BitBox02 enttäuschend und überzeugt mich nicht

Hy, jetzt kann ich alles nochmal machen da ich zum Anfang probieren wollte und dazu erstmal ein einfaches Passwort gewählt habe.
Das man allerdings nur ändern kann wenn man die Box auf Werkseinstellungen zurück setzt, ist natürlich nirgendwo in den Foren und Abhandlungen wo ich geschaut hab beschrieben.
Ja toll. :grimacing:
Trotzdem, das ist echt Mist, da ist Ledger echt komfortabler und alltagstauglicher.
Verstehe ich auch nicht, das man das so baut.

Die Bitbox kommt aber auch wegen „jedes Mal die zusätzl. Passphrase eingeben nötig“ jetzt nur als backup für mich in Frage, da nunmal gekauft.
Ok, wenn man mehrere Wallets mit zusätzl. Passphrase damit verwaltet wird der Zugang dann natürlich erheblich komfortabler als bei Ledger.

Mein Fehler, hätte googeln sollen ich Depp, dann hätte ich mir den Kauf gespart.
Schade.

Ok, so viel teurer wie der Ledger S war die Bitbox abzügl. Bonus dann auch nicht.
Das Eingeben des Seed war aber viel komfortabler als bei Ledger.
Die App sieht mir auch aufgeräumter auf.
Schade,
und enttäuschend und für meinen, letztendlich verbliebenen Zweck als backup dann zu teuer.

Ich denke nicht ganz alles nochmal.
Kannst du nicht mit der SD-Karte eine Wiederherstellung machen, und dabei ein neues Passwort vergeben? Ich denke, das müsste so funktionieren.

Ist das so?
Wenn man beim Ledger nicht die Funktion „Attach to PIN“ wählt, dann sollte man ebenso mehrere Wallets mit verschiedenen Passphrasen nutzen können.

Genau, BitBoxGuides - How to change my BitBox02 device password?

2 „Gefällt mir“

Oha, tatsächlich. Das geht, ja haste Recht.

„Attach to PIN“ bei der Bitbox als Update würde mich dann wohl von der Bitbox überzeugen. Das Handling ist gut.
Hat der „Stadikus“ hier irgenwo einen FrageThread ?

Meinst eine Funktionalität wie hier beschrieben? [feature request] link BIP39 passphrases to pins · Issue #749 · digitalbitbox/bitbox02-firmware · GitHub

Allerdings auch schon zwei Jahre alt

Vllt mal nachfragen :wink:

Macht das wirklich so einen großen Unterschied ob du jetzt eine zusätzliche PIN oder gleich die Passphrase selbst eingibst?

Eine Attach to PIN ähnliche Funktion kann auch Nachteile mit sich bringen:

  • Du merkst dir den PIN anstatt die optionale Passphrase selbst. Nur mit letzterer kannst du aber im Notfall wiederherstellen.

    Ganz allgemein sehe ich das kritisch wenn Anfänger durch so eine Funktion irgendwann anfangen optionale Passphrasen unterbewusst zu verwenden.

  • Die Hardware Wallet muss sich deine optionale Passphrase merken, was gegen den Zweck eines komplett unabhängigen zweiten Faktors spricht. Der zusätzliche physische Schutz geht komplett verloren.

Der einzige Vorteil den ich sehe ist dass es halt bequemer ist.

Ich hätte jetzt behauptet weil es sicherer ist. Wenn die Firmware erst gar nicht dafür entwickelt ist das Gerätepasswort ändern zu können schließt sich hier auch für einen Angreifer ein weiterer potentieller Ansatz.

Das Zurücksetzen und mit der microSD wiederherstellen ist außerdem eine Sache von 5 Minuten, also verstehe ich nicht warum dass jetzt so tragisch sein soll…

7 „Gefällt mir“

Verstehe was du meinst.
Dennoch wäre es toll dem Anwender die Möglichkeit zu geben und die Wahl zu lassen. Aber wahrscheinlich ist allein die Implementierung der Möglichkeit schon ein Mehr an Angriffsfläche.

