Ledger Pin auslesen (leicht oder schwer?)

mapleloopsong · 1. April 2021 um 13:42

Hey,

kann man einschätzen, wie sicher die Ledger Pins auf dem Gerät sind und wie und wie leicht diese ausgelesen werden können?

Denn dadurch wird der Usecase vom 25. Wort ja auch beeinflusst.

Grüße!

Adi.Kra · 15. März 2023 um 22:23

Jemand eine Meinung zu der Anfrage?

Kodon · 16. März 2023 um 08:53

Da es closed source ist, kann man da objektiv nicht viel zu sagen.

Subjektiv behaupte ich mal, dass es ziemlich unmoeglich sein sollte.
Sonst haette sich ein erfolgreicher Versuch wie ein Lauffeuer verbreitet und Ledger waere nicht mehr das meistgekaufte Wallet, sondern in der Insolvenz.

Daher triffst du es mit „Meinung“ ganz gut. Wissen kann es nur ein Entwickler bei Ledger. Und der wird dir nicht sagen, welche Angriffsszenarien moeglich sein koennten.

Adi.Kra · 16. März 2023 um 15:19

Verstehen. Ich Stelle mir das so (einfach) vor:

Jemand nimmt einen fremden Ledger, BitBox, etc. steckt diese in seinen PC und lässt ein Programm laufen, welches alle möglichen PINs und Passwörter durch spielt, ohne dass sich das Gerät zurück setzt o.ä.

BTC-Punk · 16. März 2023 um 18:20

Wenn du die PIN x-mal falsch eingibst, wird der Ledger gelöscht. Dann musst du ihn mittels der 24 Wörter zurücksetzen.

x ist standardmäßig 3. Wenn du einen Sicherheitsfetisch hast, dann setze x doch auf 1.

BTC-Punk · 16. März 2023 um 18:37

Ledger kann den Trezor so hacken.

Du kannst davon ausgehen, dass das so beim Ledger nicht funktioniert.

piet · 16. März 2023 um 18:43

Folgender Blogartikel ist ganz interessant:

Also wenn man den Ledger hacken könnte, dann würden dies nur sehr sehr wenige Leute wissen… und mit jeden Ausräumen einer Wallet, würde es wahrscheinlicher werden, dass dies an die Öffentlichkeit gelangt.

BTC-Punk · 16. März 2023 um 18:57

Die größere Gefahr ist vielleicht, dass dich jemand bei der PIN-Eingabe beobachtet oder filmt.

Adi.Kra · 16. März 2023 um 20:06

Danke für die Rückmeldungen. Ich denke auch langsam, dass das grösste Risiko der Nutzer selbst ist

Cricktor · 18. März 2023 um 08:08

Das ist ziemlich wahrscheinlich zu mehr als in 99,99% der Fall, wenn nämlich Nutzer und Nutzerinnen (noch) nicht verstanden haben, wie Hardware-Wallets zumindest grob funktionieren, was es mit der PIN oder dem Zugangspasswort für die Hardware-Wallet auf sich hat und warum es äußerst wichtig ist, die 24 Mnemonic Recovery Wörter niemals auf einem online-fähigen Gerät digital zu speichern (z.B. auf keinen Fall mit dem Smartphone fotografieren!!), sondern in fast allen Fällen ausschließlich analog auf Papier und/oder in Metall gestempelt sorgfältig zu sichern.

btc.for.freedom · 18. März 2023 um 09:43

Es ja gerade der Sinn einer Hardwarewallet, dass die Buttons nicht vom PC bedient werden können. Somit kann der PC auch keine PINs oder gar Passwörter durchprobieren.

Adi.Kra · 18. März 2023 um 10:31

Genau diese Aussage wollte ich lesen, danke