چرا کیف پول سخت افزاری از کاغذی امن تر است؟

چرا جاهای مختلف از جمله همین سایت، کیف پولِ سخت افزاری رو امن‌ترین روش معرفی می‌کنید؟ من به چند دلیل میگم کاغذی بهتره. اولاً برخلاف والت سخت افزاری که فقط یک نسخه است چند نسخه‌اش رو جاهای مختلف نگه داری می‌کنم. دوماً مشکل شوک الکتریکی و افتادن تو آب و … نداره. و اگر همۀ نسخه‌های کاغذی رو با هم گم کنم می تونماز نسخۀ جایگزین که تو چند تا کلود ذخیره کردم استفاده کنم. ضمنا نسخۀ دیجیتال رو داخل یک فایل rar رمزگذاری شده قرار میدم که شکستنِ رمزش تقریباً غیرممکنه. به نظرم خرید کیف پول سخت افزاری چیزی جز خرج اضافه نیست. بازم دلیلی دارید که والت سخت افزاری رو امن تر از کاغذی بدونید؟

مشتاق سوال شده در آگوست 9, 2019 در امنیت.
افزودن نظر
6 پاسخ(ها)

در لجر برای دسترسی به دارایی نیاز به کلید خصوصی نیست ولی در کیف کاغذی باید کلید خصوصی رو در یک ولت آنلاین import کرد که اون موقع از حالت آفلاین و امن خارج میشه مگر اینکه به پسووردی که به کلید خصوصی دادیم اعتماد کنیم !!  ضمن اینکه برای ساخت کیف کاغذی باید نکات امنیتی رو رعایت کرد و خود سایت bitaddress جای تامل داره نکات منفی لجر هم قیمت بالا و خرابی اون هست که خیلی ها اینجا دیدم گفته بودن کیف پولشون سوخته

مشتاق پاسخ داده شده در آگوست 9, 2019.

اشتباه می‌کنید. بالاخره هر والتی برای انتقالِ پول به کلید خصوصیِ شما نیاز داره. حالا سخت افزاری داخلش ذخیره شده و نیازی به تایپ نیست. کاغذی باید خودتون تایپ کنید. به هر حال اون والتِ آنلاین با هر روشی که private key شما رو دریافت کرده با همون روش هم میتونه ازش سوء استفاده کنه. پس اگر یک والت آنلاین کلاهبردار باشه چه لجر داشته باشید چه کاغذی پولتون رفته هوا! این که از این.

ولی اگر منظور شما تایپ کردنِ کلید خصوصی و بحثِ کی لاگرهاست بله درسته ولی این مشکلم به راحتی میشه با جا به جا کردن بیت کوین از یک سی دی لایو (ویندوز یا لینوکس لایو) برطرف کرد. هیچ بدافزاری نمیتونه روی یک رسانۀ read-only فعالیت کنه.

در مورد bitaddress هم اشتباه می‌کنید. این سایت متن بازه و کدش رو  گیت‌هاب هست. توی کدش نکتۀ مشکوکی نیست. منتهی برای امنیت بیشتر سورسش رو بهتره دانلود کنید و بعد از کشیدن کابل اینترنت داخلِ یک Sandbox اجرا کنید. اینجوری به صورت آفلاین کلید خصوصی تولید میشه و هیچ ردی هم از شما در سیستم باقی نمیمونه. اساساً الگوریتم ساخت private key متن بازه و اگه کسی آشنایی داشته باشه با کدنویسی خودش میتونه تولیدش کنه. تولیدش چیز پیچیده ای نیست.

من جای شما بودم به خودِ لجر و کیف پول های سخت افزاری شک می کردم. الکترونیک علمِ بی رحمیه خیلی کارها میشه باهاش کرد که حتی به مخیله تون نمیرسه. بازم میگم کیفِ پول های سخت افزاری به نظرم فقط مزیتش سهولته و الا به لحاظ امنیتی مشکل داره.

در آگوست 10, 2019.

