Как я узнаю, что мой пароль или резервная информация не передаются при создании нового кошелька?

Question

Как я узнаю, что мой пароль или резервная информация не передаются при создании нового кошелька?

- 7
- 746 2019-02-21
Несколько сервисов предлагают создать новый кошелек/аккаунт/ключtezos (tz1...). Например,рассмотрим Galleon Wallet . При вводе пароля создается новый кошелек:

Затем вам нужно выбрать набор из 12 слов,которые будут использоваться для создания резервной копии и восстановления доступа к учетной записи в случае необходимости. У меня вопрос: как мне узнать,что указанная выше личная информация никому не передается? Думаю,это как-то можно увидеть в исходном коде программы. Но некоторые из них не имеют открытого кода. Например, kukai - это веб-служба,которая создает кошельки. Как мы можем узнать,что создание кошельков безопасно? Несомненно,между этими сервисами и блокчейном должна быть какая-то «официальная» связь. Существует ли какой-либо протокол,обеспечивающий такую безопасность,или этот уровень полностью отделен от взаимодействия этих служб создания кошельков с блокчейном?

Several services offer to create a new tezos wallet/account/key (tz1...). For example, consider Galleon Wallet. By entering a password, it produces a new wallet:

You then need to choose a set of 12 words, which are used to make a backup and to recover access to the account in case it is needed. My question is, how do I know the private information above is not being shared with anyone? I imagine this can somehow be seen in the source code of the program. But some are not open source. For instance, kukai is a web service that creates wallets. How can we know such creation of wallets is secure? Surely there must be some sort of "official" communication between these services and the blockchain. Is there some protocol that ensures such security, or is that a layer altogether detached from the interaction of these wallet creation services with the blockchain?

security wallets

2 ответ

голосов

lefessan · Answer 1 · 2019-02-21

6

2019-02-21

Если ключ создан на их сервере,у вас нет возможности узнать.

Если ключ генерируется локально в вашем браузере,вы можете попытаться отслеживать сеть,чтобы увидеть,что кошелек отправляет на сервер.Однако он может найти другие способы получить ключ,например,ожидая случайное время перед его отправкой,путем шифрования сообщения или просто путем ограничения случайности при генерации ключа,чтобы он мог угадать его позже.p>

Я думаю,что единственный надежный способ - использовать внешнее устройство,такое как Ledger или Trezor,оно будет генерировать ключ и вводить его внутри устройства,так что кошелек никогда не получит доступ к ключу,используйте устройство только дляподписывать операции.

Всем привет.У меня есть Ledger,и я пытаюсь создать с ним кошелек,но,похоже,для этого требуется программное обеспечение (например,см. [Здесь] (https://medium.com/cryptium/how-to-store-your-tezos-xtz-in-your-ledger-nano-s-and-delegate-with-magnum-wallet-3871dc4bd3b7)).Может я путаю ключ с кошельком.Ваша фраза здесь меня озадачивает: «внешнее устройство,такое как Ledger или Trezor,оно будет генерировать ключ и вводить его внутри устройства,так что кошелек никогда не получит доступ к ключу,используйте устройство только для подписи операций».Чем безопаснее оборудование,если я могу создавать кошельки только с помощью программного обеспечения?Не понимаю.

Hi there. I got my Ledger and I'm trying to create a wallet with it, but it seems all requires software to do so (e.g. see [here](https://medium.com/cryptium/how-to-store-your-tezos-xtz-in-your-ledger-nano-s-and-delegate-with-magnum-wallet-3871dc4bd3b7)). Maybe I'm confusing a key with a wallet. Your phrase here puzzles me: "an external device, such as a Ledger or Trezor, it will generate the key and key it inside the device, so that the wallet will never access the key, only use the device to sign operations.". How is the hardware safer if I can only create wallets via software? Don't get it.
- 0
- 2019-03-17
- luchonacho

cousinit · Answer 2 · 2019-02-21

5

2019-02-21

Любое программное обеспечение кошелька,которое вы выбираете для запуска,сопряжено с рисками,о которых вы должны полностью осознавать,чтобы должным образом защитить себя.

