Browsed by
Tag: bezpecnost

Keepass a 2FA bezpečnost – část třetí

Keepass a 2FA bezpečnost – část třetí

Dnešní článek bude o dvoufaktorovém zabezpeční pomocí TOTP kódů. Článek navazuje na ten minulý, kde jsem ukázal, jak si pomocí Yubikey, Keepassu a Dropboxu udělat bezpečné a zálohované úložiště.

Nejprve trochu o tom, co je TOTP.  TOTP je zkratka “Time-based One-time Password” a jsou to takové ty klasické 2FA kódy, které Vám generuje mobil nebo nějaké zařízení a vy je přepisujete do aplikací a webových stránek. Jak už jsem totiž zmiňoval dříve, ačkoli jsou tu mnohem lepší způsoby zabezpečení (například challenge-response z minulého článku), když už nějaká služba podporuje 2FA, tak většinou využívá právě tyto časové kódy.

Úvod do těchto 2FA kódů a toho, jak fungují, jsem se věnoval v jednom z dřívějších článků, kde jsem také doporučoval aplikaci Authy. Ta sama o sobě nění špatná, ale znamená to věřit externí službě. A i když neříkám, že je Authy špatné, je vždy lepší mít 100% kontrolu nad tím, jak a kde jsou moje data skladována. A o tom bude dneční článek. Jak si udělat náhradu Authy, jak tyto kódy synchronizovat, jak je uchovávat a jak zálohovat.

Celé řešení staví na aplikaci Keepass představenou minule. Za pomocí dvou dalších pluginů rozšíříme Keepass tak, že nejen, že si do něj uložíme zálohovací kódy k 2FA generátorům, ale také Keepass naučíme tyto kódy generovat, ale především, naučíme Keepass generovat QR kódy, které pak můžete vyfotit například mobilem, abyste si tento generátor přenesli i tam. A o tomto si dovolím tvrdit, že nikdo jiný zatím nemá a nenapadlo ho to :).

Standardní postup s 2FA kódy je, že Vás web vyzve, abyste si do mobilu vyfotili QR kód, někam bokem zapsali záložní kód a pak do webu vyplnili pro kontrolu vygenerovaný 2FA kód z mobilní aplikace.

Celý tenhle postup má hned několik nedostatků. Pokud budete chtít kódy synchronizovat mezi více zařízeními, nebo si pořídíte nové zařízení, znamená to ručně bezpečnostní kód přepsat. U jednoho kódu o nic nejde, ale pokud jich máte 20+, je to opruz. Další problém je s bezpečným uložením těchto záložních kódů. A třetí problém je, že pokud používáte 2FA na desktopu, tak se buď upíšete, protože neustále přepisujete kódy z mobilu do počítače, nebo budete mít Authy na počítači, kterému ale co se týká zabezpečení a bezpečnosti uložených dat moc nevěřím.

A nyní, jak to vyřešit lépe.

Jak nascanovat QR kód na počítači

Jako první budeme potřebovat ještě jednu aplikaci. A tou je ShareX. Krom toho, že je ShareX snad nejlepší aplikace na screenshoty na Windows, umí ještě jednu supr věc. Umí vyfotit QR kód, který je kdekoli na PC a přeložit ho do textové podoby. A tady začíná to kouzlo :).

Klikněte pravým tlačítkem na ikonce ShareX, vyberte “Tools” a “QR Code”.

Ukáže se Vám okno, které umí překládat QR kód na text a dokonce i opačně. Vyberte záložku “Decode” a stiskněte tlačítko “Decode from screen”. Ukáže se vám výběrový obdélník, pomocí kterého označíte QR kód na obrazovce.

Takto vyfocený QR kód se Vám přeloží na uri adresu. Pokud například vyfotíte kód, který je na obrázku výše, získáte kód otpauth://totp/me2%40example.com?secret=RLVSCIGF5GOFGW6OEX6F34N432IJKGW3&issuer=DevMovieManager.

QR kódy a KeePass

Jako další si do KeePassu nainstalujte KeePassQRCodeView (link na přímé stažení zde). Po stažení nahrajte soubor KeePassQRCodeView.plgx  do adresáře KeePass/Plugins/KeePassQRCodeView.plgx

Restartujte KeePass a vytvořte novou položku, do které si chcete službu uložit. Po vyplnění základních údajů se přepněte na záložku Advanced a stiskněte Add.