Hier sollte man aber eine weitere Backupstrategie haben

:100: %

Dann Antworte doch mal auf den verlinkten CR auf Github

ja, sorry.
Na, dann wollen die wohl nicht wenn nach 2 Jahren noch nichts in der Richtung passiert ist.
OK, immer abhängig davon welche Prioritäten man hat, welche Nutzungsfrequenz und Nutzung, daraus ergibt sich ein Wunsch nach Optimum. Natürlich wird das immer ein Kompromis aus entgegenstehenden Kriterien sein.

Seit wann wählen Anwender und Anwenderinnen mehr Sicherheit auf Kosten von Bequemlichkeit, wenn sie die Wahl haben? Es ist doch offensichtlich, daß die Mehrheit lieber bequem, statt sicher wählt.

4 „Gefällt mir“

Spricht die SD-Karte der Bitbox für Sicherheit?

Hi @blocky, ich verstehe den Punkt gut, dass eine im Gerät gespeicherte Passphrase bequemer ist. Wie im GitHub Feature Request geschrieben, gibt es aber Pro und Kontra.

Der aktuelle Status ist, dass die BitBox02 die optionale Passphrase nie speichert. Damit hast du eine viel höhere Sicherheitsgarantie, sollte das Gerät einmal entwendet werden (der Angreifer muss dann das Gerätepasswort und die Passphrase „brute forcen“, sollte er irgendwie an die Infos in der BitBox rankommen). Das sollte natürlich nicht möglich sein, aber mit theoretisch unendlichen Mitteln und einem CIA-Elektroniklabor weiss man ja nie.

Ganz generell sehen wir, dass die optionale Passphrase sehr viele Probleme bereitet, selbst in der heutigen Form, mit allen Warnhinweisen und steter Eingabe. Sie ist bei weitem das häufigste Support-Topic, und die einzige Ursache für verlorene Coins. Das fixe Hinterlegen der Passphrase würde dieses Problem noch verschärfen, da man erst bei einem nicht erfolgreichen Backup-Restore realisiert, dass die man die Passphrase vergessen oder falsch aufgeschrieben hat.

Ich hoffe, du kannst das nachvollziehen. Bei sonstigen Fragen kannst du dich auch jederzeit gerne an unseren Support wenden, oder in unserer Knowhow-Datenbank nachschauen:

https://shiftcrypto.ch/hilfe/

12 „Gefällt mir“

Ich habe noch zuwenig Erfahrung mit der BitBox02 gesammelt, sehe aber die microSD-Karte durchaus mit gemischten Gefühlen. Sie hat Vor- und Nachteile. Wenn man allerdings die microSD-Karte partout nicht haben möchte, kann man sie ja in einer sicheren agnostischen Offline-Umgebung, wie z.B. TAILS ohne Netzwerkverbindung, schlicht sauber löschen. (Wobei das zuverlässig sichere restlose Löschen eines microSD-Flash-Speichers garnicht so einfach und zeitaufwendig ist. Einfach neu formatieren? Wer sagt, daß damit alle Spuren des Seed-Backups von allen Sektoren entfernt wurden. Versteht die microSD-Karte einen TRIM-Befehl und nutzt das OS auch einen beim Löschen/Formatieren? Was genau liefert die microSD-Karte aus geTRIMten Sektoren zurück, wenn man die Karte komplett ausliest?
Fragen über Fragen…)

Nachteile für mich sind:

  • ein unverschlüsselter digitaler Seed-Backup, der in unveränderter Form quasi durch Nichts geschützt ist.
  • Backup-Redundanz ist empfehlenswert, da ich schon einige Flash-Datenträger habe kaputt gehen sehen (Sticks, microSD- und SD-Karten). Das Papier- oder Stahl/Titan-Backup der Mnemonic Wörter sollte man zusätzlich haben, denn ich würde mich niemals nur auf microSD-Karten verlassen wollen.
  • Haltbarkeit über viele Jahre? Man darf die microSD-Karte ja zum Auffrischen der Flash-Speicherzellen nicht in einen Computer stecken, der je wieder online gehen darf.