Будь то веб-приложение,настольное или мобильное приложение,вы используете код,написанный кем-то другим,и лучший способ снизить риск - убедиться,что вы используете программное обеспечение с открытым исходным кодом и было проверено сообщество как исходящее от известного разработчика.
Затем вам необходимо предпринять шаги,чтобы убедиться,что код,который вы запускаете,действительно исходит от разработчика и что вы не загрузили его по ошибке откуда-то еще. В первую очередь это означает предотвращение фишинговых ссылок путем двойной проверки URL-адресов и,предпочтительно,создание закладок на известные хорошие сайты.
Защита вашего компьютера от вредоносных программ. Неважно,какое программное обеспечение вы используете,если ваша система заражена.

Наконец,лучший способ защитить себя - использовать аппаратный кошелек. Таким образом,ключи никогда не покидают аппаратное устройство,что особенно важно,если вы не уверены,что ваш компьютер не заражен вредоносным ПО. Пока вы тщательно проверяете все входные данные на каждом этапе,аппаратный кошелек будет вас защищать.

Ммм,но если вы уже создали кошелек с помощью программного обеспечения,может быть уже слишком поздно.В таком случае,не лучше ли создать новый на аппаратном уровне,а затем перевести все средства на этот кошелек?

Mmm, but if you already created a wallet using software, it might be too late. In that case, would it be better to create a new one from hardware and then transfer all funds to that wallet?
- 0
- 2019-02-21
- luchonacho
В целом,похоже,это серьезный недостаток программных кошельков.Честно говоря,никто не должен их использовать и,вероятно,не должен быть одобрен или предложен официальным фондом блокчейнов.

Overall, seems to be a deep flaw of software wallets. Honestly, no one should use them, and should probably not been endorser or suggested by the official blockchain foundation.
- 0
- 2019-02-21
- luchonacho
Программные кошельки играют очень важную роль в любой крипто-экосистеме,но люди должны знать о рисках.Если вас беспокоит безопасность,и особенно если вы не уверены в защите своей системы от вредоносных программ,лучшая рекомендация - приобрести аппаратный кошелек и перевести на него важные средства.

Software wallets play a very important role in any crypto ecosystem, but people need to learn about the risks. If you are concerned about security and especially if you aren't confident about keeping your system safe from malware, the best recommendation is to get a hardware wallet device and transfer your important funds into it.
- 0
- 2019-02-21
- cousinit
Фактически,Galleon [не] (https://github.com/Cryptonomic/Deployments/wiki/Galleon:-FAQ) публикует исходный код!

Actually, Galleon [does not](https://github.com/Cryptonomic/Deployments/wiki/Galleon:-FAQ) publish the source code!
- 0
- 2019-02-21
- luchonacho
Доверие к криптовалюте во многом зависит от безопасности кошельков,поскольку именно с ними в основном взаимодействуют обычные пользователи.Для таких организаций,как фонд Tezos,первоочередной задачей должно быть обеспечение максимальной безопасности существующих кошельков,а не просто перечисление некоторых из них с заявлением «мы их не поддерживаем».На практике они этим и занимаются.Не хорошо.

The credibility of a cryptocurrency depends heavily on the security of wallets, as that is what common users interact mostly with. It should be of primary concern for organisations like the Tezos foundation to make sure existing wallets are as safe as possible, rather than merely listing some and stating "we don't endorse them". In practice, that's what they are doing. Not good.
- 0
- 2019-02-21
- luchonacho
Наиболее частые атаки - это фишинговые ссылки,которые заставляют людей запускать неправильное программное обеспечение.Galleon был признан сообществом продуктом с хорошей репутацией,но это не гарантирует вам защиту от фишинга и взлома серверной части.Как я уже объяснял,вы можете значительно улучшить свою защиту,используя аппаратное устройство.Для больших сумм это действительно необходимо,в криптовалютном мире ожидается,что пользователи несут личную ответственность.Программные кошельки необходимы для многих случаев использования,но они сопряжены с риском.

The most common attack are phishing links which lead people to running the wrong software. Galleon has been vetted by community as a reputable product, yet that does not guarantee you protection from phishing and backend hijacking. As I have explained you can significantly improve your protection by using a hardware device. For large value amounts it really is a must, in the crypto world users are expected to take personal responsibility. Software wallets are needed for many use cases, but they come with risks.
- 1
- 2019-02-21
- cousinit