Do “Name” vyplňte třeba “2FA QR” a do Value vložte získaný link (otpauth://……). Zaškrtněte ještě “Enable in-memory protection” pro ještě větší bezpečnost a stiskněte OK.

Celou položku nyní uložte dalším stisknutím OK. Tím máte v KeePassu uložený secret seed (česky řečeno tajný řetězec), ze kterého se pak odvozují časové kódy.

Nyní na nové položce stiskněte pravé tlačítko a v kontextovém menu zvolte QR Code a v něm 2FA QR.

A voila…. Máte QR kód, který můžete kdykoli znovu vyfotit a máte ho bezpečně uložený v KeePassu. Takže je zálohovaný v cloudu, zároveň bezpečně šifrovaný. Dostanete se k němu jen vy, případně kdokoli další, komu dáte do KeePassu skrz Yubikey a heslo přístup.

Generování časových kódů z Keepasu

Jak by řekl Horst Fuchs “To ale to stále není vše!”.

Nyní Keepass umí generovat QR kódy, ale my bychom chtěli, aby uměl také generovat časové kódy, abychom je mohli snadno vkládat do aplikací a webových stránek bez nutnosti je přepisovat z mobilu.

Pro tyto účely nainstalujeme další plugin s názvem Tray TOTP Plugin for KeePass2 ke stažení zde. Po stažení opět nahrát do KeePass/Plugins/TrayTotp.plgx. Po restartu KeePassu se v kontextovém menu jakéhokoli záznamu objeví nová položka  “Copy TOTP” a “Selected Entries->Setup TOTP”.

Jelikož se jedná o jiný plugin, je pro něj potřeba znovu vyplnit TOTP heslo generátoru, které jsme vyfotili z QR kódu. To uděláme tak, že na zvolené položce v kontextovém menu vybereme Selected Entries->Setup TOTP.

Nyní je potřeba projít a vyplnit parametry generátoru. Na první obrazovce dáme “Next”, na další obrazovce ponechte 30 second a zase “Next”. Na další pak vyplňte “6 lenght”, jelikož v 99% budete potřebovat šestimístné kódy.

Na další obrazovce je potřeba zadat tajný kod, který jsme předtím nascanovali pomocí aplikace ShareX z QR kódu. V našem případě to bude “RLVSCIGF5GOFGW6OEX6F34N432IJKGW3″  a opět potvrďte pomocí “Next”. Na další obrazovce nic nevyplňujte (jelikož to v pluginu asi teď nefunguje) a dejte opět “Next”. Na poslední obrazovce pak dejte “Proceed”. Tím máte generátor vyplňený.

Po tomto vyplnění lze nyní TOTP kód získat dvěma možnostmi. Tou první je v okně KeePassu zvolit položku, stisknout pravé tlačítko a dát “Copy TOTP” (případně stisknout CTRL+T v tomto okně). To není špatně, ale lze to ještě snadněji.

KeePass má totiž ještě ikonku v Tray oblasti (to je to ve Windowsech vpravo dole vedle hodin, kde jsou různé malé ikonky). Na té, když kliknete pravým tlačítkem, se nyní ukáže seznam všech nakonfigurovaných TOPT kódů. Stačí tak jen vybrat ze seznamu a do clipboardu (schránky) se Vám ihned kód nakopíruje.

Samozřejmě, pokud máte úložiště uzamčeno, ke kódům se ani přes Tray ikonu dostat nedá. Je potřeba nejprve odemknout úložiště heslem a Yubikey a pak až se Vám kódy vygenerují.

QR Kódy na mobilech

A o mobilech bude poslední část článku. Občas je totiž dobré mít 2FA kódy u sebe a bohužel, k takto uloženým a zabezpečeným kódům v KeePassu se na mobilu nedostanete. Je proto potřeba udělat ještě jeden krok.

Na mobilu lze mít Google Authenticator, ale ten není nijak zabezpečen. A jelikož 2FA má fungovat jako zvýšená bezpečnost, tuto variantu bych určitěn nedoporučoval. Další je Authy, ale jak jsem už psal, musíte věřit třetí straně a hlavně, toto celé děláme proto, abychom Authy nemuseli mít. A pak je tu ještě jedna aplikace – Yubico Authenticator.

