Šta je novo?

Ukradeni koini

Mislim da je passphrase max 8 karaktera.

Samo mi je čudno da je passphrase (jedna reč) sigurniji od 24 reči. Verovatno zato što je ovaj sa 24 verovatno kompromitovan pa je ovaj drugi wallet sa jednom šifrom sigurniji.

Da si pazljivo procitao sajt, video bi da pise "Choose and confirm a secret passphrase (max 100 characters)"
Dakle max nije 8 vec 100. Za pin je maksimalno 8, ali to nije passphrase.
A ti ako si stavio passphrase duzine 8, to je kao da ga i nemas.. Za brute-force to i nije neka prepreka.

I taj seed od 24 reci nije kompromitovan. Kompromituju ga vlasnici samog ledgera. Da je seed od 24 reci kompromitovan, ne bi ovde citao jedan ili dva slucaja ukradenih coina. Vec bi na svim kripto vestima, twiteru, i raznim forumima, imao desetine, stotine korisnika kojima su ukradeni coini. Tu vest ne bi mogao da propustis i da zelis.
Zasto je passphrase sigurniji od 24 reci. Zato sto su 24 reci od unapred definisanih reci. Neko (to mozes i ti) moze da uzme svoj ledger i krene da unosi razne kombiacije tih reci. Pa ako ti se posreci, posreci. Sansa da ubodes prave reci i pravi redosled tih rec je skoro ravna nuli. Tu dolazi pasphrase. Dakle passphrase generises ti i samo ti znas. Sto duze i sto kompleksnije (random) to sigurnije. Pa tako ako stavis passphrase duzine 15 (random brojevi, velika i mala slova..) dobijas 768,909,704,948,766,630,184,222,720 kombinacija.
Tako nesto se ne probija sa brute-force, vec se ceka da ti narpavis gresku (keyloger, slikas ili ostavis na racunaru seed+passphrase.txt fajl i lepo zapises da se covek ne muci).
 
Da si pazljivo procitao sajt, video bi da pise "Choose and confirm a secret passphrase (max 100 characters)"
Dakle max nije 8 vec 100. Za pin je maksimalno 8, ali to nije passphrase.
A ti ako si stavio passphrase duzine 8, to je kao da ga i nemas.. Za brute-force to i nije neka prepreka.

I taj seed od 24 reci nije kompromitovan. Kompromituju ga vlasnici samog ledgera. Da je seed od 24 reci kompromitovan, ne bi ovde citao jedan ili dva slucaja ukradenih coina. Vec bi na svim kripto vestima, twiteru, i raznim forumima, imao desetine, stotine korisnika kojima su ukradeni coini. Tu vest ne bi mogao da propustis i da zelis.
Zasto je passphrase sigurniji od 24 reci. Zato sto su 24 reci od unapred definisanih reci. Neko (to mozes i ti) moze da uzme svoj ledger i krene da unosi razne kombiacije tih reci. Pa ako ti se posreci, posreci. Sansa da ubodes prave reci i pravi redosled tih rec je skoro ravna nuli. Tu dolazi pasphrase. Dakle passphrase generises ti i samo ti znas. Sto duze i sto kompleksnije (random) to sigurnije. Pa tako ako stavis passphrase duzine 15 (random brojevi, velika i mala slova..) dobijas 768,909,704,948,766,630,184,222,720 kombinacija.
Tako nesto se ne probija sa brute-force, vec se ceka da ti narpavis gresku (keyloger, slikas ili ostavis na racunaru seed+passphrase.txt fajl i lepo zapises da se covek ne muci).

Da, video sam da piše max 100 karaktera, ali na ledger-u je bilo 8 polja. Verovatno da sam nastavio da kucam, otvarala bi se nova polja. Moram sad da menjam taj passphrase i stavim malo duži.

Hvala za info.
 
Passphrase ne može da se promeni, može samo da se napravi novi novčanik sa novom frazom. Ponovo ćeš morati da prebaciš novčiće na novu adresu.
 
Svi novcanici koji imaju 24 reci kao backup su kompromitovani, tj svi bip39 novcanici sa liste https://www.blockplate.com/blogs/blockplate/list-of-bip39-wallets-mnemonic-seed. ukljucujuci i LEDGER.
Clanu sa naseg foruma su jutros ukrali 300+ eth sa Ledger novcanika.
Urgenta preporuka svima je da se obicni nalozi zamene nalozima sa passphrase security opcijom, tj da im se doda 25 rec bez koje nece biti moguce pristupiti novcaniku sa 24 reci koje mogu biti kompromitovane.
https://support.ledger.com/hc/en-us/articles/115005214529-Advanced-passphrase-security

Da je ovo tačno, brujao bi Reddit o ovome. Nema ovo veze s' mozgom.
 
