ich habe zum üben gerade ein wenig mit meiner Yoroi-Wallet auf einer Chrome-Extension, dem Ledger X und ein paar ADAs herumgespielt. Unter anderem habe ich eine zweite Yoroi-Wallet für den Ledger erstellt, musste aber die alte, ursprüngliche Yoroi-Wallet löschen, weil ich das Sendungspasswort nicht mehr kannte. [Konnte mich gar nicht erinnern eines vergeben zu haben.]
Nun habe ich die alte Wallet mit den phrases wiederhergestellt, meine Coins sind auch schön wieder da - hat prima geklappt. Jetzt frage ich mich allerdings, ob meine 15 Worte vom Wallet nicht korrumpiert sind? Ich habe sie ja an einem internet-verbundenen PC eingegeben um die Wallet wiederherzustellen.
Könnte mir bitte jemand kurz technisch begründet erläutern, ob ich die wiederhergestellte Wallet nun eigentlich weiter benutzen kann. Oder muss ich jetzt eine neue Yoroi-Wallet mit neuer Passphrase erstellen um ein hacken meiner Eingaben auszuschließen?
D.h. beide Wallets hast du auf dem Ledger erzeugt? Dieser müsste ja dann für beide Wallets irgendwann einmal 24 Wörter generiert haben, die noch nie einen PC gesehen haben.
Ein Passwort zum Senden hört sich für mich danach an, als hättest du diese Wallet als Software Wallet in Yoroi eingerichtet. Die entsprechenden Wörter wurden also von Yoroi generiert und auf dem PC zum Notieren angezeigt.
Dazu passt auch, dass der Ledger dir immer 24 Wörter generiert. Du sprichst aber von 15 Wörtern, so wie Yoroi sie verwendet.
Falls meine Vermutung stimmt, haben die 15 Wörter ja sowieso schon einmal einen Online PC gesehen. Nämlich bei der Einrichtung.
Natürlich ist jedes weitere Eingeben am PC ein erneutes Risiko, das aber schwer abzuschätzen ist. Das hängt wohl auch davon ab wie „sauber“ dein PC ist.
Ich würde zumindest den Großteil der Coins auf den Ledger packen und wirklich nur wenige ADA zum Testen auf eine Software Wallet.
Wenn du trozdem ein ungutes Gefühl hast, erstelle dir eine weitere Software Wallet mit Yoroi und transferiere deine Test ADA dorthin.
ich hab erst eine „normale“ Yoroi-Wallet auf der Chrome-Extension (Softwallet) erstellt, darauf vor Monaten von Binance einige ADAs geschickt. Bei der Einrichtung habe ich 15 Worte von Yoroi erhalten (wurden also bei der Einrichtung am Bildschirm angezeigt) und dann notiert, ein Passwort zum Versenden ist mir nicht bekannt. [Für den Ledger habe ich natürlich einen Seed von 24 Worten, aber der spielt hier ja keine Rolle.]
Mit der Chrome-Extension kann man weitere (Soft-)Wallets erzeugen. Das habe ich gemacht um meinen Ledger X zu verbinden zu können. Dabei wurde mir angezeigt, dass der Public-Key von der ersten auf die neue Wallet übertragen wird und ich musste zustimmen.
Da ich das Sendungspasswort auf der ersten Wallet nicht mehr kannte, musste ich dieses Yoroi-Wallet löschen und ein neues erzeugen - mit der bekannten Passphrase die ich ja nun über die Tastatur eingeben musste. Anschließend habe ich die Coins von der wiederhergestellten Wallet auf die Ledger-verbundene Wallet übertragen. Soweit müsste das jetzt sicher sein.
Ich versuche nun zu verstehen, ob es generell bei der Wiederherstellung einer Software-Wallet (z.B. einer Browser-Extension) nicht zu einem Sicherheitsproblem kommt, wenn man seine Passphrase über die Tastatur eingibt. Theoretisch müsste ja eine Angriffsmöglichkeit durch einen Keylocker bestehen - dann wäre aber jede wiederhergestellte Wallet an einem online-fähigen PC ein Sicherheitsproblem. Oder irre ich mich da?
Die alte Wallet war also eine Software Wallet, ohne Ledger.
Soweit alles klar. (Nur zum Wording: Hierbei handelt es sich um die Seedphrase bzw. Menmonic, also deine 15 Wörter, nicht um die Passphrase.)
Ich weiß, dass das eigentlich nicht deine Frage ist, aber den Punkt verstehe ich noch nicht.
Du kannst natürlich mit Yoroi weitere Soft-Wallets erzeugen. Aber wenn du den Ledger verbindest, legst du die neue Wallet mit dem Punkt „Connect to hardware wallet“ an. Anschließend exportiert der Ledger den Extended Public Key (xpub) nach Yoroi, so dass Yoroi all deine Adressen kennt. (Anleitung). Das zeigt der Ledger auch auf dem Gerät an und du musst es bestätigen.
Das ist dann aber keine Soft-Wallet. Schließlich sind die Keys nur auf dem Ledger gespeichert. Yoroi dient in diesem Fall nur als Verwaltungs-Tool, für Anzeige von Balances, Transaktionen, Delegation etc…
Mich wundert es deshalb wenn du schreibst, dass „der Public-Key von der ersten auf die neue Wallet übertragen wird“. Meinst du damit vom Ledger zu Yoroi?
