Sicherheit: Reicht ein HardwareWallet-Stick? Exodus sagt ' nein'

Hallo Menschen,
Hab mich gerade angemeldet um dies hier zu schreiben:

Ich benutze uA Exodus und bin auf deren Webseite auf den Artikel über Sicherheit gestoßen:

Das hat mich mich jetzt ertwas verunsichert. Dort werden verschiedene Stufen von Sicherheitsmaßnahmen vorgestellt, die man ergreifen sollte, wenn einem Coins was Wert sind.

Natürlich wird ein Trezor empfohlen, der für mich nun auch immer mehr in Frage kommt - vor allem nach diesem Artikel. Dort liest es sich aber so, als ob selbst eine HardwareWallet nicht sicher ist, solange die anderen Anweisungen nicht befolgt werden.
Zb: Stufe 1:
„Don’t visit suspicious sites or download material from untrusted or pirate sources.“ - ‚Suspicious sites‘ werden aber manchmal aus Versehen oder mit Absicht mit dem Laptop auf denen die Wallets sind besucht. Auch wurde auf dem Laptop (nicht meiner, wir teilen uns den mit einigen Menschen. Einen eigenen besitze ich nicht.) neulich was runtergeladen, das nicht garantiert unpirated war - zwar keine Software, aber trotzdem…
„Create a unique, strong password for Exodus.“ - Ich hab da ein exzellentes Passwort, dass ich allerdings für alle meine (3) Desktop-Wallets und meine E-Mail nutze. Ist das sooo schlimm? Vor allem wenn ich nen Trezor hätte?
Stufe 2:
„Use VPN & Firewall“ - Ich soll Ne Firewall im PC haben (denke die habe ich) und eine im Router - keine Ahnung wie ich die einrichte und damit möchte ich mich auch ungerne auseinandersetzen. VPN möchte/kann ich auch nicht durchgehend benutzen - kostet in der Regel monatlich Geld, oder?
„Use antivirus and anti-malware programs“ - same as above

Ja, also die Frage hinter allem ist eigentlich: Ist das alles überhaupt nötig, wenn ich nen HardWallet-Stick am Start hab? Ich dachte immer das wäre der heilige Gral der Sicherheit. Im Artikel liest es sich aber eher wie einer von vielen wichtigen Schritten.

Achja, und die Sache mit dem Laptop, wo meine Wallets installiert sind: Wie gesagt habe da schon einige Leute Zugriff drauf. Das stört mich nicht, da nur ich mein Passwort kenne und ich die LEute idR kenne. Für mich sind die installierten Wallets nur ne Schnittstelle zwischen mir und meinen Coins - Ich stelle mir vor dass ich die Wallets ja auch beliebig auf anderen Geräten installieren kann, wenn was mit dem Laptop oder so ist. Seeds regeln. - und bin da evtl etwas nachlässig mit der Sicherheit des Laptops, weil ich im Gegenzug sehr achtsam mit Seeds und Keys bin. Jetzt frage ich mich, ob ich da zu unvorsichtig bin.

Ich weiß, das sind viele kleine spezifische Fragen und viel Text. Um so mehr freue ich mich über jede Information!

Danke
TöNTiN

Ich bin selbst seit ein paar Wochen dabei, aber ich habe es bis jetzt so verstanden.
Es gibt ja einige Wallet-Arten und die Hardwallets (Ledger, Trezor) sind schon ziemlich sicher, aber Coldwallets sollen, nach meinem Verständnis, am sichersten sein. Dort formatierst du einen Laptop, der niemals ans Internet angeschlossen wird. Ist etwas komplizierter, aber kannst es ja mal googlen. Dort wird dann auch gezeigt wie das alles funktioniert.

Hardware-Wallets sind quasi „cold storages“, nur zur Info.
Du meinst wahrscheinlich „Paper-Wallets“ und naja… ich bin da, was die Sicherheit betrifft anderer Meinung, da diese zum Verwenden ja wieder in ein Hot-Wallet integriert werden müssen.

