Soğuk cüzdanların güvensizliği

Dostlar siz bu soğuk cüzdanlara nasıl güvenebiliyorsunuz ? Az önce piyasada en çok isminin bilindiği en popüler soğuk cüzdan üreten şirketin türkiye distrübütörü olduğunu iddia eden bir web site ile iletişim kurdum. Adama soruyorum beni güvenli kılacak olan şey ne cevap olarak diyor ki 24 kelimelik bir güvenlik kodu oluşturuyor cihaz otomatik olarak ve bunu sadece siz biliyorsunuz.

Youtube a bakıyorum sırf referans linkinden 10 dolar para kazanabilmek için araya referans linki sıkıştırabilmek için birbirinin kopyası kelimelerle bir sürü video çekilmiş. Sorsan herkes güvenli der şu durumda.

Sorsan hiç cüzdanından ötürü dolandırılanda yoktur kesin.

Pekala benim kripto paramı koruyacak bir parola var ortada bu parolayı neden ben belirleyemiyorum ?

Ortada bir güvenlik duvarı var adı parola. Ve bu parolayı cihazı üreten şirket belirliyor. Soruyorum nasıl güvenli oluyor o halde bu diye sizden başka hiç bir kullanıcı bunu göremez bilemez diyor. Yahu başka kullanıcılar 24 kelimelik bir güvenlik duvarını sıralamayı bir defa bile yanlış girsen cihazı bloke edecek şekilde tasarlanmış bir güvenlik duvarını tabiki aşamaz son derece güvenli. Ama kime karşı güvenli kötü niyetli KULLANICILARA karşı güvenli. Pekala şirket neden benim şifremi bilsin. Şimdi kalkıp şirkette bilmiyor felan demeyin nerden bilicem ben bana verilen 24 kelimenin şirket tarafından bilinmediğine ? Neden şifreyi ben oluşturamıyorum ?

Çok acayip gerçekten. En acayip kısmı da şifreyi biz oluşturamamamıza rağmen tüm platformlarda insanların koyun gibi birbirlerinin aynısı sesleri çıkarmaları.

Eğer güvenli bir donanım cüzdanı aldıysanız şifre donanım cüzdanında rasgele belirlenir sizden başkası bilmez. Bu yüzden bu cihazları sadece üreticiden almak öneriliyor. Şifreyi sizden başkası bilirse o cüzdanın anlamı kalmaz, cüzdandaki bakiye hemen başka adrese aktarılmalı.

Donanım cüzdanları da bilgisayardaki sıcak cüzdanlar da şifreyi rastgele belirler çünkü şifrenin rastgele olması bir insan tarafından belirlenmesinden daha güvenli kabul edilir. Ayrıca bu 24 kelimenin diziliminin anlamı var, siz 24 kelime seçseniz de o kelimeler bir seed olmaz bundan private key yaratılmaz. İsterseniz Electrum indirip şu listedeki kelimelerden rasgele girip deneyin :https://github.com/spesmilo/electrum/blob/master/electrum/wordlist/english.txt Muhtemelen bu donanım cüzdanlarına seed girilebiliyordur ama bu seed güvenli ortamda yaratılmadıysa bu cihazın yarattığı şifresinden daha güvenli olmaz, çünkü şifrenin bu cihazdan hiç ayrılmıyor.

Bu cihazların seedi rastgele oluşturduğundan nasıl emin olunur bilmiyorum. Bu cihazlar seedin rastgele oluşturulması için üretildiği için bu konu tartışılmıyor çünkü bu başka bir konu, firmalar bu konuda hile yaparsa açığa çıkabilir. Ledger güvenlik için içindeki verinin okunmaması için üretilen tipte chip kullanıyor. Trezor bunu kullanmıyor ve yazılımı açık olduğu için anlayanların Trezor'ı test etmesi daha kolay olur muhtemelen.

Bu cihazları kullanmadan da seedi korumak için kendiniz bazı önlemler alabilirsiniz ama uğraştırıcı oluyor ve güvenliği bu cihazların vaad ettiği kadar yüksek olmaz.

İşte anlatmak istediğim kısım şu. 24 Kelimeden bir parola oluşturuyor cihaz bu kelimelerin sadece sıralamasını bize yaptırıyor.

kelimeleri ben oluşturmadıktan sonra güvenli olmaz. Biz bu kelimelerin cihazın rastgele oluşturduğundan nasıl emin olabiliriz ki imkansız. Soğuk cüzdanımı x bir hacker patlatamaz ama bence şirket bu kelimelere ulaşıp kripto paralarımı çalabilir diye düşünüyorum veya bir şirket çalışanı.

Sizin dediğiniz gibi yapmak zor oluyor. Donanım cüzdanın olursa hiç uğraşmadan işlem yapıyorsun. Sık işlem yapanlar için büyük kolaylık.