Vorteile:

  • bequeme Seed-Wiederherstellung (auf physische Redundanz achten!)
  • kleiner als jede Papier-Lösung für die Mnemonic Wörter, die man zusätzlich auch haben sollte
  • leicht zu verstecken, da wirklich klein und kompakt

@Stadicus
Ist das Seed-Backup-Format eigentlich dokumentiert? Ich gebe allerdings zu, daß ich mir die Backup-Datei(en) noch nicht angesehen habe. Kann mich beim Stöbern auf den Hilfeseiten von shiftcrypto.ch nicht daran erinnern, es gesehen zu haben. Im Github-Repo habe ich jetzt auch nicht jeden Stein umgedreht, sorry.

Ehrlich gesagt sehe ich hier überhaupt gar kein Problem…
Man ist durch die BB nicht gezwungen eine SD-Karte zu nutzen. Wem das aus welchen Gründen auch immer nicht gefällt (so wie auch mir) lässt die Karte einfach weg, sie ist optional. Jeder ganz so wie es einem gefällt! :+1:

2 „Gefällt mir“

Sehe ich ähnlich…
Die SD-Karte ist für Anfänger bestimmt sehr sinnvoll und hat bestimmt schon den ein oder anderen vor dem Verlust der Coins bewahrt.
Wer sich seiner Sache sicher ist und seine Backups anders verwaltet, kann die SD-Karte vernichten, oder gar nicht erst nutzen.

Sehe ich auch so. Eine SD-Karte mechanisch vernichten ist zum Glück sehr einfach.

Details zur Nutzung und Überprüfung des Backups auf der microSD-Karte findest du in unserer Wissensdatenbank:

https://shiftcrypto.support/help/de-de/19-microsd-karte

Es gibt keine Prosa-Dokumentation des binären Backup-Formats, für Techniker ist dies jedoch relativ einfach aus dem Code rauszulesen. Der Grund für die binäre Speicherung ist, dass auch zusätzliche Metadaten, Zeitstempel und Checksummen Teil des Backups sind.

Am besten schaust du dir mal unser Backup Recovery Tool an, welches eine einzige HTML-Seite mit etwas JavaScript ist. Dieses kann auf einem Offline-Computer ausgeführt werden, um das digitale Backup in die universellen 24 Wiederherstellungswörter umzuwandeln.

3 „Gefällt mir“

Ich frage mich ob die HW Besitzer ihr Haus, Wohnung, Auto auch so abgesichert haben wie die Sats auf der Bitbox.
Jemand der von Anfang an dabei war, sagen wir mal seit ~2012 und heute immernoch seine BTC hält, dem nehme ich das ab Angst zu haben diese zu verlieren.

Ich habe mir letzten Monat auch eine HW geholt und bin eigentlich die ganze Zeit am überlegen, warum ich soviel Geld dafür ausgegeben habe.
Man kann im Prinzip auch einen ganz normalen USB-Stick nehmen, dort Electrum Portable raufziehen und mit einem einfachen Rechner, welcher nicht ständig mit Internet verbunden ist, seine Bitcoins verwalten.
Als OS könnte man z. B. eine Bootbare Linux Distributionen nehmen, wie z. B. Tails, Qubes OS oder Whonix, die als sehr sicher in der Scene bekannt sind.

Mir ist natürlich auch klar das so eine HW für Neueinsteiger viel praktischer sind, als sich erstmal wochenlang mit Linux zu beschäftigen.
Nur im großen und ganzen kann man das so machen wie man ebend Bock drauf hat.

Just my 2cent…

Dieser Rechner sollte nie am Internet sein (Glückwunsch du hast das größte HW-Wallet der Welt mit unzähligen Angriffsmöglichkeiten)

Ist er sporadisch am Netz und hätte ich ein Vermögen … ich könnte mit diesem Setup sehr schlecht schlafen. Aber ich bin ja auch nicht Luke Dash jr…

Meine Empfehlung als Hot-Wallet oder Coin-Join-Wallet wenn man etwas „spielen“ will für den USB-Stick

Ich sehe keinen Grund einem Anfänger oder „Profi“ kein HW-Wallet zu empfehlen. Alleine schon weil die meisten HW-Wallets dich einfach mehr auf das Backup aufmerksam machen.

2 „Gefällt mir“

Viel zu aufwändig, da ist eine HW Wallet bequemer.

Kostet doch kaum was. Deine Bitcoins betragen sicherlich das 1’000x tausend fache einer solchen Anschaffung.