Zunächst einmal muss man sich im Klaren darüber sein, dass es so etwas wie 100%ige Sicherheit nicht gibt. Das ganze ist eben ein Spektrum. Eigentlich sogar ein zweidimensionales Spektrum, das sich zwischen den Aspekten Sicherheit und Nutzerfreundlichkeit austariert. Hardwarewallets, bieten bei vergleichsweise hohe Sicherheit in Verbindung mit vergleichsweise hoher Nutzerfreundlichkeit.

Naja…dieser Hinweis dient dazu um dich vor dir selbst zu schützen. Derlei Seiten sind (bei einem GUTEN Hardwarewallet und bei richtiger Benutzung) nicht in der Lage dir gefährlich zu werden, da sie die Seeds/private Keys nicht auslesen können. Was allerdings passieren kann, sind Versuche, dich dazu zu verleiten, deine Mnemonic Phrase auf der Seite einzugeben, was du NIEMALS tun solltest, wenn du deine Funds nicht verlieren möchtest.

Naja… ein VPN zu nutzen ist zwar nicht schlecht, aber auch nicht zwingend notwendig. Bei der Nutzung von Antiviren-Programmen gibt es auch geteilte Meinungen, da viele derer Programme mehr Ärger machen als nutzen und heutzutage der normale bzw. vorinstallierte Windows Defender in Verbindung mit etwas gesundem Menschenverstand volkommen ausreicht.
Diese Stufe 2 kannst du also getrost ignorieren.

Was nötig ist, ist sich darüber bewusst zu sein, was man tut und richtig mit dem Hardwarewallet umgehen, dann hat man ein ziemlich hohes Maß an Sicherheit.

So etwas gibt es nicht. Theoretisch könntest du über MultiSig etc. noch mehr Sicherheit generieren, jedoch leidet darunter wieder die Nutzerfreundlichkeit. Gleiches gilt für Paperwallets.

Das ist natürlich nicht ideal. Es gibt doch gebrauchte und geeignete Laptops schon sehr günstig für ~150€. Ich denke ich würde wenn es um die Sicherheit meines Geldes geht, da nicht so große Kompromisse machen wollen.

Ja das hast du gut erkannt. Dennoch, würde ich den Laptop, an dem ich meine Finanzen regle, nicht mit vielen anderen teilen. Keylogger etc. sind ja heutzutage relativ schnell installiert.

Für meinen Geschmack: Ja, mir wäre das zu unvorsichtig ,aber wenn du mit dem gewissen Restrisiko leben kannst, dann go for it. Wichtig ist, wie gesagt, richtig mit dem Wallet umzugehen und z.b. auch wirklich die Adressen an Desktop und auf dem Wallet zu vergleichen bevor man sie bestätigt, damit diese nicht durch Schadsoftware ausgetauscht wurden.

Paperwallets sind doch dann so gesehen auch coldstorages oder etwa nicht ?
@renna

Ja richtig.
Alles was quasi keinen direkten Zugang zum Internet hat.

Das Risiko was sie hier hauptsächlich beschreiben ist eine Man in the middle Attacke, das hat weniger was mit dem HW Wallet und der Sicherheit des PvK zu tun, sondern eher mit der GUI bzw. Datenaustausch mit dem HW Wallet.

Eine GUI (und da macht Exodus keine Ausnahme) bereitet gemäß deinen Eingaben nur die Transaction vor und übergibt sie dem HW Wallet zum Signieren. Eine Schadsoftware könnte sich zwischen die GUI und dem HW Wallet reinhängen und deine Eingaben (Empfängeradresse, Summe,…) manipulieren bevor sie über USB oder Bluetooth an das HW Wallet gehen. Deshalb musst du ja am HW Wallet (je nach Modell) meist nochmals die Eingaben bestätigen (zur Kontrolle weil der dir so zeigt was er wirklich an Daten bekommen hat). Ein unachtsamer Anwender könnte das einfach aus Bequemlichkeit bestätigen, der HW Wallet signiert und fertig ist der Salat.

Kurz gesagt; das HW Wallet schützt deinen PvK, nicht vor Fehlern des Users.

Ich freu mich über eure Antworten. Danke euch!