Comment savoir que mon mot de passe ou mon information de sauvegarde n'est pas partagé lors de la création d'un nouveau portefeuille?

Question

Comment savoir que mon mot de passe ou mon information de sauvegarde n'est pas partagé lors de la création d'un nouveau portefeuille?

- 7
- 746 2019-02-21
Plusieurs services Offrentpour créer unnouveauportefeuille/compte/clé Tezos (tz1...). Parexemple,considérez portefeuille Galleon . Enentrant unmot depasse,ilproduit unnouveauportefeuille:

Vous devezensuite choisir unensemble de 12mots,qui servent àeffectuer une sauvegardeet à récupérer l'accès au compte au cas oùilestnécessaire. Ma questionest de savoir comment savoir que lesinformationsprivées ci-dessusne sontpaspartagées avecpersonne? J'imagine que celapeut être vu dans le code source duprogramme. Mais certainsne sontpas open source. Parexemple, Kukai est un service Web qui crée desportefeuilles. Commentpouvons-nous savoir que cette création deportefeuillesest sécurisée? Il doit sûrement y avoir une sorte de communication «officielle»entre ces serviceset leblockchain. Existe-t-il unprotocole quigarantit unetelle sécurité ouest-ce une coucheentièrement détachée de l'interaction de ces services de création deportefeuille avec leblockchain?

Several services offer to create a new tezos wallet/account/key (tz1...). For example, consider Galleon Wallet. By entering a password, it produces a new wallet:

You then need to choose a set of 12 words, which are used to make a backup and to recover access to the account in case it is needed. My question is, how do I know the private information above is not being shared with anyone? I imagine this can somehow be seen in the source code of the program. But some are not open source. For instance, kukai is a web service that creates wallets. How can we know such creation of wallets is secure? Surely there must be some sort of "official" communication between these services and the blockchain. Is there some protocol that ensures such security, or is that a layer altogether detached from the interaction of these wallet creation services with the blockchain?

security wallets

2 réponses

votes

lefessan · Answer 1 · 2019-02-21

6

2019-02-21

Si la cléestgénérée sur leur serveur,vousn'avez aucunmoyen de savoir.

Si la cléestgénérée localement dans votrenavigateur,vouspouvezessayer de surveiller le réseaupour voir ce que leportefeuilleenvoie au serveur.Cependant,ilpourraittoujourstrouver d'autresmoyens d'obtenir la clé,parexempleen attendant untemps aléatoire avant de l'envoyer,en cryptant la communication,ou simplementen limitant le hasard lors de lagénération de la clé,de sorte qu'ellepuisse le devinerplustard.

Jepense que le seulmoyenfiableest d'utiliser unpériphériqueexterne,tel qu'ungrand livre ou untrezor,ilgénérera la cléet latouche à l'intérieur dupériphérique,de sorte que leportefeuillen'accumulejamais la clé,utilisez uniquement lepériphérique.opérations de signe.

Salut.J'aieumongrand livreet j'essaie de créer unportefeuille avec ça,maisil semble quetous les logicielsne nécessitent que (parexemple,voir [ICI] (https://medium.com/cryptium/how-to-store-votre-Tezos-XTZ-in-Your-dirigé-nano-s-and-délégué-with-Magnum-Wallet-3871DC4BD3B7)).Peut-être queje me confondre une clé avec unportefeuille.Votrephraseicime puzzle: "Unpériphériqueexterne,tel qu'ungrand livre ou untrezor,ilgénérera la cléet latouche à l'intérieur dupériphérique,de sorte que leportefeuillen'accumulejamais la clé,n'utilisez que lepériphériquepour signer des opérations.".Comment lematérielest-ilplus sûr sije nepeux créer que desportefeuilles via des logiciels?Ne l'obtenezpas.

Hi there. I got my Ledger and I'm trying to create a wallet with it, but it seems all requires software to do so (e.g. see [here](https://medium.com/cryptium/how-to-store-your-tezos-xtz-in-your-ledger-nano-s-and-delegate-with-magnum-wallet-3871dc4bd3b7)). Maybe I'm confusing a key with a wallet. Your phrase here puzzles me: "an external device, such as a Ledger or Trezor, it will generate the key and key it inside the device, so that the wallet will never access the key, only use the device to sign operations.". How is the hardware safer if I can only create wallets via software? Don't get it.
- 0
- 2019-03-17
- luchonacho

cousinit · Answer 2 · 2019-02-21

5

2019-02-21

Tout logiciel deportefeuille que vous choisissez d'exécuterest livré avec des risques que vous devez êtrepleinement conscient demanière à vousprotéger correctement.