ببینید در حالت عادی یک شخص اصلا نیازی به کلید خصوصی ارزهاش نداره چه در کیف آنلاین چه سخت افزاری بدون استخراج کلید خصوصی می تونه به موجودیش دسترسی داشته باشه ولی در کیف کاغذی برای دسترسی به دارایی به “اجبار” باید کلید خصوصی رو در یک ولت دیگه وارد کرد و اینجاست که مفهوم کیف پول کاغذی از بین میره به عبارتی دارایی شما تا زمانی که داخل کیف کاغذی است آفلاین و سرد محسوب میشه ولی در لجر ضمن دسترسی زنده به دارایی ها کلید خصوصی ها سرد و آفلاین داخل لجر باقی میماند حتی خود لجر هم به کلید خصوصی فرد دسترسی نداره مگه اینکه خود شخص بخواد کلید خصوصی هر یک از ارزهاش رو استخراج کنه

در آگوست 10, 2019.

توضیحم رو دقیق نخوندید.

کیفِ پول سخت‌افزاری کلیدِ خصوصی رو در اختیارِ والت آنلاین قرار میده ولی به روش خودش. بالاخره اون سایت یا نرم‌افزار برای جابه‌جا کردن کوین به کلیدِ خصوصی شما نیاز داره. پس این تصور از بنیان اشتباهه که کلیدِ خصوصی برای همیشه در لجر یا هر والتِ سخت افزاری دیگه‌ای پنهان می‌مونه. فرقش با کیفِ پولِ کاغذی اینه که شما نیازی ندارید خودتون کارِ وارد کردن کلیدِ خصوصی رو انجام بدید بلکه به صورتِ الکترونیکی انجام میشه. لطفاً کمی بیشتر رو این موضوع فکر کنید. هر کیفِ پولی چه کاغذی و چه سخت افزاری بالاخره روزی که بخواین کوین جابه‌جا کنید به کلیدِ خصوصی‌ات نیاز داره.

در آگوست 10, 2019.

منظور از جا به جایی کوین send و recieve معمولی ارزهاس یا بازیابی محتویات کیف کاغذی در یک کیف آنلاین برای جا به جایی  و ریکاوری و بالا آوردن دارایی ها است چون این دو مفهوم متفاوت است! اگر منظور شما جا به جایی کوین ها از یک کیف به کیف دیگر است حالا چه کاغذی به آنلاین چه آنلاین به آنلاین سوالی پیش میاد !

سوال ؟ اساسا چه زمانی نیاز به جا به جایی کوین و مشاهده دارایی ها در یک کیف پول دیگر است !؟

پاسخ :

1_ زمانی که از کیف کاغذی استفاده می کنیم و برای دسترسی به دارایی مجبور به import کلید خصوصی در یک ولت آنلاین هستیم

2_ زمانی که کیف گرم آنلاین فعلی تحریم یا بلاک می شود نیاز به نقل مکان به کیف جدید برای ریکاوری دارایی هستیم که باز هم نیاز به وارد کردن کلید خصوصی ها به صورت دستی در یک ولت دیگر هستیم

حال چه زمانی نیاز به جا به جایی کوین ها از یک کیف سخت افزاری مثل لجر به یک کیف دیگر هست !؟ تقریبا هیچ زمان

1_ برای مشاهده و مدیریت موجودی نیاز به کیف دیگر نیست در همان لجر انجام میشود در نتیجه نیاز به کلید خصوصی نیست

2_ امکان تحریم و قطع دسترسی در لجر وجود ندارد که بخوایم یک روزی کوین هارو به کیف دیگر جا به جا کنیم

3_ با خراب شدن کیف لجر نیاز به کلید خصوصی و بارگذاری در یک کیف آنلاین نیست با خرید یک لجر دیگر و وارد کردن seed دارایی ها ریکاوری می شود

“پس این تصور از بنیان اشتباهه که کلیدِ خصوصی برای همیشه در لجر یا هر والتِ سخت افزاری دیگه‌ای پنهان می‌مونه”

با توضیحات فوق دقیقا کلید خصوصی ارزها برای همیشه داخل میکرو کنترلر لجر به صورت آفلاین پنهان و باقی می مونه چرا که اصلا نیازی به اون نیست !

در آگوست 10, 2019.

چند سوال.

1- شما گفتید تحریم. من میگم اگه علاوه بر تحریم دارایی شما رو برداشت چه می‌کنید؟ خیلی‌ها صرفِ اینکه یک کیفِ پولِ گرم به اون‌ها کلیدِ خصوصی میده تصور میکنن کیفِ امنیه.

