Private Key hier, da & überall - Geht dabei der nach wie vor bedeutende Stellenwert eines Passworts nicht etwa unter?

Guten Abend werte Community

Weiterhin verstehe ich nicht, weshalb jeweils NUR darauf hingewiesen wird, wie wichtig es sei, auf die Verwahrung seiner Private Keys zu achten. Denn, dass beim Login seiner Wallet (bspw. die Hardware-Wallet von Ledger) respektive beim Starten der Ledger-App etwa dieser Private Key nun eingegeben werden müsste - Fehlanzeige!
Um sich bei der Ledger-App (um bei diesem Beispiel zu verweilen) anmelden zu können, tippt man hier nach wie vor ein unspektakuläres, alt-herkömmliches, selbst-entworfenes Passwort ein - selbstverständlich gemäss den Sicherheits-Kriterien (mindestens 8-stellig, Gross-/Klein-Schreibung, Sonderzeichen, etc.). Bei der Passwort-Eingabe beim Ledger-Stick wiederum - keine Eingabe des Private Keys, sondern ein maximal 8-stelliger, selbst-kreierter Pin.
Dasselbe wohl bei so manchem Desktop-, Software- & anderen Hardware-Wallet.

Freilich hat dieser von der Blockchain kreierte Private Key etwas revolutionäres - die asymmetrische Verschlüsselung absolut genial! Es ist schier unmöglich diesen mittels einem Public Key zu errechnen beziehungsweise von diesem aus zurück zu errechnen. Und, dieser Private Key setzt eine Digitale Signatur, welche also bezeugt, dass nur diejenige Person dies getan haben kann, die auch den Zugang zu diesem Private Key hat. Dass aber der Zugang überhaupt zu diesem Privat Key, welcher sich in der Wallet befindet, möglich ist, muss zuerst das gute alte, in der ganzen „Hüte-Deinen-Private-Key-wie-Dein-Augapfel“ Leviten-Verkündung (im Sinne einer Ermahnung) untergegangene Passwort dieser Wallet eingegeben werden.
Und überhaupt, und da kann ich ehrlicherweise nur von Ledger berichten, finde ich selbst nach eifrigstem Suchen, keinen Private Key - weder den Parent-, noch sonst einer seiner „Nachkommen“-Keys. Andreas Antonopoulos erwähnt in seinem Buch Bitcoin & Blockchain „… Diese digitalen Schlüssel sieht ein Bitcoin-Nutzer nur sehr selten. …“. Nun gut, was diesen „Finde-den-Private-Key-in-Deiner-Wallet“ Punkt angeht, so traute ich einem geübteren Nutzer natürlich mehr zu als einem Laien wie mir, dass nämlich dieser den Private Key wohl eher finden würde.
Aber um auf den Kern zurückzukommen - wie kann ich überhaupt diesen Private Key aus den Händen geben, welcher eh von meiner Wallet verwaltet wird und ich kaum jemals zu Gesicht bekomme? Wieso wird bei all den Videos und Artikeln stets nur über die, freilich unbestrittene!, Geheimhaltung der Private Keys referiert, mit keiner Silbe aber erwähnt, dass das Passwort der Wallet, in diesem Kontext betrachtet absurderweise gar DAS Tor zu meiner Private Key, ebenso sicher verwahrt werden soll? Was ist das derartig Sichere an diesem Private Key, wenn es einem Hacker gelingen würde das Passwort meiner Wallet zu erraten und damit an meinen Private Key gelangt?

Und dabei lass’ ich mal die Paper-Wallets aussen vor! Ob einzig & allein kann ich nicht mit Gewissheit sagen, aber zumindest bei dieser Art von Wallets, erstellt bspw. bei bitaddress, würde ich den daraus kreierten Private Key quasi als ein Passwort werten/betrachten, da ich diesen Private Key bspw. bei einer Wallet von Mycelium einfügen und danach die Bitcoins respektive die UTXO’s überweisen kann. Anders umschrieben - beim Paper-Wallet benötige ich kein Passwort, denn da dient der Private Key, und an dieser Stelle - ENDLICH sieht man so einen Private Key!, tatsächlich quasi als Passwort, um meine UTXO’s zu transferieren.

Wo mache ich einen Denk- / Interpretations-Fehler?
Dürfen Passwort und Private Key in ihrer wohl individuellen Art schon gar nicht miteinander verglichen werden vielleicht?

Kann mir bitte jemand weiterhelfen?

Die Hardware-Wallet ist eben nur physisch erreichbar. Weiterhin wird dein MacBook oder iPhone mit der Ledger Live App benötigt (zweiter Code). Das verringert halt das Risiko extrem.

1 „Gefällt mir“

Du schleuderst etwas zu viel mit dem Begriff „Private Key“ um dich.

Deine Mnemonic, das sind die 24 Wörter, ist dein ultimativer Schlüssel. Alles weitere läuft im Hintergrund ab und leitet sich daraus ab. Es würde weder dir noch sonst irgendjemandem etwas bringen manuell deine rohen, abgeleiteten, private keys zu begutachten.

