dann kann die Firma/Person hinter Waves darauf zugreifen, weil Sie dir ja etwas zusenden müssen.
Du kannst mir auch eine E-Mail schicken, aber deswegen hast du keinen Zugriff auf meine E-Mail…
Naja wenn sie dir ein Email schicken, können sie das Email welches sie dir schicken ja auch selber lesen, ohne den Umweg über deinen Email Account zu machen.
1 „Gefällt mir“
Naja wenn sie dir ein Email schicken, können sie das Email welches sie dir schicken ja auch selber lesen, ohne den Umweg über deinen Email Account zu machen.
Nein, sie können das E-Mail nur auslösen, auf den Inhalt aber nicht zugreifen.
Das halte ich für ein Ammenmärchen. Das ist ja wie wenn die Post behaupten würde, der Pöstler kann die Postkarte nur zustellen aber nicht lesen was drauf steht.
Sorry aber wenn jemand dir ein Email schicken kann, dann kann er das auch lesen. Und zudem, wenn es einen Mechanismus gibt, welches dir erlaubt Zugriff auf ein Wallet wiederzuerlangen obwohl du die Keys vergessen/verloren hast, dann heisst das nichts anderes als das jemand anders ebenfalls Zugriff auf deine Keys hat. Anders geht es nicht.
1 „Gefällt mir“
Ich bringe das beim Support mal zur Sprache.
Edit: Der Support sagt, dass nur der Besitzer des Kontos das Passwort anfordern kann, was dem Anspruch an Dezentralität genüge.
Gut ist dir ja wahrscheinlich selbst klar dass die Aussage völliger Blödsinn ist. Und das sogar aus zwei Aspekten.War aber auch nicht anders zu erwarten, denn Supportmitarbeiter sind selten Koryphäen, sonst würden sie ja nicht da arbeiten. In der Regel kriegst du da einfach vorgefertigte Pressesprecher Antworten wie diese, da du ja bestimmt nicht der erste bist der das fragt. Sie sind sogar deiner Frage völlig ausgewichen und haben etwas anderes beantwortet.
Der einzige legitime Weg sich als „Besitzer“ eines Accounts zu legitimieren wäre ja der Private Key. Den hast du ja aber nicht mehr. Alles andere ist ja nur eine Behauptung der Besitzer zu sein. Du kannst ja auch nicht einfach zur Bank rennen und sagen du wärst Person XY und würdest gerne nun den ganzen Kontostand auszahlen lassen, ohne jeglichen Beweis. Das ist der erste Aspekt.
Der zweite Aspekt ist, dass selbst wenn es eine andere Form der Legitimation gäbe (wie z.B. auf der Bank einen Ausweis), dann heisst das ja nichts weiter das es für die Bank bzw. den Anbieter eine Möglichkeit gibt auf dein Konto zuzugreifen bzw. einen neuen Zugang herzustellen der zu deinem Konto passt. Und das können sie nur wenn sie Zugriff zu den nötigen Keys haben. Es kann ja kryptographisch gar nicht anders funktionieren. Sonst hätten wir auf der Welt ja ein riesen Problem nicht nur im Crypto-Bereich wenn man mir nichts dir nichts Private Keys wiederherstellen bzw. ersetzen könnte.
Zudem ist es natürlich auch technisch Gugus. Sie mögen vielleicht intern technische Hürden und organisatorische Prozesse haben das nicht gerade jeder Mitarbeiter Zugriff auf alle Kunden Keys hat, was wohl den Supportmitarbeiter zu dieser Aussage bewegt, dennoch ist es jedoch so dass die Firma an sich und Mitarbeiter mit den nötigen Rechten, Zugriff auf die Keys haben sonst könnte die Firma in erster Linie ja gar kein solches Mail auslösen bzw. generieren der dir wieder Zugang verschafft. Wenn man ein solches Mail generieren kann, dann hat man Zugriff auf die Keys, braucht daher auch das Email gar nicht, was aber nichts an der Tatsache ändert, das wer ein Email verschickt, dieses auch lesen kann. Somit haben sie Zugriff auf mehreren Ebenen und verschiedene Möglichkeiten.
Für mich klingt das Ganze ziemlich shady. Auch die Aussage finde ich mehr als problematisch. Im Prinzip ist das wohl einfach ein Custodial Wallet wie bei jeder anderen Börse auch.