Jde o 2FA TOTP generátor kódů pro mobilní zařízení (tuším, že mají i desktopové verze, ale ty už nepotřebujem), kdy kódy jsou zabezpečeny pomoci HW klíče od Yubico s NFC přístupem. Celé to funguje tak, že jsou 2FA kódy uložené někde u nich v cloudu, ale jsou zašifrované pouze Vaším klíčem. Díky tomu, když aplikaci na mobilu spustíte, tak neuvidíte žádná data. A podle toho, jaký klíč s NFC přiložíte, tak takové klíče se Vám na mobilu ukážou. Díky tomu, když HW klíč přiložíte na jiném mobilu, stále uvidíte své kliče.

Bohužel, na druhou stranu, pokud máte klíče dva, je nutné pro oba zadat TOTP kódy znovu. To nám ale nevadí, protože KeePass umí tyto QR kódy vygenerovat, takže přidat nový klíč je hračka.

Přidat klíče do Yubico Authenticatoru je opravdu snadné. Nainstalujte si jejich aplikaci z Android Store, spustťe aplikaci a dejte “Přidat QR kód”. Pro přidání je potřeba kód potvrdit přiložením NFC klíče k mobilu (v případě Samsungu přiložit doprostřed zad mobilu). Tím se klíč zašifruje a uloží.

Zkuste si aplikaci ukončit a znovu spusťit. Po spuštění je aplikace opět prázdná. Přiložte ale klíč k zádům mobilu a najednou uvidíte všechny uložené kódy. Toto je super vlastnost, na kterou jsem přišel až později při využívání Yubikey. Bohužel se o tom člověk na webu nedočte.

V případě ztráty mobilu stačí aplikaci znovu nainstalovat a přiložit klíč. Vše máte opět k dispozici. A v případě ztráty nebo poruchy Yubikey, stačí QR kódy znovu vyfotit z KeePassu.

Závěrem

Jak vidíte, vysoké zabezpečení v dnešní době bohužel obnáší i trochu té práce navíc. Spousta z kroků by se dala zjednodušit, sjednotit funkce pluginu do jednoho, atd. Na druhou stranu, buďme rádi, že to lze aspoň takto. Dalo mi to opravdu spoustu hledání a vymýšlení, než jsem našel způsob, jak udělat vše takto uceleně a s co nejméně externími aplikacemi.

I když je uložení a nastavení trochu složité a šlo by udělat lépe, díky tomuto postupu budete mít absolutní kontrolu nad Vašimi 2FA kódy, budete mít komfort focení QR kódů z mobilu, budete mít vše zaheslované a zálohované.

A to je pro dnešek vše. Tímto třetím článkem uzavírám tuto mini sérii zabezpečení. Předal jsem Vám mé kompletní know-how v zabezpečení a ukázal, jak máme zabezpečení u nás řešeno my. A jelikož mu opravdu věřím, nebojím se ho proto takto sdílet. Pokud by někdo viděl v tomto zabezpečení nějakou slabinu, určitě napište dolů pod článek. Rád se přiučím :).

Jak jsem už několikrát zmiňoval, v případě celého řešení nešlo jen o 100% bezpečnost, ale taky o zálohování a recovery proces. Díky všem těmto krokům budete mít Vaše data a klíče v bezpečí jak před útoky, tak proti případným živelným katastrofám, či při jiných nepředvítelných událostech. Pokud někam do bezpečné schránky uložíte přístup do Dropboxu spolu s jedním záložním Yubikey (nebo jiným U2F klíčem), bude se moci kdokoli oprávněný ke všem Vašim datům v případě potřeby dostat. (Z dropboxu stáhne KeePass, tam se dostane pomoci Yubikey, kde má pak všechny hesla, 2FA kódy a případně i třeba poznámky nebo Vaši závěť 🙂 ).

Článek pak zakončím stejně jako minule prosbou o podporu našeho blogu. Pokud Vám návod pomůže, zvažte zaslání nějaké té koruny na podporu našich článků. I tentokrát si jeho výroba vzala cca 4 hodiny a to nepočítám množství času, než jsem celý systém vymyslel a dal dohromady. Proto pokud Vás článek inspiroval a pomohl Vám s Vaším zabezpečením, budu rád, když nám nějakou korunu přispějete.

