[閒聊] Coinomi錢包支援XMR和安全性爭議

看板DigiCurrency (數位貨幣)作者 (Eric P. Chu)時間5年前 (2019/02/27 19:50), 5年前編輯推噓23(23042)
留言65則, 18人參與, 5年前最新討論串1/1
講重點: 1.Coinomi最近版本正式支援XMR了 2.Coinomi被某些國外鄉民指控有嚴重安全性漏洞,且聲稱已被盜 第2點真假不明,請版上高手評論。 討論串: https://twitter.com/lukechilds/status/1100613365850767360?s=21 http://tinyurl.com/y3cthhe5 以我看的似懂非懂,大意是有人拍影片指控 桌面客戶端的Coinomi 會在輸入階段,透過Googles remote spellchecker API 發送seed phrase出去 這會導致google員工可以知道你的種子短語,而原始作者聲稱因此已經被盜 這聽起來很恐怖,而手機客戶端由於是閉源,是否存在相同漏洞? -- 題外話: 自從大量ETH套牢在500樓後 就把一些Token和ETH全鎖在一隻只裝Coinomi的除役手機中 眼不見為淨 最近發現 Coinomi正式支援Monero(XMR),想說乾脆也丟在一起保管 直到看到這新聞,Coinomi採取冷處理與刪文,使人信心嚴重下降 上一次就是jaxx採取這種態度讓我轉向Coinomi,想不到...... 算一算如果把XMR和ETH生態系的價值合計,也是一筆不小的數字 冷儲存也該用硬體錢包比較安心 但硬體錢包一直有個疑慮困擾著我 先前沒有購買硬體錢包,就是考慮到硬體錢包的種子(seed phrase) 必須不透過電腦操作、不存雲端,只以手寫保存在紙張,才有真正接近0暴露風險 那「如果硬體錢包和seed phrase一起被火災燒了怎麼辦?」 (當然能異地保險箱儲存 或 可以牢牢背住24字短語的人沒有這些問題,顯然我不能) 不知道有用硬體錢包大量儲存的前輩,如何規劃火災的風險? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.50.100 ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1551268249.A.F5F.html

02/27 20:01, 5年前 , 1F
Coinomi本身沒有OpenSource,其實安全性無法公開檢驗
02/27 20:01, 1F

02/27 20:03, 5年前 , 2F
seed phrase異地備援又不難
02/27 20:03, 2F

02/27 20:04, 5年前 , 3F
公司or學校,自己家,老家都放seed phrase筆記本就好
02/27 20:04, 3F

02/27 20:04, 5年前 , 4F
我seed phrase都用自己才知道的規律寫在用過的筆記本
02/27 20:04, 4F

02/27 20:05, 5年前 , 5F
就算別人看到了,只會覺得這本用過筆記本根本沒啥好看
02/27 20:05, 5F
版主484歧視SOHO族喇

02/27 20:07, 5年前 , 6F
或是乾脆隨身攜帶在皮包裡,用擦擦筆寫在名片上
02/27 20:07, 6F

02/27 20:08, 5年前 , 7F
擦掉後變空白,以後要看再拿去冰箱復原就好
02/27 20:08, 7F
[方法1] 變色筆放錢包帶在身上

02/27 20:12, 5年前 , 8F
對岸的cobo錢包有出防水耐酸的金屬助記詞板 預算夠多可以
02/27 20:12, 8F

02/27 20:12, 5年前 , 9F
考慮
02/27 20:12, 9F
金屬註記版好貴喔

02/27 20:25, 5年前 , 10F
怕.jog 我也放了不少在手機coinomi錢包裡
02/27 20:25, 10F
我已經不知道該相信誰了

02/27 20:27, 5年前 , 11F
私鑰會經過第三方API就已經不安全了,它甚至是用明文傳輸
02/27 20:27, 11F

02/27 20:31, 5年前 , 12F
請別人幫忙檢查私鑰拼字跟把提款密碼借別人測試有87成像XD
02/27 20:31, 12F
所以說XMR+ETH能同時存的軟體錢包現在誰可信度高一點呀?

