Hallo Community, hallo Roman,
ich bin relativ neu in diesem Space und versuche mich mit Hilfe vom Blocktrainer langsam
an Bitcoin und Co. heranzutasten. Habe mittlerweile ein Konto bei Bitwala eröffnet.
Meine Frage bezieht sich auf die Bitcoin-Wallet. Wenn jemand mein Account bei Bitwala hacken würde, ist er doch nur im besitzt meiner Coins wenn diese Person meine 12-Wörter hätte oder?!
Wieso kann ich eigentlich meine Bitcoins bei Bitwala verkaufen und dabei brauche ich nur mein Wallet Passwort einzugeben. Ich habe es bis jetzt immer so verstanden, dass jeglicher Transfer nur durch die Eingabe der 12 -Wörter durchgeführt werden kann. Habe ich da generell was missverstanden?
Freut mich, dich hier im Blocktrainer-Forum begrüßen zu dürfen.
Deine 12 Wörter sind ja nur dein Backup. Wenn du dein Passwort verlieren würdest, dann hättest du immer noch die Möglichkeit, über deine 12 Wörter (auch Seed genannt) an deinen private Key zu gelangen.
Deine Wallet verwaltet deinen private Key. Damit dieser nicht von jedem einsichtig ist, verschlüsselst du diesen mit einem Passwort.
Hier auch nochmal im Zuge ein Artikel über Wallets von uns
danke für die schnelle Antwort.
Wenn ich die Link von nittels richtig verstehe gebe ich meinen Seed (12-Wörter) aus der Hand, wenn diese bei BitGo gelagert werden, auch wenn verschlüsselt.
widerspricht das nicht dem was Roman immer predikt: not your key, not your coins ??
Da habe ich wohl ein, Todsünde begangen?
Entschuldigt für meine für euch wahrscheinlich zu einfachen Fragen
Die korrekte Antwort ist, dass du bei Bitwala eine Multisignaturwallet hast.
In dem Fall brauchst du 2 private Keys von 3 möglichen.
Bitwala besitzt einen davon, deine Wallet besitzt einen zweiten und du privat bekommst beim erstellen des Kontos den Dritten als Backup angezeigt.
Damit bist nur du im Besitz von 2 Schlüsseln gleichzeitig und nur wenn deine Wallet dem Bitwala Service die Signatur deines Keys übergibt, kann ein Transfer stattfinden.
Somit wärst du sicher, wenn Bitwala gehackt würde.
Hallo Blocktrainer,
vielen Dank für die ausführliche Antwort. Du hast mir sehr geholfen und meine Bedenken beiseite geräumt.
Es macht echt spaß deine Videos zu schauen und immer wieder was neues zu lernen und wenn man denkt man hat was verstanden, kommen solche Fragen wie diese!
Ich nutze seit einiger Zeit nebenbei testweise Bitwala, da ich es auch in der Verwandtschaft empfehlen möchte. Heute habe ich mir die Multisig Wallet Beschreibung von Bitwala angesehen, die auch @nittels schon verlinkt hatte:
Bzgl. Blockchain Transaktionen ist mir das prinzipiell alles klar. Mich würde aber eure Meinung zur Sicherheit bzgl. Schlüsselverwahrung und Passwort interessieren. Von der Sicherheit einer HW-Wallet ist man natürlich weit entfernt; mich interessiert der Vergleich zu einer non-custodial SW-Wallet:
SW-Wallet:
Der Seed liegt PW-verschlüsselt auf meinem Rechner.
–> Schwachstellen:
1.) Einrichten der Wallet (Seed Phrase wird angezeigt)
2.) Eingabe des PW beim Programmstart und bei Transaktionen (Keylogger etc.)
Bitwala Multisig:
Seed 1v3 liegt PW-verschlüsselt bei BitGo. Seed 3v3 liegt durch BitGo verschlüsselt bei BitGo.
–> Schwachstellen:
1.) Einrichten der Wallet (Seed Phrases 1v3 und 2v3 werden angezeigt)
2.) Eingabe des PW bzw. Face/Touch ID bei Transaktionen im Browser oder in Handy App
3.) BitGo könnte den Seed 1v3 bei der Erzeugung speichern, bevor er mit meinem PW verschlüsselt wird.
Für Bitwala gilt somit:
CON: PW oder Face/Touch ID werden in Browser oder App benötigt (nicht in PC Software)
CON: Vertrauen ggü. BitGo ist notwendig
Teilt ihr diese Einschätzung? Browser und Handy Apps erscheinen mir als eine unsicherere Umgebung ggü. einer PC Software.
Und BitGo kann bei der Erzeugung doch einfach alle Seeds mitschreiben. Dann könnten sie das missbrauchen oder gehackt werden.
