Guten Tag
Ich habe hier im Forum den Thread über die Sicherheit der BitBox02 gelesen.
Nachdem das Ledger-Thema im Netz hohe Wellen geschlagen hat, kam ich auf den Gedanken,
wenn die BitBox gestohlen wird, muß man doch nur ein Passwort knacken um an die Coins zu gelangen. Dann sind die 24 Wörter doch auch nicht mehr wichtig oder sehe ich das falsch.
Ich habe die gestohlene BitBox, installiere mir die App und wenn ich das Passwort habe, gehören die Coins mir. Wäre es da nicht besser, ich müsste für die BitBox selbst ebenfalls 24 Passwörter haben, mal übertrieben ausgedrückt.
Schönen Tag,
Roland.
Du solltest natürlich ein verhältnismäßig sicheres Passwort verwenden.
Eine klassische Brute-Force-Attacke ist nicht möglich. Folgender Auszug ist für Dich vermutlich interessant zu wissen:
„Um Brute-Force-Attacken zu vermeiden, wenn das 10-Versuche-Limit des Mikrocontrollers irgendwie von einem Dieb umgangen werden sollte, begrenzt ein monotoner Zähler im Secure Chip die Gesamtzahl der Versuche der Geräte-Passworteingabe. Zusätzlich erhöht Passwortdehnung die Zeit, die benötigt wird, um jedes mögliche Passwort zu testen, was solche Angriffe unausführbar schwierig macht.“
Die Bitbox02 ist also auch gegenüber der physischen Entwendung sicher. 
5 „Gefällt mir“
Ergänzend sei noch gesagt, um einen Brute-Force-Angriff auf das Gerätepasswort durchzuführen, müsste es dem Dieb gelingen, die verschlüsselten Daten und die verbleibenden Schlüssel aus dem Secure Chip und dem Mikrocontroller zu extrahieren. Der Secure Chip macht dies jedoch extrem schwierig bis unmöglich.
1 „Gefällt mir“
Nö. Ist dem Dieb das Gerätepasswort bekannt, transferiert er die Coins einfach auf seine eigene Wallet. Die 24 Wörter braucht er dazu nicht.
@btc.for.freedom
Genau das war mein Gedankengang. Wenn man überlegt, was man alles tun soll um die 24 Wörter zu schützen (Stahlplatten, usw,) wird m.M. nach ein bisschen vernachlässigt, die BitBox Besitzer ebenfalls für ähnliche Sicherheitsmaßnahmen zu sensibilisieren.
Dann kann man aber den Gedanken auch weiter spinnen und sagen „wenn der Dieb die 24 Passwörter kennt, hat er alles, also warum nicht 48 Passwörter, …“
Irgendwo muss man wahrscheinlich die Grenze ziehen zwischen Sicherheit und Nutzerfreundlichkeit.
Du kannst dir ja zum Beispiel das Passwort wirklich einfach nur in deinem Kopf merken, ohne es irgendwo aufzuschreiben. Vergisst du dieses Passwort tatsächlich irgendwann, kannst du die Wallet mit deinen 24 recovery Wörtern (/SD-Card) wiederherstellen…
2 „Gefällt mir“
Jou ich denke auch dass das ein guter Kompromiss ist zwischen Sicherheit und Komfort für den Nutzer. Tipp: Bitbox nicht um den Hals hängen und nicht einfach auf dem Schreibtisch liegen lassen. Das sollte das Risiko für den physischen Zugriff deutlich reduzieren. Aber so sicher zu verstecken wie die 24 Wörter würde ich sie auch nicht. Muss jeder selbst abschätzen. Das einzige was ich etwas vermisst habe, waren Sonderzeichen beim Passwort. Es waren nur Kleinbuchstaben, Großbuchstaben und Zahlen möglich.
Den Seed kann man sich in der Regel nicht merken. Er ist der heilige Graal, den es zu schützen gilt.
Bekommt ihn ein Angreifer, ist alles weg.
Wenn hingegen deine Bitbox gestohlen wird, dann ist das unkritisch. Lediglich in Kombination mit dem Passwort ist es mit dem Seed gleichwertig. Man brauch also etwas, das du besitzt und etwas, das du weißt. Quasi zwei Faktor Authentifizierung.