02/27 20:33, 5年前 , 13F
當然是買個一打硬體錢包 把資產分成12等分 埋在12個不
02/27 20:33, 13F

02/27 20:33, 5年前 , 14F
同的所在(?
02/27 20:33, 14F
多買幾組埋公園土裡,喂

02/27 20:39, 5年前 , 15F
我曾經想過把24個字其中一個背下來,剩下的拆成幾段,
02/27 20:39, 15F

02/27 20:39, 5年前 , 16F
在網路上各地備份,紙本也到處備份,不過我覺得最大的
02/27 20:39, 16F

02/27 20:39, 5年前 , 17F
風險是我的記憶,雖然只是一個字orz
02/27 20:39, 17F

02/27 20:42, 5年前 , 18F
說真的,24個單字沒那麼難背,你讀書的時候都背幾千個單字
02/27 20:42, 18F

02/27 20:42, 5年前 , 19F
了,passphrase列表都是簡單的單字,一定都背過,只是要把
02/27 20:42, 19F

02/27 20:42, 5年前 , 20F
順序記下來而已,真的沒那麼難。出社會了很少在背東西,但
02/27 20:42, 20F

02/27 20:42, 5年前 , 21F
這種程度的背誦,比起學生考試要背的東西實在簡單太多倍
02/27 20:42, 21F

02/27 20:42, 5年前 , 22F
了。備份要備,但記也是得記的。人生有一堆考試都在考了,
02/27 20:42, 22F

02/27 20:42, 5年前 , 23F
這種一生背一次就好的東西偏偏不試著去記,是不是太奇怪
02/27 20:42, 23F

02/27 20:42, 5年前 , 24F
了?
02/27 20:42, 24F
火災後創傷失意一部分怎麼辦

02/27 20:47, 5年前 , 25F
真的要玩的話可以用多簽地址,10-of-20 multisig
02/27 20:47, 25F

02/27 20:48, 5年前 , 26F
20份私鑰到處丟,只要能找到10份私鑰就可以拿到大祕寶
02/27 20:48, 26F

02/27 20:51, 5年前 , 27F
https://goo.gl/Q9b3MG 或是試試看這個終極手段
02/27 20:51, 27F

02/27 20:51, 5年前 , 28F
與私鑰共存亡
02/27 20:51, 28F
......

02/27 21:08, 5年前 , 29F
去網路找一份英文考卷word檔,把第1題到第24題的A選
02/27 21:08, 29F

02/27 21:08, 5年前 , 30F
項改成seed phrase再傳到雲端硬碟,檔名改為我的智障
02/27 21:08, 30F

02/27 21:08, 5年前 , 31F
考卷
02/27 21:08, 31F
[方法2] 雲端偽裝文檔,覺得這是本日最佳解

02/27 21:22, 5年前 , 32F
私鑰記得加密或自己加鹽 絕對不要明文
02/27 21:22, 32F
現在就是用keepass加上強密碼在雲端備份 但我覺得硬體錢包還這樣搞有點失去意義 ※ 編輯: ProtectChu56 (220.135.50.100), 02/27/2019 21:26:16

