Anzeigen der 24 Wörter des Seeds in Bitbox und Ledger Nano X

In der Bitbox kann man sich die 24 Wörter des Seeds immer wieder anzeigen lassen, im Ledger wohl nur beim ersten Einrichten. Warum findet man hierzu nichts im Internet und auch nichts in den Besprechungen Vergleich Bitbox / Ledger?

  • Ist das nicht ein Sicherheitsrisiko bei der Bitbox? Und ist man dadurch nicht gezwungen, das 25. Wort (optionale Passphare) zu nutzen?
  • Kann man sich im Ledger Nano nach dem Einrichten auch noch mal die 24 Wörter anzeigen lassen?

Hej @Rororo, die beiden Hardware-Wallets BitBox02 und Ledger haben hier ein leicht anderes Verhalten. Man kann natürlich das eine oder andere besser finden.

Eine Sicherheitslücke ist das nicht, da Du ja immer das Gerätepasswort eingeben musst. Erst dann kannst Du dir die 24 Wiederherstellungswörter anzeigen lassen. Nach 10 falschen Eingaben setzt sich das Gerät zurück und du musst es vom Backup wiederherstellen.

Hier findest Du auch noch mehr Infos, wie die BitBox02 die Informationen konkret verschlüsselt:

1 „Gefällt mir“

Hast du hier im Forum gesucht?

Hallo Stadicus,
vielen Dank erst mal für deine Antwort. Was mich wirklich stört, ist, dass man sich bei der Bitbox die 24 Seed-Words immer wieder anzeigen lassen kann. Das bedeutet zum einen, dass wenn jemand das Gerätepasswort durch Zufall rausfindet oder erpresst, dann hat er auch die 24 Seed-Words. Deshalb muss man eigentlich genau genommen immer die optionale Passphrase einrichten.
Außerdem geh ich auf die Aussagen des Blocktrainers ein, dass manche übervorsichtigen Personen beim Einrichten der Hardware-Wallets die Rolläden runterlassen und in einen Raum gehen, wo keine Kamera ist. Wenn wir diesen doch fast absurden Gedankengang weiterspinnen, dann stellt der von mir erhobene Einwand doch ein kleines Sicherheitsrisiko bei der Bitbox dar. Wenn dich z.B. jemand gerade überfällt, während du eingeloggt bis, dann hat er auch die Seed-Words. Das klingt zwar ebenfalls absurd, doch nicht verrückter als die Rolläden. Ich jedenfalls habe mich gewundert, dass niemand über diese Möglichkeiten in den Vergleichskritiken Bitbox / Ledger gesprochen hat.

Hi skyrmion, ich habe im ganzen Netz gesucht und bin davon ausgegangen, dass Google dann auch Antworten, die hier im Forum stehen würden, angezeigt hätte.

1 „Gefällt mir“

Also, dass nach mehrfacher falscher Eingabe des PINs die Bitbox zurückgesetzt wird, steht bereits in Threads. Mit dem PIN kommt man an deine Coins, egal ob man die 24 Wörter anzeigen kann oder nicht.

Auch, dass man beim Ledger die Wörter nicht anzeigen kann, aber mithilfe eines Tools überprüfen kann, steht in zahlreichen Threads.

Sei’s drum. Ich habe nur gefragt, weil du explizit geschrieben hast, dass man dazu nichts findet. Das hat mich gewundert. Sorry, wenn das falsch rüber kommt! Seit einiger Zeit kommen halt immer wieder die gleichen Fragen, manchmal mehrmals täglich. Aber da ist deine ja wenigstens noch etwas komplexer. :slight_smile:

Das sind alles berechtigte Überlegungen, aber in der Realität denke ich nicht, dass das ne Rolle spielt. Wenn dich jemand überfällt, ist es egal, ob er an die 24 Wörter kommt oder nicht, er wird dich so oder so zwingen, die Coins auf seine eigene Wallet zu transferieren. Sonst hat er zwar die Wörter, aber sobald er zur Tür raus ist, schickst Du Dir deine eigenen Coins aufs Handy und der Angreifer schaut in die Röhre.

