Есть много нитей о том, как лучше защитить бумажник, но не по всей видимости, будет консолидированное нить о возможных сценариях пользователи должны обращать внимание. Или, может быть, я искал неправильный путь

Так что я собираю список, и мы надеемся, он будет служить в качестве отправной точки для людей, чтобы скинуться, чтобы создать список, который любой пользователь Bitcoin, разработчик или владельцы сайта предлагают Bitcoin платежи и т.д. могли иметь в виду при использовании, разработке или предлагает Bitcoin соответствующие услуги?


Личные Ситуации
Un-зашифрованы Wallet Кража
В то время как зашифрованное кошелек планируется выпустить это в настоящее время по-прежнему вызывает озабоченность. Такая ситуация означает, что постороннее лицо удается получить копию wallet.dat и, следовательно, может манипулировать биткойны в бумажнике.

Ситуации это может произойти
- Trojan / Кошелек похититель заражен компьютер
- Опасное резервное копирование незашифрованном хранения, такие как накопитель USB или по электронной почте самому себе.

Решения?
- Использование шифрования бумажника, используйте зашифрованный носитель для хранения в автономном режиме.
- Не используйте непроверяемое программное обеспечение
- Запуск регулярного поиска вирусов. Это не может поймать новейшие трояны, но, как правило, эвристические методы обнаружения должны поймать подозрительной активности. Тем не менее, это не мешает пользователю закрашивать новую программу бумажника, как сейф, не зная, что это не так.

Зашифрованные Кошелек Кража
Подобно незашифрованном кражи бумажника, однако, как бумажник шифруется, вор не сможет использовать бумажник. Однако, по той же причине может произойти кража, шифрование может быть бесполезным. Смотреть следующий.


Кража пароля
Пользователь может зашифровать свой кошелек. Но тот же самый механизм, позволяющий кражу кошелька делает шифрование бесполезным.

Ситуации
- Trojan / бумажник похититель также ключевые журналы, так что пароль был уже захвачен.
- Третья сторона программное обеспечение шифрования бумажник фактически похититель
- Плечи Surfer отметить вниз пароль и иметь легкий физический доступ к резервной копии или компьютеру.

Решения
- Как с нормальным вводом пароля, никогда не сделать это с кем-то, глядя через плечо.
- Система сканирования регулярно является полезной, но не гарантирована, чтобы победить все возможные троян / руткитов / и т.д.
- Программное обеспечение, которое использует экранную клавиатуру может помочь уменьшить эффективность кейлоггеров.


Кража Private Key (Битовая плоскость)
Троянский на системе пользователя может украсть секретный ключ из памяти в то время как bitcoind работает.

Решения
- Нет решения конечному пользователю доступно, не нужно полагаться на основной ОС для выделения памяти из приложений



В принципе, если система пользователя содержит троянскую программу, методы обеспечения безопасности эффективно аннулируется независимо от шифрования. Использование загружаемой ОС USB для обновления / управлять бумажник может быть единственным способом обойти эту проблему, но это означает, автономная ОС надёжная.


Отказ хранения (Bitlotto)
Средства массовой информации о том, что кошелек хранится на, теряется. Например. мертвый HDD, мертв или потерял палец привода.

Решения
- Держите несколько копий. Однако это само по себе представлять угрозу безопасности, как и каналы, по которым бумажник может быть украдены увеличивается. Шифрование может смягчить последствия, но смотрите выше возможное отрицание шифрования. Также не помогает восстановлению новых монет, если резервная копия не содержит новые адреса. Эта проблема может быть сведена на нет развития детерминированных кошельков, но может также открыть вопросы наблюдения / слежения.


Физические нападения (Стивен Gornick)
Это касается ситуаций, когда пользователь физически атакован / целевой для того, чтобы получить доступ к его Bitcoins. Это может быть действиями правительства, такие как отправка агентов, чтобы захватить ваши активы, или просто ваш дружественным наркоман окрестностей наркотиков обнаружили, что он может купить наркотики с Bitcoins и решает, что он может заставить вас отказаться от них с помощью насилия.

