina bitcoins över lång tid är lösningen enkel, ta emot dina betalningar direkt in på en pappersplånbok som redan ligger i säker förvaring. Alternativet är att ta emot betalningar in till en daglig “dagskassa” plånbok som flyttas till säker lagring varje kväll men som fram tills dess kan användas bekvämt.

För större verksamheter som använder bitcoin båda som inbetalning och utbetalning på olika vis är det givetvis inte like enkelt att hitta en bra balans. Ett avtal med en 3:e part och en försäkring löser dock det mesta, det är nämligen vad en bank är och det har fungerat tillräckligt bra för företag hittils.


#16

Ok, jag tror att jag kan har stuttit och fantiserat ihop vissa historier och skrämt upp mig själv lite.

Angående Google authenticator som används vid 2-faktors autentisering, så måste man autentisera sig om man vill installera på fler enheter. Dvs även om någon kommer över ens google-lösenord så krävs det en hel del mer för att lyckas komma över appen och få tillgång till lösenorden.

Blockchain -mywallet verkar inte visa den privata adressen någonstans. Så även om man har ett virus som loggar knapptryckningar eller gör skärmdumpar blir det svårt att komma åt kontot om man använder sig av 2-faktors autentisering så är man relativt säker.

Om man gör en backup av plånboken krypteras denna som en textfil i speciellt format.
blockchain.info/wallet/wallet-format
Detta tycker jag känns lite oturligt eftersom om man försöker knäcka lösenorden blir det väldigt tydligt om man lyckats eller inte. Även om det krävs en massa datorkraft och tid så går det säker att ordna genom att distrubuera ut datorkraften till olika (kapade?) datorer. Det finns massa exempel på att detta görs i dagsläget så jag skulle nog vara försiktig med att skicka backupen till min e-mail eller annat ställe där filen finns på en el flera servrar.


#17

Det förvånar mig att ingen nämner Armory i denna tråden. Armory är just till för att hantera stora mängder bitcoin på ett säkert sätt, även för den mest paranoida.

  1. Installera Armory på en dator som alltid är offline och skapa en plånbok. Här lagras dina privata nycklar. Det går bra att skicka bitcoin till denna adressen, även när datorn är offline.
  2. Installera Armory på din internetanslutna dator. Här importerar du en “watch-only” plånbok från offline-datorn vilket innebär att endast de publika nycklarna finns lagrade på din osäkra dator.
  3. Om du vill spendera pengarna, skapa en “offline transaction” på internetdatorn. En fil skapas som förs över till offline-datorn med t.ex. USB eller CD-R. Transaktionen signeras med hjälp av dina privata nycklar och lösenord. För tillbaka transaktionsfilen till online-datorn för att slutföra överföringen. Din online-dator kan vara full av virus och keyloggers utan att de privata nycklarna är i fara och offline-datorn är naturligtvis mycket svår att hacka via internet :slight_smile:
  4. Skapa pappersbackuper att lagra på olika platser för att kunna läsa tillbaka de privata nycklarna om t.ex. huset brinner upp. Armory stödjer M-of-N backuper vilket betyder att du t.ex. kan skapa tre pappersbackuper där minst två behövs för att återläsa nycklarna (2-of-3). Om ditt bankfack blir rånat kommer boven ändå inte åt dina pengar utan tillgång till en av de andra backuperna. 5-of-8-backuper skulle vara intressant… eller? :wink:

#18

Armory tipsade jag om i min tråd jag länkade. Dock var det en bra förklaring på hur det funkar du gav och det där med 2 av 3 backuper var intressant!
Jag har nämligen tänkt att använda armory och en offline dator.