Von deiner alten Soft-Wallet kannst du den xpub nicht einfach in der Ledger Wallet weiter verwenden.
Zu deiner eigentlichen Frage kann ich dir leider nicht viel sagen.
Klar ist das unsicherer, als wenn man sich die Wörter nur einmal bei der Einrichtung hat anzeigen lassen.
Gerade bei Browser-basierten Wallets wie z.B. auch Metamask wird sehr oft empfohlen, diese sowieso nur mit einem Ledger zu verwenden.
Ich persönlich verwende z.B. nur die Hardware Wallet (auch in Verbindung mit Yoroi, Adalite etc.) und für kleinere Beträge Software Wallets, die aber nicht Browser-basiert sind (Exodus, Atomic Wallet etc.).
Aber das können die IT Security Spezialisten hier sicher besser einschätzen, z.B. @sutterseba oder @bnd?
Trotz aller Schulungsmaßnahmen und Infos hier kann ich die Begriffe immer noch nicht unfallfrei auseinanderhalten… Bin mal gespannt wann mir das endlich gelingt!
So wollte ich das auch eigentlich ausgedrückt haben. Die verlinkte Anleitung hatte ich vorher gelesen, offensichtlich sind nur 30 Prozent davon bei mir angekommen.
Danke für deine Mühe und die Tipps. Ich werde mir diese Wallets mal anschauen.
Hi, ich würde sie als kompromitiert ansehen. Browser-Extensions sind inherent unsicher, Daten liegen ungeschützt auf der Platte und sind oft falsch konfiguriert und damit schlecht isoliert.
Wenn schon Hot-Wallet, dann bitte entweder in einer Sandbox (i.e. App) oder eine Software wie Electrum usw. Browser-Erweiterungen sind (neben Web-Wallets) so mit die schlechteste Art.
Hier kommen noch sorgen um CSRF und co.
Ui, sind das die kleinen grünen Pickel die ich manchmal habe…? Nein, nein, das klingt ja schon gefährlich ohne das ich das kenne!
Ich hatte so etwas befürchtet, aber für ADA geht das glaube ich nur per Extension. Nun, jetzt habe ich sie ja hoffentlich über den Ledger erst einmal genug abgesichert.
Ich würde eine Mnemonic immer über die* Bildschirmtastatur eingeben, da man hier einen Angriffsvektor (die physische Tastatur) streicht, natürlich nur sofern es sich um einen relevanten Betrag handelt. Auf dem Bildschirm ist die Mnemonic sowieso zu sehen, also wieso nicht die Tastatur auch auf den Bildschirm nehmen.
* Natürlich keine Bildschirmtastatur von Drittanbietern, sondern die interne des Betriebssystems.
Ja, da hätte ich auch vorher drauf kommen können. Aber gut dass ich die Trockenübungen jetzt schon und mit nur wenigen Coins mache, nicht wenn ich mal wirklich in Not mit einem großen Betrag bin.
PS: ich habe auch schon mal auf einer DEX (Pancake-Swap) Coins hin und her getauscht um zu üben. Ich hatte Blutdruck von über 300 und absolute Schwitzehändchen, habe es aber geschafft alle Coins zu behalten, nix ist im Datennirvana verschwunden.
Falls du den Ledger verwendest ist der Rest praktisch egal. Du kannst ohne Bedenken das Browser-basierte Adalite (von Vacuumlabs) oder Yoroi (von Emurgo) verwenden, die beide von Cardano-erfahrenen Entwicklungsfirmen für Cardano maßgeschneidert sind und alle Funktionen mitbringen (Staking, Voting, andere Token etc.).
Ohne Ledger, also bei einer Software Wallet, kommt es nun darauf an, ob du auch delegieren (staken) oder voten möchtest:
Falls du Staking oder Voting ohne eine Browser-basierte Wallet nutzen möchtest, solltest du Daedalus verwenden. Auch Daedalus ist maßgeschneidert, sogar von IOG selbst, lädt sich aber als Full Node die komplette Blockchain herunter. Das ist gut für die Privacy und benötigt weniger Vertrauen in andere, ist aber langsamer und benötigt etwas Platz.
Falls du kein Staking oder Voting benötigst, kommen im Prinzip sehr viele bewährte Soft-Wallets in Frage, die nicht Browser-basiert sind. Alle großen Multicoin Wallets beherrschen heute auch ADA. Da kannst du mal hier reinschauen:
→ Hot Wallets: Sammelthread & Empfehlungen - #13 von Ingo
Für die zukünftigen „DeFi on Cardano“ Themen wird wahrscheinlich Yoroi zum Standard werden, vergleichbar zu Metamask bei Ethereum. Aber Yoroi dann eben besser nur mit Ledger verwenden.
Super, nochmals vielen Dank für deine ausführlichen Antworten und deine Mühen, @skyrmion .
Nicht zu fassen was man Alles so bedenken kann oder muss wenn man sich eine Wallet aussucht. So komplex hatte ich mir das mit Krypto gar nicht vorgestellt…
Gut dass ich ansonsten fast nur SATs auf meine Bitbox schiebe, da kann man ja nicht viel falsch machen.