2- از کجا اینقدر به لجر مطمئن هستید. اگر طرف دلش خواست دارایی شما رو برداشت کنه چی؟ بالاخره سخت‌افزار و نرم‌افزارِ اون توسط یک شرکت ساخته شده و اختیارش دستِ اونهاست.

در آگوست 12, 2019.

ایوب. پاسخ کامل سوالات تون رو می تونید تو سایت ردیت ببینید. حتی یکی از کارکنان شرکت Ledger به نام مستعار btchip همیشه به تمام سوالات جواب میده :

https://www.reddit.com/r/ledgerwallet/comments/4xgi2t/does_ledger_know_your_private_keys/d6fcxid/?context=8&depth=9

 

Q: Does Ledger know your private keys?

A: The wallet comes with a private key which is only known by the device and used to authenticate the hardware – it is not related to your funds. Everything related to your assets remains your own property, and the device helps protecting them.

 

Q: So the private key is known by the device, but how could Ledger, the ones who made the device, not have access to that info?

A: We don’t have access to your keys, and we don’t even have access to this key – secure elements are good at that, given that they don’t offer debugging interfaces and are tamper resistant.

Q: There’s something I don’t understand. Ledger company -> manufactures a nano S hardware device -> uploads a private key in the device -> sells the device . How is the private key not known by Ledger, if they upload it ?

A: We don’t upload a private key in the device , we ask the device to generate a key pair – the private key stays onboard. Then we sign the associated public key during the manufacturing process to prove that we issued that device. This protects against attackers that would produce a clone looking like the real device but not behaving like it.

(also this key is only accessible in specific use cases to avoid turning it into a super cookie)

Q: How can it be certain for customers that Ledger can’t get the private key out of the device after it is generated?

A: Let’s suppose we could (even if it would be pretty useless for that key as it doesn’t belong to you – so let’s consider we could grab any key), you can review that the applications code has no covert channels (so it cannot leak secrets), and that clients interacting with the hardware only use the documented functions. Therefore the only way to get those keys would be to collect all devices after they’ve been personalized by the end user and run something on them. Not really scalable.

 

سوای تمام این مسائل شعار لجر هک ناپذیری و امنیتش بوده و حتی میشه از اون به راحتی تو یه کامپیوتر فوق ویروسی هم استفاده کرد و مشکلی نداشت چون هیچ احدی نمی تونه به کلید خصوصی دسترسی داشته باشه و در سخت افزار اصطلاحا Hard Lock شده. تنها هکی که من ازش اطلاع دارم از دو طریق انجام میشه یکی از طریق جاوا هستش که کامپیوتر ویروسی آدرس والت شما رو با مال خودش جایگزین می کنه تا پول به آدرس سارق ارسال شه. برای رفع این مشکل، قبل از ارسال کوین آدرس والت تو صفحه لجر به نمایش در میاد و از شما می خواد که اونو با آدرس ارسالی کیف پول مطابقت بدین و اگه مطمئن بودید دکمه تایید سخت افزاری لجر رو فشار بدید. روش دوم هم اینه که یکی بخواد لجر رو باز کنه و آی سی شو عوض کنه و بعد بفروشه تا بتونه به کل اطلاعات کیف پول دسترسی داشته باشه. در این مورد تو یه مقاله به صورت مفصل توضیح دادم. اولا اینکه این مورد کار هر کسی نیست و دوما اینکه میشه راحت لجر رو باز کرد و چیپ مربوطه رو چک کرد تا کاملا خیال تون راحت باشه. از طرف دیگه خود لجر هم گزینه Authenticity Check داره و دیگه کسی به راحتی نمی تونه اینکارو بکنه.

یه بحث دیگه هم هست. هزاران هکر تو دنیا وجود داره که مطمئنا لجر رو باز کردن و بررسی ش کردن. می دونی اگه یکی بخواد پی ببره که شرکت مربوطه توانایی دسترسی به کلید رو از طریق آنلاین داره چه بلایی سر شرکت میاد ؟ مثل ایران که نیست. کل کمپانیش جمع میشه و دیگه کسی بهشون اعتماد نمی کنه. یه جایزه ای هم شرکت لجر تعیین کرده بود برای کسی که بتونه نقص امنیتی شو پیدا کنه. اتفاقا یه جوون فکر کنم 18 ساله موفق شد اما برای این کار نیاز بودش که هکر به لجر نانو دسترسی داشته باشه. نه اینکه مثلا بخواد از طریق آنلاین هکش کنه. البته فرم ورش بعد ها آپدیت شد و طرف هم جایزه رو برد.

