[BITCOIN] Hilo General

Con las palabras de una semilla puedes crear una regla mnemotécnica que te ayude a memorizarlas y no existe inseguridad añadida.

1 me gusta

Si esa semilla procede de una fuente de azar estoy de acuerdo que crear una regla mnemotécnica que te ayude a memorizarlas no añade inseguridad. Si esa semilla tiene otra procedencia da igual el método que se utilice para memorizarla es insegura por ser insegura la propia semilla.

¿Qué consideras una fuente de azar?

Si yo establezco mis contraseñas en base a un “patrón” puede ser más o menos segura. En el momento que desvelo a alguien el patrón… entonces es posible que ya puedan desvelar cualquiera de mis contraseñas. Al menos usando fuerza bruta.

Hace poco vi un articulo en que un proveedor de servicios, creo que tipo akamai…, recurría a 100 lámparas de lava para generar entropia… ese es un buen método. Ni con otras 100 lámparas de lava vas a obtener el mismo patrón.

Edito: Este es el artículo

Mira quizás el método de tu seguridad lo puedes llevar oculto en fotos en tu móvil… una aparente foto inofensiva puede resultar ser la clave que te da acceso a tus fondos. :blush:

1 me gusta

Fuente de azar mal dicho por mi parte por que me refería a números aleatorios (por cierto muy difíciles de generar).

Dados no viciados.
Otra fuente:
https://www.random.org/

Explicación:

Artículo relacionado:

Exacto.

Puedes crear patrones tan peregrinos como usar la primera letra de cada palabra de tu canción preferida, la segunda letra de cada nombre de tus familiares cercanos, la última sílaba de los nombres de tus platos favoritos, etc.

Mientras nadie sepa qué método estás usando, será perfectamente válido y seguro.

Esos métodos te sirven para generar la entropía necesaria para crear tu semilla, pero como comentaba en mi mensaje anterior, puedes usar métodos caseros perfectamente válidos y seguros siempre que seas tú el único que los conozca.

Del mismo modo, memorizar la palabras de la semilla de, e.g., Electrum, es tener ese famoso brainwallet.

Puedes hacer lo que quieras, pero mi consejo es que no lo hagas y menos que se recomiende. Los humanos somos y esta demostrado la peor fuente de aleatoriedad a la que se puede recurrir.

No soy yo el que recomienda esta práctica, lo hace el propio William Burr, antaño adalid (y creador de los guidelines) de las contraseñas ultradifíciles y superseguras. Él mismo reconoce que estaban en un error al recomendar desde el NIST esa forma aleatoria de crear contraseñas.

Best practices for passwords updated after original author regrets his advice

Y la máxima universal de las contraseñas, sigue vigente: la mejor contraseña es la que puedes recordar.

La mejor contraseña es la que no se puede romper, ni deducir y que aguante un ataque de fuerza bruta. Lo demás es otra cosa. No confundir fortaleza de una contraseña con capacidad para recordarla. Cuando el ser humano se encuentra con una limitación crea una herramienta para superarla. Gestores de contraseña físicos.
Este señor ya se equivoco una vez, ¿No se estará equivocando de nuevo?.

Como ahora está diciendo prácticamente lo contrario de lo que dijo en un inicio, matemáticamente tiene que estar acertando en una de las dos. De todos modos, algo más que yo sí ha estudiado este señor.

Puedes usar cadenas alfanuméricas de un millón de caracteres, si no eres capaz de recordarlas, no tienes nada.

En los que necesitas recordar las master password para acceder…

Su método llevaba a malas practicas a los usuarios por la limitación a recordar contraseñas aleatorias. Esto no significa que las contraseñas aleatorias sean malas, significa que los usuarios tienen una limitación (mala memoria para las contraseñas aleatorias). Solución una herramienta, no debilitar las contraseñas .

y si estas herramientas no funcionan crear otras.

Esta claro que nos hemos convertido en nuestro banco y esto lleva a la necesidad de entender la seguridad para proteger nuestras monedas. Procurando adecuar los medios a la capitalización de la que disponemos.

Monederos físicos:

Trezor
Ledger
Keepkey

Incorrecto. Para algo como Bitcoin todo lo que no sea 100% pura entropía reduce la seguridad varios órdenes de magnitud. No juguéis con eso y nada de patrones. Memorizar 12-20 palabas al azar no es tan complicado.

Y si no las quieres memorizas, las guardas cifradas con una clave de vuestra elección. Pero NUNCA generéis direcciones de Bitcoin a partir de algo que no sea aleatorio.

Repito: no juguéis con eso.

No no no y no. Eso reduce mucho el espacio de búsqueda. Nada de patrones. Azar puro. En serio. Si no algún día os podéis despertar con la cartera limpia.

No es lo mismo una contraseña para un servicio que para una dirección de Bitcoin. Para direcciones de Bitcoin hay quien prueba todo tipo de combinaciones al azar y si toca toca, no están descifrando un archivo ni atacando al login de una web, donde tienen que dar con la clave correcta para el archivo o el usuario. Si dan con una clave válida de Bitcoin eso que se llevan.

No puedo hacer más énfasis: ¡nada de patrones! Lo digo muy en serio.

1 me gusta

Si usas esos patrones, no es aleatorio: la distribución de frecuencias de letras o n-gramas en un idioma no es aleatoria.
Es más que posible que un ataque basado en esa suposición no tuviese exito, pero más vale no jugar con esas cosas.

Aconsejo Keepass multiplataforma y muy fácil de usar.

Totalmente de acuerdo, pero tened en cuenta que los actuales generadores de contraseñas tampoco son totalmente aleatorios, porque no aún no tenemos una herramienta informática al alcance común que sea capaz de generar cadenas realmente aleatorias.

Ya discutimos eso y quedamos que esa opción no existe, ¿cómo obtienes una aleatoriedad total?

1 me gusta

Depende del caso. A veces se genera una semilla a partir de movimientos al azar del ratón. Los trezoe por ejemplo combinan una fuente de entropía del dispositivo al que estén conectados con la suya propia por hardware, que se basa en ruido eléctrico y cosas así. También se pueden tirar dados :stuck_out_tongue: El objetivo es que sea algo impredecible.

Hola, les dejo un artículo para que se rían un rato. Saludos

Buenas
juanam ,
le doi fe a que ese tal JPMorgan no es una alma caritativa y si el esta en opinión, tarde o temprano algo cambia .

Mal asunto que esa gente no desiste de sus planes y tiene mucho poder .

si me equivoco es lo mejor para la humanidad , ojala sea así pero lo dudo

gracias Juanma por el aporte