02/27 21:30, 5年前 , 33F
如果和別人撞考卷就共享私鑰了
02/27 21:30, 33F

02/27 22:13, 5年前 , 34F
多抄幾份阿 然後放不同地方
02/27 22:13, 34F

02/28 05:20, 5年前 , 35F
刺青在身上......
02/28 05:20, 35F

02/28 09:23, 5年前 , 36F
拆開放不同地方就好了,不管是實體還是非實體
02/28 09:23, 36F

02/28 09:23, 5年前 , 37F
當你自己要取回都麻煩時,愈麻煩愈安全
02/28 09:23, 37F

02/28 09:36, 5年前 , 38F
再提供一招 私鑰直接抄下來,但最後10碼反序抄 也是
02/28 09:36, 38F

02/28 09:36, 5年前 , 39F
大剌剌放雲端
02/28 09:36, 39F

02/28 09:39, 5年前 , 40F
然後錯的私鑰對應位址也放一點微量幣 當煙霧彈
02/28 09:39, 40F

02/28 09:45, 5年前 , 41F
如果是印QR code的人 可以先鏡像再印出來 多一層保護
02/28 09:45, 41F

02/28 09:45, 5年前 , 42F
,還原時用鏡子還原
02/28 09:45, 42F

02/28 09:51, 5年前 , 43F
我考卷只是舉例阿,你也可以找一份考卷有200題,然後
02/28 09:51, 43F

02/28 09:51, 5年前 , 44F
只放質數+3開頭的題號,除了自己的phrase,每題的每個
02/28 09:51, 44F

02/28 09:51, 5年前 , 45F
選項的單字也要全部換成隨機單字才安全
02/28 09:51, 45F

02/28 11:53, 5年前 , 46F
把資訊藏在照片檔案裡好像不錯 實體就微縮底片
02/28 11:53, 46F

02/28 12:15, 5年前 , 47F
圖片檔的exif和影片mkv檔都可以埋data進去
02/28 12:15, 47F

02/28 12:16, 5年前 , 48F
掃描偷私鑰的工具應也不會去掃這些檔案副檔名
02/28 12:16, 48F

02/28 12:17, 5年前 , 49F
而且檔案太大,會太浪費時間
02/28 12:17, 49F

02/28 12:18, 5年前 , 50F
存進去的單字再換順序和插入無關單字就很安全了
02/28 12:18, 50F

02/28 12:19, 5年前 , 51F
推TellthEtRee的方法
02/28 12:19, 51F

02/28 12:20, 5年前 , 52F
或是直接用專用的data embedding工具塞到圖片和影片裡
02/28 12:20, 52F

02/28 16:07, 5年前 , 53F
找了一下應該是類似這篇的程式 https://goo.gl/EkwAZB
02/28 16:07, 53F

02/28 16:07, 5年前 , 54F
這些藏私鑰的方法基本上都可以歸類成 Steganography
02/28 16:07, 54F

03/01 11:46, 5年前 , 55F
網路上買個鈦金屬片,找個有雷射雕刻的創客工坊
03/01 11:46, 55F

03/01 11:47, 5年前 , 56F
用自己能理解的seed phrase刻上去
03/01 11:47, 56F

03/01 20:47, 5年前 , 57F
把短語轉成二進位刻在牆上或刺青在手上
03/01 20:47, 57F

03/03 00:52, 5年前 , 58F
拆成三組密碼日常用不難記吧 我都背的起5組8位英數密碼
03/03 00:52, 58F

03/03 00:52, 5年前 , 59F
03/03 00:52, 59F

03/03 00:54, 5年前 , 60F
要不然跟部a片用7z中文密碼加密傳雲端XD
03/03 00:54, 60F

03/03 00:56, 5年前 , 61F
用16進位編輯器藏在影片檔檔尾 加上中文密碼雲端備份
03/03 00:56, 61F

03/03 00:57, 5年前 , 62F
檔名取全裸家政婦生中出之類的…
03/03 00:57, 62F

03/04 23:23, 5年前 , 63F
其實上面很多都是把單字在用自己的手段加密後儲存 只是
03/04 23:23, 63F

03/04 23:23, 5年前 , 64F
加密手法不同 這樣只要記得加密手法就好 其實網路上很多
03/04 23:23, 64F

03/04 23:23, 5年前 , 65F
加密傳輸原理就是這樣啊XD 明明明碼但是是加密過的
03/04 23:23, 65F
文章代碼(AID): #1STdcPzV (DigiCurrency)
文章代碼(AID): #1STdcPzV (DigiCurrency)