مشکلی که من با کیف کاغدی دارم اینه که باید کلید خصوصی رو بالاخره به صورت آنلاین استفاده کرد. سوال اینه که اگه کامپیوتر به هر نحوی ویروسی باشه و طرف بتونه به کلید خصوصی دسترسی داشته باشه یعنی تمام. می دونین چقدر از این طریق کوین شونو از دست دادن ؟ کیف پول کاغدی به نظرم زمانی خوبه که شما اصلا به پولش احتیاج نداری و فقط می خوای ذخیره کنی. اما اگه بعدا نیاز بود حتما باید کل پول رو در یک مرحله انتقال داد و دیگه ازش استفاده نکرد. برای استفاده خرد هم از یه کیف پول مجزا استفاده کرد. این نظر منه.

 

 

در آگوست 13, 2019.

راستی یه نکته جالب دیگه هم که وجود داره اینه که شما می تونید برای لجر یه حرف رمز 25 ام هم در نظر بگیرید. حالا این واسه چه کاری خوبه ؟ فرض کنید که لجر نانو همراه تونه و به یه سارقی برخوردین که مثلا با اسلحه ش شما رو مجبور می کنه که رمز رو بزنید و پولو به حسابش انتقال بدید. شما خیلی راحت رمز رو وارد می کنید و وارد اکانت معمولی تون میشید و دزد می بینه که پول زیادی تو اکانت تون نیست بی خبر از اینکه تمام پول تون تو رمز خصوصی دوم ذخیره شده. پس فکر همه چیزو کردن.

در آگوست 13, 2019.

یه نکته جالب دیگه. اگه لجر تون نابود شه حتما نیازی نیست که یه لجر دیگه خریداری کنید. می تونید خیلی راحت با استفاده از نرم افزاری کلید خصوصی تون رو از طریق کد 24 حرفی استخراج کنید که مسلما پیشنهاد نمیشه وقتی امنیت کامل با لجر برقرار میشه.

در آگوست 13, 2019.
افزودن نظر

کاملا اشتباه میکنی ! با کیف پول لجر کار کنید و متوجه امنیتش میشید !

کاغذی رو چند جا نگهدارید و کسی پیدا کنه چی ؟ چطوری روش رمز و پسورد میزارید ؟

دوما ) طوری میگید شوک الکتریکی ! خب موبایل و یا لپ تاپ یا هرچیزی مراقبش نباشی میسوزه ! (‌کاغذم جوهرش اوکی نباشه پاک میشه )

سوما ) کلود رو امن میدونید ؟ ( قطعا این کاره نیستید ) کسی بیت کوین رو نمیزاره توی کلود

چهارما ) یعنی rar رو با سخت افزاری یکی میدونید ؟ (‌بازم میگم قطعا کار نکردید )

 

کیف پول سخت افزاری رو ۵۰ تا ۱۵۰ دلار قیمت داره و واقعا خرج الکی نیست !

 

مشتاق پاسخ داده شده در آگوست 9, 2019.

دوست عزیز هرچیزی که با قدرتِ تبلیغات به عنوان نیاز به مشتری تحمیل میشه رو نباید نیازِ واقعی قلمداد کنید. عرایضم رو دقیق نخوندید.

موقع ساخت والتِ کاغذی میشه Passphrase تعریف کرد که فقط با اون میشه از private key استفاده کرد. یعنی اگه یه وقتی کلید خصوصی دست کسی افتاد بدون اون passphrase نتونه ازش برداشت کنه.