Mich interessiert das auf jeden Fall, da ich noch überlege, ob sich für den Anfang eine SW-Wallet lohnen würde. Muss dann zwar extra eingerichtet werden, aber bietet vielleicht mehr Sicherheit?
Na, wie sieht’s aus, keine Meinung zu Bitwala (-> letzter Beitrag)?
Nachdem Einsteigern in der letzten Zeit oft zurecht Bitwala empfohlen wird, finde ich eure Meinung schon interessant, ob ihr trotzdem auf eine Software Wallet transferieren würdet. (Hardware Wallet schließe ich beim Einstieg mit kleineren Beträgen jetzt mal aus. Die kauft man sich dann sowieso nach einiger Zeit.)
Gerade den Punkt, inwieweit man einem Anbieter wie BitGo vertrauen kann, finde ich wichtig. Und wenn man mit Passwort im Browser arbeitet gibt es soweit ich gehört habe mehr Schwachstellen (Einschränkung bei Skripten und Protokollen?), als wenn man eine separate Software benutzt.
Ich kenne Bitwala in der Praxis leider nicht, kann daher nicht viel über die Web Sicherheit sagen. Aber was BitGo betrifft brauchst du ihnen nicht vertrauen, weil sie gleich wie Bitwala alleine nichts machen können, da jeder für sich deine Transaction signiert und der eine nicht an den PvK des anderen kommt. Sie müssten sich beide zusammentun damit deine Cryptos in Gefahr wären.
Ja, laut Bitwala läuft das so ab: 1) Du generierst eine Transaktion 2) Wir fordern deinen verschlüsselten Schlüssel #1 von BitGo an 3) Du entschlüsselst diesen mit deinem Passwort 4) Du signierst die Transaktion mit Schlüssel #1 5) BitGo prüft den Vorgang und co-signiert mit Schlüssel #3
Aber bei der Einrichtung der Wallet werden dir nacheinander Schlüssel #1 und #2 angezeigt. Ich frage mich wie diese generiert werden? Vermutlich von BitGo, d.h. sie kennen (wenn sie wollen) beide Schlüssel unverschlüsselt.
Evtl. ist es möglich, dass diese Schlüssel erzeugt werden, ohne dass BitGo sie sieht? Wäre aber interessant, ob das so implementiert ist und ob dieser Teil open source ist.
Es muss am Ende ja nicht BitGo selbst bösartig sein. Aber wenn die Software kompromittiert wird, mit der online die Schlüssel erzeugt werden, dann reicht das schon.
Bei einer Software Wallet läuft das zumindest alles nur auf meinem PC.
Ja gut, aber dann sind wir wieder bei der prinzipiellen Frage wieviel Sinn es macht sich den Schlüssel von 3ten generieren zu lassen, egal ob das jetzt eine Institution (BitGo oder Bitwala) oder ein Gerät (Ledger) ist. Ich verstehen deine Bedenken; deshalb würfle ich mir meinen Seed auch selber. Ich würde Bitwala auch nicht zum Hodeln verwenden, aber dafür ist es nicht gedacht.
Bei der HW-Wallet kann ich halt (wie du mal erwähnt hattest ) ein Passphrase dazu packen, um unabhängig zu sein.
Was mich bei Bitwala beschäftigt ist die Online-Erzeugung der Schlüssel, alles über den Browser. Ich kann mir irgendwie nicht vorstellen, dass man das so sicher implementieren kann, wie wenn ich z.B. offline mit einer Software-Wallet die Schlüssel erzeuge.
Du hast wahrscheinlich recht. Nur dann komme ich wieder zu dem Punkt, wo ich mir denke, dass diese „semi-custodial“ Wallet kein Argument mehr ist. Dann kann ich auch als Anfänger Instant Buy über die App einer Exchange machen und direkt transferieren; wahrscheinlich insgesamt günstiger und ich hab dann schon den Exchange Account für später.
Argumente wären dann nur das deutsche Konto und die deutsche Regulierung (für dich wahrscheinlich nicht ). Beim Preis bin ich mir auch gar nicht sicher. Für den Transfer von BTC auf eine andere Wallet wird nur die Netzwerkgebühr verlangt. Das ist im Vergleich zu 0,0005 BTC bei den Börsen bei kleinen Beträgen schon eine relevante Ersparnis.
) ein Passphrase dazu packen, um unabhängig zu sein.
). Beim Preis bin ich mir auch gar nicht sicher. Für den Transfer von BTC auf eine andere Wallet wird nur die Netzwerkgebühr verlangt. Das ist im Vergleich zu 0,0005 BTC bei den Börsen bei kleinen Beträgen schon eine relevante Ersparnis.