Wo es wirklich eine Rolle spielt, und darum gibt es bei uns schon Überlegungen, den Export (optional und mit grosser Warnung) zu deaktivieren, ist im geschäftlichen Umfeld. Wenn ein Angesteller eine Hardware-Wallet nutzt, und diese jeweils im Geschäft wieder in den Safe legen muss, soll er natürlich nicht heimliche eine Kopie der Wiederherstellungswörter machen können. Solche Szenarien nutzen aber meist sowieso ein Multisig-Setup, daher kommen solche Anfragen nur ganz vereinzelt.

Ich finde es aber super, dass Du Dir solche Gedanken machst. Lieber so, und dann damit leben (oder auch ein für Dich passenderes Produkt nutzen), als blindlings einfach alles hinzunehmen.

4 „Gefällt mir“

Hallo Stadicus,
vielen Dank für deine zweite ausführliche Antwort. Es ist so, dass ich einen Ledger Nano X benutze und mein Freund eine Bitbox 02. Nach dem detaillierten Video des Blocktrainers zur Bitbox war ich so von der Bitbox angetan, dass ich die beiden Geräte mit meinem Freund genauestens vergleichen wollte. So kamen wir schließlich zu dem Punkt, dass die Bitbox das 24-Wort-Seed nach Belieben immer wieder anzeigt. Das hat mich total überrascht, ich konnte es kaum glauben. Ich erinnerte mich dabei auch an die Einrichtung meiner Wallet auf Bitwala, wo der Warnhinweis kam: Diese 24 Wörter werden dir nur ein einziges Mal angezeigt und dann nie wieder, also notiere sie sehr gut.
Wir haben dann tatsächlich das ganze Internet durchforstet und fanden (außer einer ganz kleinen unscheinbaren Erwähnung) keinerlei Hinweis auf diese Diskrepanz. Ich wunderte mich einfach, dass der Blocktrainer in seinem ausführlichen Bewertungsvideo zur Bitbox genau Über diesen Fakt, der mir so wichtig erschien, gar nichts sagte. Das sind die Hintergründe zu meiner Nachfrage und meinen Zweifeln, und ich finde, dass dieser doch entscheidende Unterschied zwischen Ledger und Bitbox vom Blocktrainer noch mal Erwähnung finden sollten. Im Übrigen finde ich den Blocktrainer schlicht grandios.
Beste Grüße, Robert

1 „Gefällt mir“

Hallo skyrmion,
danke auch dir noch mal für deine Antwort.
Tatsächlich findet man über die von mir beschriebene Diskrepanz nichts im Internet. Bei Interesse lies bitte hierzu auch noch meine Antwort an ‚Stadicus‘ von vorhin, wo ich meine Bedenken genauer formuliert habe.
Dass man den Seed - wie du schreibst - beim Ledger mit Hilfe eines Tools überprüfen kann, weiß ich sehr wohl. Doch hierbei handelt es sich lediglich um ein Überprüfen. Man muss die richtigen 24 Wörter eingeben und das Programm sagt einem, ob man sie korrekt notiert hat. Sie werden dort aber nicht von alleine angezeigt. Es bleibt also dabei: Ledger zeigt den 24-Wort-Seed genau ein einziges Mal an, nämlich beim Einrichten und dann nie wieder.
Ganz anders ist es bei der Bitbox, und das hat mich gestört. Das ist in meinen Augen ein wichtiger Aspekt, der bisher - jedenfalls soweit ich recherchiert habe - bizarrerweise nirgendwo wirklich Erwähnung findet.
Für mich unerheblich ist hierbei übrigens, wann und ob sich ein Hardware-Wallet nach soundsoviel falschen Eingaben sperrt. Das ist ein anderes Thema.
Beste Grüße, Robert

1 „Gefällt mir“

Mit der versteckten Wallet

  • Geräte-PW/24 Wörter → Wallet #1
  • Geräte-PW/25 Wörter → Wallet #2

hätte man zumindest im Falle einer erzwungenen Eingabe eine „plausible deniability“, also glaubhafte Abstreitbarkeit erreicht. Daher erscheint mir auch die Passphrase als gute, wenn auch fortgeschrittene, Absicherung.
Bei Ledger wäre dies dann eben der Unterschied zwischen PIN1 und PIN2 (wenn attached-to-pin ausgewählt wurde). Wobei hier das Kontenmanagement im Ledger Live entsprechend gehandhabt werden müsste (versteckte Konten aus der Übersicht löschen).

1 „Gefällt mir“