Nichts gegen Custodial Wallets, gerade wenn man z.B. genau solche Sachen nicht selber einschätzen kann, ist man wohl mit einem Custodial Wallet besser bedient als wenn man seine Keys selber managen muss. Aber dann würde ich wohl auf einen etwas bekannteren und vertrauenswürdigeren Anbieter setzen. Nichts desto trotz war das natürlich nicht die Idee der Dezentralisierung. 
1 „Gefällt mir“
Also den Private Key habe ich natürlich auch, daran liegt es nicht. WX.Network ist ja nicht zentralisiert wie Binance.
Ja gut aber den hast du ja jetzt verloren hypothetisch (vergessen, verloren, korruptes File, Laptop kaputt, Mobile kaputt, was auch immer).
Und nun kannst du ein Email schreiben und sagen sorry komm nicht mehr rein und du kriegst auf deine Email Adresse ein Reset Link und erhälst damit wieder Zugriff auf dein Wallet, oder?
1 „Gefällt mir“
Laut WavesDAO Chat soll es ähnlich wie bei Ledger funktionieren: https://support.ledger.com/hc/en-us/articles/9579368109597-Ledger-Recover-FAQs?docs=true
Okay der relevante Teil ist im Prinzip:
When you subscribe to Ledger Recover, a pre-BIP39 version of your private key is encrypted, duplicated and divided into three fragments, with each fragment secured by a separate company—Coincover, Ledger and EscrowTech. Each of these encrypted fragments is useless on its own. When you want to get access to your wallet, 2 of the 3 parties will send fragments back to your Ledger device, reassembling them to build your private key.
Ich nehme an sie verwenden hier ein Shamir (n, k)-threshold scheme Shamir's Secret Sharing Algorithm | Cryptography - GeeksforGeeks , d.h. im Prinzip von deinem Private Key wird eine Kopie erstellt und die Kopie wird in 3 Teile zerstückelt mit dem Shamir Algorithmus und auf 3 Parteien aufgeteilt. Wenn das Quorum 2 von 3 ist, können zwei Parteien den Key ohne die dritte Partei wieder herstellen.
Das ist im Prinzip ein guter Weg wie man privat sein eigener Key backupen kann. Denn auf keinen Fall sollte man den Key einfach in zwei oder drei Teile teilen weil das für ein Angriff auf den Key, sofern jemand in Besitz eines Teiles kommt, die Keylänge drastisch reduziert und somit ein Angriff einfacher macht. Shamir ist so konzipiert, dass die einzelnen Teile sofern das Quorum nicht erreicht ist, keinerlei Informationen über den Key hergeben und somit ein Exhaustive Key Search über die komplette Schlüssellänge erfolgen müsste. Für Privat ist das also ziemlich gut wenn man genau weiss was man macht. Ich würde aber dennoch bei einem 2 von 3 Quorum, höchstens 1 Teil an eine Drittpartei übergeben.
Im Falle von Ledger bzw. Waves sind aber wohl alle drei von drei Teilen bei Drittparteien, sprich wenn sich zwei davon zusammentun haben sie Zugriff auf dein volles Vermögen. Sprich, bei dieser Lösung hat jemand anders als du Zugriff auf deinen Key. Die Frage wäre dann noch welche Firmen denn Waves dafür verwendet, wenn die alle der selben Person gehören bringt es wiederum nicht sehr viel. Aber selbst wenn nicht. Alle Teile bei einer Drittpartei wäre mir zu riskant.
Guter Ansatz aber Umsetzung finde ich nicht optimal. Wenn dann sollte man Shamir für sein Seed Backup selbst umsetzen und das nicht einer Drittpartei überlassen.
1 „Gefällt mir“
Einzig und allein ein Hardware Wallet ist sicher. Ich bin genug auf die Schnauze gefallen!
1 „Gefällt mir“
Hallo Zusammen
da es auch noch andere Bitcoin Wallet’s ausser Ledger Bitbox usw. gibt, möchte ich Euch folgende Möglichkeit zeigen.
Denke das diese Wallet eine gute Alternative sein kann.
Das kommt drauf an wie du Electrum genau verwendest. Du kannst Electrum zusammen mit einem Hardware Wallet verwenden wie z.B. Ledger, wenn dir z.B. der Ledger Client oder so nicht gefällt, in diesem Fall bleibt der Private Key weiterhin nur auf dem Hardware Wallet.