 


Všechny články v sérii:

Bezpečnost účtů – část první

Bezpečnost účtů – část první

Už několik týdnů, možná spíš měsíců, řeším zabezpečení svých účtů. A i když jsem předpokládal, že v dnešní době všudepřítomné osvěty o bezpečnosti to bude hračka, tak bohužel ani omylem. Navíc, vše musí být tak jednoduché, aby řešení používala i má žena. Jinak by celá bezpečnost byla ta tam.  A jako třešnička na dortu, celé zabezpečení musí být udělané tak, aby se v případě živelné katastofy, nebo kdyby se mi nedejbože něco stalo, dalo stále ke všem účtům a penězům (a kryptoměn) dále dostat.

Dnešní stav bezpečnosti je slušně řečeno smutný. Na jedné straně tady máme USB tokeny jako je třeba Yubikey, Trezor a další a na druhé straně pak poskytovatele služeb, kde je vrchol zabezpečení šestimístné heslo. Do toho vše zhoršuje ještě fakt, že se většina uživatelů potřebuje přihlašovat na více zařízeních s více různými operačními systémy. Pak už je to úplná katastrofa.

A tak jsem opravdu dlouhou dobu řešil, jak zabezpečit své pracovní PC postavené na Widnows, přitom mít možnost pracovat občas i na OSX a do toho mít přístup k datům i z Android telefonu. Jakmile totiž chce člověk opravdu dobré zabezpečení, je to problém.

Původně jsem používal kombinaci Lastpass a Authy. V Lastpass jsem měl všechna hesla a měl je chráněné pomocí 2FA TOTP (dvoufázová autentizace založená na časových kódech). Tyto 2FA kódy jsem generoval původně přes Google Authenticator, později pak přes Authy.

Celé řešení má ale hned několik problémů. Zaprvé, Lastpassu se prostě nedá věřit na 100%. Pořád jsou data uložena někde v cloudu (i když šifrovaná) a pořád se dá k datům v prohlížeči teoreticky dostat. Pár průšvihů už Lastpass mělo a hlavně, data jsou v určitou chvíli rozkódovaná v pluginu prohlížeče, kde je může vyluxovat někdo dalši.

A to stejné platí o 2FA kódech v Authy. Ačkoli je authy zaheslované masterpasswordem, tak jsem používal cloudsync, abych mohl 2FA kódy používat jak na pracovním PC, tak notebook a mobilu. A všude tak hrozilo, že se k těmto kódům nějaká další cizí aplikace dostane (a bohužel to nelze vyloučit nikdy).

Moje původní představa, jak z toho ven, byla, že si pořídím HW klíč a vše už bude jenom krásné. Bohužel, záhy člověk zjistí, že podpora HW klíču je opravdu tristní. Velcí hráči ala Google, Microsoft, Dropbox a další už ji mají, ale 95% (možná i 99%) ostatních webů vůbec. Když už nějaké zabezpečení, tak v lepším případě časové 2FA TOTP kódy, v horším případě potvrzení přes email, v nejhorším případě nic.

A tak jsem začal vymýšlet, co by se s tím dalo v rámci možností udělat, aby to splňovalo bezpečnost, ale zároveň i komfort použití. Jako první je potřeba si definovat cíl zabezpečení. Cílem není mít 100% bezpečnost u všech služeb. Cílem je mít 100% bezpečné kritické věci a u těch ostatních se spokojit s 99%.

Za kritickou službu číslo jedna považuju email. Konkrétně Gmail a GoogleApps email. Pokud by se mi někdo dostal do emailu, je konec. Přes něj už se dokáže dostat skoro všude, vynutit si změnu hesla u ostatních služeb atd.

Mezi další kritické služby samozřejmě patří Lastpass, kde jsou všechna hesla, dále pak Crypto burzy, Trezor na kryptoměny, … zkrátka takové služby, kde fakt nechcete, aby byl někdo cizí.

A zde je zatím to nejlepší, co jsem vymyslel –  HW Key Yubikey, KeePass, Lastpass, Yubico Authenticator a na kryptoměny Trezor. Jak jsem psal, není to úplně triviální. Bohužel je dnes potřeba několika aplikací a zařízení, aby byla ochrana ideální.