Que ce soit une application Web,Desktop oumobile,vousexécutez du code que quelqu'un d'autre a écritet lemeilleurmoyen de réduire le risqueest de vous assurer que vous utilisez un logiciel ouvertet qui a été vérifiépar le communauté comme venant d'un développeur debonne réputation.
Ensuite,vous devezprendre desmesurespour vous assurer que le code que vous utilisez vient du développeuret que vousne l'avezpasnonplustéléchargé d'ailleurs. Cela signifieprincipalement éviter les liaisons dephishingpar double vérification des URLet fabriquez depréférence des signetspour connaître debons sites connus.
Garder votre ordinateur sans logicielmalveillant. Peuimporte quel logiciel vousexécutez si votre systèmeestinfecté.

Enfin,lemeilleurmoyen de vousprotégerest d'utiliser un appareil deportefeuillematériel. De cettefaçon,les clésne quittentjamais lepériphériquematériel,ce quiestparticulièrementimportant si vousn'êtespas certain que votre ordinateurn'estpasinfectépar des logicielsmalveillants. Tant que vousfaites attention à vérifier la validation detoutes lesentrées à chaque étape,leportefeuillematérielle voustiendraprotégée.

MMM,mais si vous avez déjà créé unportefeuille à l'aide de logiciel,ilpeut êtretroptard.Dans ce cas,serait-ilpréférable de créer unnouveau sur lematérielpuis detransférertous lesfonds sur ceportefeuille?

Mmm, but if you already created a wallet using software, it might be too late. In that case, would it be better to create a new one from hardware and then transfer all funds to that wallet?
- 0
- 2019-02-21
- luchonacho
Globalement,semble être unefortefaille deportefeuilles logiciels.Honnêtement,personnene devrait les utiliseret ne devraitprobablementpas êtreendorable ou suggérépar la Fondation officielle de Blockchain.

Overall, seems to be a deep flaw of software wallets. Honestly, no one should use them, and should probably not been endorser or suggested by the official blockchain foundation.
- 0
- 2019-02-21
- luchonacho
Lesportefeuilles logicielsjouent un rôletrèsimportant danstout écosystème de crypto,mais lesgens doiventen apprendre davantage sur les risques.Si vous êtespréoccupépar la sécuritéet surtout si vousn'êtespas sûr degarder votre système à l'abri des logicielsmalveillants,lameilleure recommandationest d'obtenir un appareil deportefeuillematérielet detransférer vosfondsimportants.

Software wallets play a very important role in any crypto ecosystem, but people need to learn about the risks. If you are concerned about security and especially if you aren't confident about keeping your system safe from malware, the best recommendation is to get a hardware wallet device and transfer your important funds into it.
- 0
- 2019-02-21
- cousinit
Enfait,Galleon [pas] (https://github.com/cryptonomic/deployments/wiki/galleon:-FAQ)publie le code source!

Actually, Galleon [does not](https://github.com/Cryptonomic/Deployments/wiki/Galleon:-FAQ) publish the source code!
- 0
- 2019-02-21
- luchonacho
La crédibilité d'une cryptocurrence dépendfortement de la sécurité desportefeuilles,car c'est ce que les utilisateurs communsinteragissentprincipalement avec.Il devrait être depréoccupationprimordialepour les organisationstelles que la Fondation Tezos de veiller à ce que lesportefeuillesexistants soient aussi sûrs quepossible,plutôt que de lister simplement certainset de déclarer "nousne l'endorçonspas".Enpratique,c'est ce qu'ilsfont.Pasbon.

The credibility of a cryptocurrency depends heavily on the security of wallets, as that is what common users interact mostly with. It should be of primary concern for organisations like the Tezos foundation to make sure existing wallets are as safe as possible, rather than merely listing some and stating "we don't endorse them". In practice, that's what they are doing. Not good.
- 0
- 2019-02-21
- luchonacho
L'attaque laplus couranteest des liens dephishing qui amènent lespersonnes àexécuter lemauvais logiciel.Galleon a été vérifiépar la communautéen tant queproduit debonne réputation,mais celane vousgarantitpas que laprotection contre lephishinget le détournement dubackend.Commeje l'aiexpliqué,vouspouvez améliorer considérablement votreprotectionen utilisant unpériphériquematériel.Pour degrandes quantités de valeur,ilest vraimentindispensable,dans les utilisateurs dumonde crypto devraientprendre la responsabilitépersonnelle.Desportefeuilles logicielles sontnécessairespour denombreux cas d'utilisation,maisils viennent avec des risques.

The most common attack are phishing links which lead people to running the wrong software. Galleon has been vetted by community as a reputable product, yet that does not guarantee you protection from phishing and backend hijacking. As I have explained you can significantly improve your protection by using a hardware device. For large value amounts it really is a must, in the crypto world users are expected to take personal responsibility. Software wallets are needed for many use cases, but they come with risks.
- 1
- 2019-02-21
- cousinit