Was ist ein "Derivation Path" und wie funktionieren HD Wallets?

„Die Blockchain“ kreiert überhaupt gar nichts. Erst recht nicht deine Schlüssel.

(Ich gehe ab jetzt mal bei „Private Key“ von der Mnemonic aus)

Was soll dir so eine Abfrage denn bringen? Versuch’ mal einen Grund zu nennen.

Die PIN Abfrage bei deinem Ledger ist nur ein Schutz vor Zugriff auf deine Hardware Wallet. Mehr nicht.

Dein Backup, also die Wörter, hast du doch auch auf einem Blatt Papier notiert. Wenn das jemand findet wird auch kein Passwort mehr abgefragt.

Du kannst ein Passwort nicht effektiv mit einem weiteren Passwort schützen (ohne zusätzliche Komplexität).

Ich verstehe aber nicht wirklich was genau jetzt überhaupt deine Frage ist. Dein Text liest sich eher wie ein innerer Monolog als eine konkrete Fragestellung.

9 „Gefällt mir“

Das ist nicht korrekt. Die HW-Wallet + Pin reichen in der Regel aus. Sehe ich hierbei ein Risiko für den normalen User? Nein.

2 „Gefällt mir“

Diese Sperre kann man in den Einstellungen festlegen. Dann reichen HW-Wallet und Pin nicht mehr aus…

@donald-quark zuerst einmal ratet wohl jeder halbwegs geschulte Kryptoianer von einer HotWallet (SoftwareWallet) ab.
Warum das wichtig ist? Nunja, du hast diesen Punkt ja selber gut beleuchtet! Sollte es einem Hacker gelingen Zugriff auf deinen PC zu bekommen und das Passwort für die Wallet zu knacken, hat derjenige obwohl er nicht vor Ort ist, Zugriff auf deine Wallet.

Bei einer Hardware-Wallet kann dir dies nicht passieren! Da kann der Hacker an sich gerne deinen Ledger-Live-Account knacken. Das bringt ihm erstmal garnichts, weil immernoch das physische Gerät, der Ledger, benötigt wird.

Von daher hast du an sich Recht, dass man bei allen Wallets auch die anderen Passwörter sicher aufbewahren sollte. Bei einer Hardwarewallet kann der Angreifer aber mit dem Passwort für die PC-Software ziemlich wenig anfangen.
Du siehst also, dass sich die Warnungen hauptsächlich auf die Verwendung mit einer Hardwarewallet beziehen.

btw: Ist es aber nicht selbstverständlich, dass jedes Passwort, das man vergibt, gut aufbewahrt werden sollte?^^

4 „Gefällt mir“

Ich glaube worauf du hinaus willst ist, dass die mnemonic in einer Wallet gesichert ist, welche nur über ein simples Passwort geschützt ist, welches man sich leicht merken kann.

Man sollte einfach keine soft Wallet, sondern eine hardwallet verwenden. Die bitbox zum Beispiel setzt sich nach 10 falschen Geräte Passwort Eingaben zurück und muss über das Backup wiederhergestellt werden. Damit ist auch ein einfaches Passwort ausreichend sicher, falls sie geklaut wird oder ähnliches. Wenn du mit deinem mnemonic Backup noch zum Beispiel einen 2v3 Split machst hast du immer ausreichend Sicherheit vor brutforce Angriffen.

1 „Gefällt mir“

Kannst du dieses Feature mal bitte verlinken? Das scheint wohl neu zu sein.

Der Ledger wird nach drei falschen Passwörtern zurückgesetzt.

2 „Gefällt mir“

Einstellungen → Kennwortsperre

Das ist eine reine Passwortsperre für Ledger Live und bietet keinen zusätzlichen Schutz vor Zugriff auf die Hardware.

Ich kann Ledger Live einfach zurücksetzen oder an einem anderen Rechner anschließen und den Ledger mit PIN ganz normal nutzen.

1 „Gefällt mir“

Dann habe ich also kein Feature verpasst :smile:

Also für mich ist eine Hot Wallet eine, die auf einem System läuft, das mit dem Internet verbunden, also online ist. Dabei ist es egal, ob das eine reine Software-Wallet oder Software- mit Hardware-Wallet ist.
Analog ist eine Cold Wallet niemals mit dem Internet verbunden.

Nun könnte man argumentieren, daß eine Hardware-Wallet für sich auch nie mit dem Internet kommunizieren kann. Jedenfalls ist das bei den meisten Hardware-Wallets so, da sie meist nur Signiergeräte sind, die nicht die volle Funktionalität einer Wallet abbilden. Sie brauchen immer die Unterstützung durch Software wie Ledger Live, Specter Desktop, Electrum, Bitbox App oder Sparrow, um nur einige zu nennen.