کلود رو امن نمی‌دونم. فایل زیپ رمزگذاری شده رو امن می‌دونم. کافیه والت رو داخل یک rar قرار بدید و رمز اون Rar رو 14 کاراکتر ترکیبی از حروف، اعداد و سمبل ها انتخاب کنید. شکستن چنین رمزی با روش بروت فورس تقریباً 4 قرن طول میکشه. اگه 20 کاراکترش کنید میره بالای 1000 قرن که در این حالت اگر کل ابرکامپیوترها و کلاسترهای محاسباتیِ زمین بسیج بشن بازم نمیتونن زودتر از چند قرن رمزگشایی کنن. rar قطعاً با سخت افزار قابل مقایسه نیست! چیزی فرای اونه. به عنوان کسی که شناختی از روش های رمزنگاری داره. یکی از ایمن‌ترین تکنیک‌های محافظت از اطلاعات رو فایل‌های rar رمزگذاری شده می‌دونم؛ البته نه با رمز 123456. می‌تونید مدت زمان شکستن هر رمز رو در سایت کسپرسکی به صورت تخمینی محاسبه کنید.

کیفِ پول سخت افزاری یعنی پول دادن به یک سری آدم که از این بازارِِ گل آلود ماهی میگیرن. حتی اگه کیفِ پول سخت افزاری مجانی باشه بازم نباید به عنوان تنها روش بهش متکی باشید. توصیۀ اکید می‌کنم به تجهیزات الکترونیکی اعتماد نکنید!

در آگوست 9, 2019.
افزودن نظر

کیف پول کاغذی brain wallet بسازید و حفظ کنید

آشنا پاسخ داده شده در آگوست 9, 2019.

فکر کنم منظورتون Paper Wallet بوده. Brain Wallet یک روشِ دیگه است که البته ایمن نیست. امن ترین روش همون paper wallet هست.

در آگوست 9, 2019.
افزودن نظر

امنیت کیف پول سخت افزاری و کاغذی در یک حده و بالاست ولی با کیف پول سخت افزاری خیلی خیلی راحت تر هستید در نقل و انتقال و …

در ضمن،کیف پولتون بسوزه هیچ مشکلی پیش نمیاد،یکی دیگه میخرید و ریستور میکنید.

کارشناس پاسخ داده شده در آگوست 9, 2019.

میشه در مورد بازیابی بیشتر توضیح بدید.

در آگوست 9, 2019.

عبارت 24 حرفی بتون میده که با استفاده از اون میتونید محتویات رو ریستور کنید.البته همه ی کیف پول ها مثل هم نیستن.بعضی ها 18 و بعضی ها 12 حرفی میدن و یا کی فایل در اختیارتون قرار میدن.

در آگوست 10, 2019.

در ضمن کیف پول سخت افزاری فقط پسورد نیست.شما میتونید به جز پسورد از ارسال کد به ایمیل،ارسال کد با اس ام اس و از authenticator هم استفاده کنید که همه ی این ها با هم احتمال ریسک از دست دادن رو کاملا به صفر میرسونه. در کیف پول فیزیکی شما به جز بیت کوین،میتونید سایر اززها رو هم ذخیره کنید که همینطور که میدونید خیلی از ارز ها کیف پول کاغذی ندارن(معمولا با توجه به کیف پول،مینیموم بالای 1000 کوین یا توکن).همه جا میتونید حمل کنید و با لپ تاپ یا گوشی از ارزهاتون استفاده کنید.پس دادن 100 تا 150 دلار ارزشش رو داره.

در آگوست 10, 2019.
افزودن نظر

کی گفته نمیشه رو کیف پول کاغذی پسورد گذاشت که اون دوستمون گفت، پسوردم میشه گذاشت، منم با کاغذی موافقم

آشنا پاسخ داده شده در آگوست 9, 2019.
افزودن نظر

هر دو امنیت خوبی دارن

ریکاور کردن لجر راحت تره, بسوزه یا گم بشه یکی دیگه میخری ریکاور میکنی

ولی کاغذی گم کنی یا هر اتفاقی بیافته کارت تمومه مگر اینکه بکاپ داشته باشی تو جای امن

نقل و انتقال تو کاغذی سخته

مبالغ بالا برای نگه داری طولانی مدت به نظرم کاغذی

 

در کل اینکه هیچ موقع نباید به یک جا تکیه کرد و همه دارایی رو تو یک جا نگه داشت

 

آشنا پاسخ داده شده در اکتبر 6, 2019.
افزودن نظر

پاسخ شما

برای ارسال سوال, شما باید شرایط و ظوابط و شرایط استفاده از خدمات را قبول کنید