Auf gar keinen Fall sollte man Electrum oder sonst ein Software Wallet verwenden wo der Private Key lokal auf dem Computer gespeichert wird, das ist ein erhebliches Risiko.
Wenn dann müsste man Electrum oder so ein Wallet ausschliesslich auf einem USB Stick verwenden wenn man den Computer vorher mit Tails OS, Whonix, oder Qubes OS booten (air-gapped ohne Internet Zugang) mit USB Stick damit man sicher ist dass das OS clean ist und nur dann mit einem zweiten USB Stick das Wallet mit dem Key öffenen. Und dann mit einem dritten USB Stick oder was auch immer die signierte Transaktion dann auf einem Computer mit Internet Zugang ins Netzwerk einspeisen. Aber eben das ist mega aufwändig.
Software Wallet mit Key einfach so auf dem normalen Computer geht gar nicht, das ist das unsicherste was man machen kann, da ein regulärer Haushalts-Computer einfach viel zu viele Angriffsvektoren bietet. Selbst auf Business Laptops von Firmen welche ja i.d.R. viel besser geschützt sind würde ich das nicht machen und es hat ja auch einen Grund warum man i.d.R. in grösseren Firmen nicht einfach so mit dem Standard Laptop und dem Standard Office Account auf irgendwelche IT Systeme zugreifen kann.
Wenn ich die Reihenfolge einordnen müsste dann würde ich wie folgt priorisieren.
-
Hardware Wallet (mit Backup durch durch technisch versierte Person z.B. mit Shamir (n, k) Quorum). Wohl mit Abstand die sicherste Variante aber nur dann wenn man den Seed Phrase ordnungsgemäss backupen kann. Und das ist das Problem die allermeisten können das nicht und kaufen ein teures Hardware Wallet und bewahren dann den Seed Phrase auf dem PC oder in Papierform zu Hause auf. Dann kann man es auch gleich lassen oder besser Option 2. wählen, denn ansonsten hat man mit einem Hardware Wallet ein grösseres Risiko als mit Option 2.
-
Custodial Wallet bei einem reputablen Anbieter mit hohen Sicherheitsstandards. Ein Grossteil der Benutzer sind wohl technisch nicht in der Lage sachgemäss mit einem Hardware Wallet umzugehen (bzw. besser gesagt mit dem Backup davon) und denen würde ich wohl eher zu dieser Lösung raten. Zu dieser Kategorie würde ich jetzt keine frischen Startups zählen und auch keine Crypto Börsen, sondern eher auf Finanzen spezialisierte Firmen wie Banken (langjährige, gut etablierte Banken) oder z.B. auch Sachen wie Bitcoin Suisse oder Anbieter welche entsprechende Technologien von etablierten Anbietern verwenden.
-
Alles andere würde ich lassen. Z.b. eben gerade Software Wallets mit dem Key auf dem Computer, selbst wenn er verschlüsselt ist etc. im Memory ist er dann trotzdem unverschlüsselt und ein üblicher Computer mit Internet Anschluss der auch für diverse anderen Sachen verwendet wird bietet einfach zu viele Angriffs Vektoren. Natürlich kann man für Kleinbeträge oder Online-Shopping ein MetaMask Wallet oder so mit kleinen Beträgen drauf auf dem Computer halten, davon rede ich nicht.
Wenn man dennoch auf eine Option 3 Lösung zurückgreifen möchte, dann kann mit dem eben etwas entgegenwirken eben z.B. mit Air-gapped Computer, nur auf Wallet zugreifen wenn man vorher mit Tails etc. bootet via USB.
Wenn man das auch nicht beachten will und noch mehr Risiken eingehen will dann kann man wenigstens mit der Client-Wahl noch etwas mehr an Sicherheit rausholen. Hier würde ich die Prioritäten wie folgt setzen:
- Linux Computer
- iPhone/iPad
- Mac
- Android Mobile
- Windows Computer
Wer also Option 3 macht und das auch noch auf einem Windows Rechner oder Android Phone. Good Luck!
Sorry, ging davon aus das es langsam doch bei jedem angekommen sein müsste, das nur ein Hardwearwallet in Frage kommen muss.
Danke Dir