Passwort ohne Bitbox und Bitbox ohne Passwort sind wertlos.
Die Bitbox zusammen mit dem Passwort aufzubewahren ist, wie den Pin der Bankkarte auf dieser notiert zu haben. Dann ist die Sicherheit gleich Null.
Es ergibt keinen Sinn in Hinblick auf die Sicherheit, die Bitbox mit einem hochkomplexen Passwort zu sichern. Lernst du zum Beispiel 24 Worte dafür auswendig, kannst du gleich den Seed lernen.
Es bringt jedoch einen deutlichen Komfort Vorteil, die Bitbox mit einem guten, sicheren Passwort zu verwenden.
Du meinst den Seed will man sich in der Regel nicht merken. 
Die meisten haben keine Lust es systematisch zu wiederholen bis es ins Langzeitgedächtnis wandert. Oder entscheiden sich aus bestimmten Gefahren, wie Demenz oder Schlaganfall, dagegen.
In der Schulzeit musste ich damals deutlich mehr als 24 Wörter auswendig lernen und das ging erstaunlich gut. Was wirklich möglich ist zeigen einige Menschen, die Bücher mit hunderten von Seiten Wort für Wort auswendig lernen.
1 „Gefällt mir“
Die Option für ein richtiges 2FA mittels Smartphone App oder Yubikey gibt es ja nicht meines Wissens. Wenn das Bitbox (Shiftcrypto) anbieten würde wäre das doch eine zusätzliche Sicherheit. So wie im Blocktrainer Forum. Man kann 2FA nutzen, muss aber nicht. Oder findest du/ihr das unnötig bei der Bitbox?
Es ist „richtiges“ 2FA. Du benötigst doch zwei Faktoren. Fehlt einer, gibt es keinen Zugriff.
Faktor 1: Bitbox
Faktor 2: Das Passwort
Einen dritten Faktor halte ich für wenig sinnvoll, da ein Bruteforce-Angriff nicht möglich ist.
1 „Gefällt mir“
Irgendwie ist die Diskussion ein bisschen vom Weg abgekommen, obwohl mit den Antworten von @HODLer und @DeTec zur ursprünglichen Frage fast alles gesagt ist.
Hier wurde aneinander vorbeigeredet:
Wie schon geschrieben wurde, ist genau das Knacken bzw. Erraten bzw. Bruteforcen bei der Bitbox nicht ohne weiteres möglich (s.o.). Man müsste schon sehr viel Glück haben, oder das Secure Element physisch auslesen können, da die Zähler ansonsten die Versuche begrenzen.
Der Fall, dass dem Dieb das Gerätepasswort bekannt ist, ist ein komplett anderer. Genauso könnten dem Dieb auch einfach gleich die 24 Wörter bekannt sein.
Es ging in der Ursprungsfrage um den ersten Fall, also das „Knacken“.
Um die Erfolgswahrscheinlichkeit des Diebs beim Durchprobieren der wenigen möglichen Versuche gering zu halten, sollte man dennoch ein gutes Passwort verwenden. Also nicht zu kurz und möglichst zufällig, also z.B. verschiedene Zeichenarten. Ich persönlich würde eine Länge von mindestens 8 Zeichen empfehlen.
Das wäre auch sinnvoll für den sehr unwahrscheinlichen Fall, dass das Secure Element geknackt würde. Wir haben das auch für die Bitbox weiter unten in diesem Thread diskutiert:
→ Trezor T: Krypto-Sicherheitsfirma hackt Hardware Wallet
Außerdem sollte man das Passwort, wie auch schon erwähnt wurde, auf keinen Fall zusammen mit der Bitbox lagern. Wenn man es sich überhaupt aufschreibt, was bei einer guten Sicherung der 24 Wörter nicht notwendig ist.
2 „Gefällt mir“
Man könnte auch ein möglich einfaches Passwort verwenden, und legt eine Liste mit 10 falschen Passwörtern dazu!
3 „Gefällt mir“
Eine 3. möglichkeit wäre noch die Passphrase ‚25. Wort‘