Решения / Обход
- Никто, как в данный момент, может даже ухудшить ситуацию для пользователя, так как это может привести к принуждению криптоанализ т.е. пыткам для получения пароля. Кроме того, даже если пользователь отказался пароль, неопределенность в связи с использованием правдоподобного отрицаемого шифрования может привести к продолжению пыток в убеждении, что пользователь может иметь другие Bitcoin бумажников зашифрованы или скрыты.


Интернет / кошелек Связанные Потерянная

служба Shutdown
Интернет сервис выключается или убегают, эффективно потерять электронный кошелек.

Решения / Обход
- Не использовать электронный кошелек, но это не может быть практичным или conveninent
- Хранить минимальные суммы в электронном кошельке, опять же в зависимости от интенсивности использования, это не может быть удобным или практичным
- Требуется интернет-поставщика услуг отправить вам резервную копию вашего бумажника. Однако, в зависимости от того, как осуществляется их кошелек, это не может быть возможно или они могут быть не готовы сделать это. Кроме того, это переносит фактор риска обратно, перечисленных в "Личные Ситуации"

Услуги Hack
Интернет сервис взломан, например, MtGox или MybitCoin таким образом монеты фактически переданы прочь.

Решения / Обход
- Похоже на обслуживание завершения работы, но имея резервный бумажник бесполезно в этом случае, так как вор может отправить монеты уже к тому времени его обнаружили.


Услуги Мошенничество
Услуга побежал мошенническими админов, которые планировали с первого дня, чтобы украсть все, что когда-то стоящее.

Решения / Обход
- Никто, кроме не пользоваться услугой. Но это трудно сказать, кто намеревается обмануть, так как лучше мошенника будет делать все возможное, чтобы встретить, как надежный, так как 1-й день, чтобы обеспечить максимальное использование входящего и свести к минимуму подозрения.

Интернет кражи паролей
Подобный пароль кражи в "Личные Ситуации" но меры, указанные в автономном режиме безопасности не практичны, так как пароли должны быть посланы для того, чтобы веб-службы для использования.

Решения / Обход
- Убедитесь, что служба работает по протоколу SSL, чтобы избежать MITM (человек в середине, см.ниже) кражи
- Использование многофакторной аутентификации, такие как Yubi-ключи (см MITM ниже) или проверки SMS.



В принципе, не используя электронный кошелек является единственной гарантией против онлайн кражи Bitcoin. Однако, это не может быть удобным и практичным для некоторых сценариев использования.


Человек посередине (Bitlotto)
Человек в середине относится к кому-то, вставляя себя в цепи связи и, следовательно, может видеть и редактировать информацию можно Прием / передача. Например. троян может позиционировал себя в качестве прозрачного прокси на компьютере пользователя, и, следовательно, может изменить исходящие транзакции, такие как изменение адреса получателя на свой собственный.

Решения
- Как и в других ситуациях первого шага является обеспечение системы чистое. Однако, в зависимости от того, где человек в середине является перехват трафика, могут не быть эффективными решениями. Например. если ваша сеть (на уровне компании, или даже местном уровне ISP) админ мошенническим, он может установить контроль за деятельностью на Bitcoin порту. Таким образом, обеспечение системы сканируется не аннулирует его слушает.

- Требовать SSL подключение к интернет-провайдеру Bitcoin услуг. Это стандартный способ победить MITM атак, как описано в предыдущем пункте. Однако, если сайт использует самозаверяющий сертификат, это может быть возможным, чтобы обмануть пользователь в принятии в обычном предупреждении о несертифицированном CERT, но тот, который принадлежит к MITM вместо самого сайта.


неправильные Адреса (Bitlotto)
Отправка Bitcoin по неверному адресу.

Решения
- Двойной адрес регистрации получателя перед отправкой. Не использовать, если из-за успешную атаку MITM.
- Снизить потери от крупных сделок путем отправки тестовых транзакций, но может потребовать плату за транзакцию. Убедитесь против blockchain, что фактическая принята сделка идет по правильному адресу перед отправкой оставшейся суммы. Может быть слишком утомительным для среднего пользователя.