Auf einem kompromittierten Rechner hat eine Software-Wallet im Grunde genommen keine wirkliche Chance, Private Keys und den Seed vor Malware zu schützen. Hier liegt der ganz klare Vorteil von Hardware-Wallets, wenn man als Benutzer gründlich kontrolliert, was der Hardware-Wallet zum Signieren vom Rechner übergeben wurde. Denn Malware sollte keinerlei Zugriff auf die Private Keys und den Seed in der Hardware-Wallet erlangen können. Kontrolliert man die zu signierende Transaktion sorgfältig und sind alle Details in Ordnung, dann wird auch nur das, was in Ordnung ist, signiert und nichts anderes. Einmal Signiertes kann nachträglich nicht mehr manipuliert werden, ohne daß die Signatur ihre Gültigkeit verlöre.

2 „Gefällt mir“

Vorab möchte ich mich bei Euch bedanken für die geschätzten Antworten! :slightly_smiling_face:

Auf einige Punkte möchte ich gerne demnächst nochmals zurückkommen und die Fragen beantworten.

Danke Dir für den Link zu Deinem genialen Beitrag Was ist ein Derivation Path und wie funktionieren HD-Wallets?!

… von der Blockchain kreierte Private Key … - Eine miserable Passage - merci für Deinen Hinweis.

Auf jeden Fall - die Wörter sind notiert und entsprechend aufbewahrt!

Mit den Antworten von KrisenSicher, mcwinston, Mr_Markele, Cricktor & Dir weiss ich nun was mein Denkfehler war.
1000 & 1en Dank!

1 „Gefällt mir“

Doch-doch, auch für mich völlig selbstverständlich, dass die Passwörter nach den entsprechenden Kriterien erstellt und aufbewahrt werden sollten!

Vielleicht noch eine Sache zu den Wallets in ihrer Verwendung:
Ich sehe zweifellos ein, dass eine Software-Wallet an Sicherheit einbüsst.
Nur mal angenommen jedoch es fielen kleinere Alltagstransaktionen an - dann wäre eine Software-Wallet, konkreter eine Mobile-Wallet, wohl die ideale Ergänzung. So würde ich auf dieser Mobile-Wallet lediglich einen kleinen Teil meiner UTXO’s halten für solche Zahlungen, den viel bedeutenderen Anteil auf der Hardware-Wallet.
Oder rätst Du von einer Software-Wallet, auch in dieser Hinsicht, kategorisch ab?

Ja so kannst du es machen!

Cold Wallet für deine Ersparnisse. Das Backup deiner mnemonic kannst du zusätzlich schützen, siehe hier:

https://www.blocktrainer.de/multisig-mnemonic-split/

Und wie du schreibst, kleine Beträge für den täglichen Bedarf auf einer soft Wallet. Zum Beispiel „Wallet of Satoshi“

Das ist keine Hot Wallet, sondern eine custodial Lightning Wallet.

Eine gute mobile Hot Wallet ist die BlueWallet.

Bei WoS verfügt man doch selbst über den Seed?
Ich dachte Custodial sind nur Wallets, welche die Schlüssel selbst verwalten ohne diese herauszugeben?

Ich kenne zwar die Ledger Live App nicht, aber ich bin mir ziemlich sicher dass dieses Passwort nur dazu da ist die Xpub, also deinen Extended Public Key, aus dem sich alle deine Public Keys und folglich auch alle Adressen berechnen lassen auf der Disk zu verschlüsseln, so dass du nicht immer deinen Ledger anschliessen und den importieren musst wenn du den Stand deines Wallets anschauen willst.

Das ist also nur dazu da das andere Software auf deiner Kiste das File nicht öffnen kann und gleich sieht was du alles für Shitcoins gekauft hast. Das Ist für viele nämlich ganz schön peinlich.

Der Xprv, also dein Extended Private Key aus dem sich alle deine Private Keys berechnen lassen, ist in einem Security Chip auf dem Ledger gespeichert und der verlässt den Ledger nie. Der Pin entriegelt den Security Chip, damit vorbereitete Transaktionen die er von dem Ledger Live bekommt bei Bestätigung signiert werden können.

Der ist also dazu da dass wenn jemand deinen Ledger klaut, keinen Zugriff auf deinen Xprv kriegt. Deshalb ist es auch so dass der nur eine begrenzte Anzahl an versuchen zulässt bevor du den überhaupt nicht mehr entriegeln kannst.

Neh, den siehst du eben nie. Der ist nur auf dem Security Chip. Die 24 Wörter die du noch hast sind allerdings dazu da den Xprv neu zu berechnen, deshalb ist dass das absolut wichtigste dass den niemand und keine Kamera jemals zu Gesicht bekommt. Weil mit dem kann jeder auf all deine Coins zugreifen ohne irgendwas sonst.

Die sind nur dazu da wenn du den Ledger verlierst, kaputt geht oder löschst, dass der Security Chip bei einem Ersatzgerät (muss nicht mal ein Ledger sein) wieder den selben xPrv generieren kann der dir Zugriff auf deine Coins gibt.

1 „Gefällt mir“