I taj seed od 24 reci nije kompromitovan. Kompromituju ga vlasnici samog ledgera. Da je seed od 24 reci kompromitovan, ne bi ovde citao jedan ili dva slucaja ukradenih coina. Vec bi na svim kripto vestima, twiteru, i raznim forumima, imao desetine, stotine korisnika kojima su ukradeni coini. Tu vest ne bi mogao da propustis i da zelis.

Upravo tako.
 
Istaina. Ali jos uvek nisu provalili kako je procurelo tj na koji nacin. Da li je neko implementirao nesto u ledger pre preprodaje ili je neko pecanje...to se ne zna. A mozda je neko imao ludu srecu da ubode slucajno kombinaciju :) Jeste jako malo verovatno ali nije nemoguce. Istina je da treba hiljade godina da se provrte sve kombinacije, ali to ne znaci da neko nece naleteti prvi dan mesec na neki aktivan wallet. Zato je dobro da se doda i ta 25 rec koje nema u fondu od 2048 reci sto po meni skoro iskljucjue mogucnost slucajnog probijanja.
 
Bilo je prije price za Ledger da su ljudi prodavali wallet uredno zapakovan u celofan sa vec odstampanim seed-om. Ko je uzeo takav wallet a nije generisao novi seed taj je ostao bez novcica. Znaci ili kupiti direktno sa sajta ili ako se uzima od preprodavca resetovati wallet, generisati novi seed i cuvati na sigurnom offline.
 
Jedno pitanje, posto je ovde bilo reci o upadu preko TeamViewera, ja kad god sam pokusao da dodam svoj kompjuter nakon recimo reinstalla sistema uvek sam morao da radim verifikaciju preko maila a uz to kada otvorim taj komp preko TV ne uloguje me odmah vec dobijem lock screen i potreban je password. Ako su svi passwordi razliciti kao sto i jesu, kako kog djavola sve skinu? Razumem provale jedno, neki breach, nadju pass, iskombinuju jedan ajde, ajde dva, ali bas tri passa ne znam kako, mislim znam da para vrti de burgija nece, sve mi je jasno, ali jel moze jos neki tip kako imati TV aktivan a da mi bas ne ceslja komp ko stigne? :D
 
Pa recimo imas worm koji belezi svaki unos sifre u svaki softver/online platformu. I tako godinu dana vrsi akviziciju. Onda vlasnik proda bazu podataka sa milionima zarazenih kompjutera (medju njima i tvoj) klijentu koji hoce da krade cc na taj nacin. On parsira-uzorkuje bazu za softvere (ili naloge online npr.gmail) koji ga zanimaju. I ima tvoj email, tw, itd. Recimo ja bi to tako :D
 
Ha ha, dobro, zaboravih da se ogradim da ce se worm bas bas tesko provuci s obzirom da ne skidam kojesta i sve sto je iole sumljivo zaobidjem. Racunarski sam pismen i znam da nisam 1.000.000. posetilac. Sa keylogerom naravno stvar postaje jasna, tu nema price, to je bukvalno na izvolte ako uspe neko da ti instalira. Krao sam i ja sifre za internet dial up krajem 90ih na deep throat klijent/server aplikaciji, etc. :D
 
Ma brate mozes biti pismen koliko hoces. Ako koristis piratski softver pocev od windowsa dobre su sanse da nesto imas. Firewall tu moze pomoci ali... Ko vise moze da isprati backdoorove, bugove itd sve je jako kompleksmo... browseri su sad sistemi za sebe. Aplikacije se updteuju svaki dan... nema nista ni od privatnosti ni od bezbednosti.
Android da ne pricam.
Linux je po meni ok ali godinama ga ne koristim. Nekako falilo je mnogo da bi mogao da radim komforno. Mada sad bas razmisljam da malo eksperimentisem, da vidim kakvo je stanje sad.
Ja fragmentujem aktivnosti na vise racunara/telefona i naloga pa se nesto nadam nece mene :D
 
Linux je sada top.


Sent from my iPhone using Tapatalk Pro
 
Nazad
Vrh Dno