Nejlepší na synchronizaci hesel je stále Lastpass. Potřebuji přístup k heslům jak na Windows, tak OSX a Androidu a to ve více různých prohlížečích. Jelikož ale Lastpassu úplně nevěřím, všechny kritické služby krom hesla mají nějakou další formu 2FA. Tím pádem, pokud mi Lastpass hesla vyluxují, dostanou se sice třeba na vodniky, ale do kritických služeb nikoli.

Na 2FA kódy jsem ale Authy zavrhl. Ne, že by s ním byl problém, ale je to služba třetí strany, které úplně nevěřím. A tak jsem řešil, kam s 2FA. Nakonec se mi povedlo zjistit, že se 2FA kódy dají generovat pomocí určitých pluginů i v aplikace Keepass.

Samotné zabezpečení KeePassu je také kapitola sama pro sebe. Opět, díky pluginům, lze dosáhnout velmi kvalitního zabezpečení. A to díky Challenge-response protokolu a tajnému klíči, který je nahraný do Yubikey. O tom později.

Bohužel, Keepass je jen pro Windows (ten původní Keepass). Existuje několik alternativ KeePassu, které umí fungovat i na OSX či Linuxu. Jenže tam už nemáte tu jistotu bezpečí, navíc, nepodporují pluginy. Například KeePassX jich má pár implementovaných v sobě, ale není to úplně ono.

A pak tu máme android. Rozhodně jsem nechtěl mít generátor 2FA TOTP klíčů na Androidu nechráněný. Takže nějaká read-only databáze KeePassu nepřipadala v úvahu. Stejně tak GoogleAuthenticator neumožňuje žádné zabezpečení. Naštěstí jsem narazil na Yubico Authenticator for Android, který umí zadat klíče do Androidu, ale jsou přitom šifrované konkrétním Yubikey klíčem.

A to je hrubý nástin toho, jaké aplikace jsem se rozhodl použít. Bohužel, jen o aplikacích to není. Je potřeba do Keepasu hodně věcí doinstalovat a nastavit a nebo vymyslet workflow tak, aby ho zvládla používat i žena. Například přenos 2FA TOTP  klíčů mezi Android a Windows, způsob generování 2FA klíčů pomocí Keepassu, zůsob zálohování Yubikey, jelikož jeden klíč je málo, způsob zabezpečení Keepassu, ….

Je toho opravdu hodně. A aby toho nebylo málo, je tam ještě ten jeden požadavek. Toto všechno se musí dát nějak jednoduše popsat tak, aby to mohlo být uloženo v bezpečnostní schránce v bance, aby kdyby se něco stalo, tak se šlo stále ke všemu dostat. Jak zajistit, že se nebude muset obsah schránky neustále aktualizovat. Jak vyřešit, že některé věci musí být jen fyzicky na HW klíči, atd. kryptoměnám a dalším elektronickým statkům by se totiž v případě mého zmizení či demence už nemusel nikdo další k majetku dostat. A proto jsem začal dávat dohromady rovnou i recovery plán.

A o tom budou další články. Uvidím, jak na tom budu s časem, protože tyhle články bohužel nejsou na pár minut. Pokusím se postupně sepsat návod na všechny oblasti zabezpečení, ukázat jak si vše nastavit a rozběhat. A to tak, aby Vaše emaily, účty i Bitcoiny byly v bezpečí :).


Všechny články v sérii:

Trezor aneb jak bezpečně uložit Bitcoiny a další měny

Trezor aneb jak bezpečně uložit Bitcoiny a další měny

Jak jsem psal v předchozích článcích, trochu jsem se pustil do těžení. A jelikož je situace na kryptoburzách momentálně příznivá na dlouhodobější spekulaci, rozhodli jsme se nic neprodávat, ale naopak vše držet na lepší zítřky a případně i nějaké mince na dlouhodobější spekulaci nakoupit.

Jenže, dlouhodobě uskladit kryptoměny není zas tak úpně jednoduché. Problém totiž je, že zároveň v současnosti existuje mraky lidí, kteří se Vám budou snažit Vaše kryptoměny ukrást.

A proto jsem se rozhodl pro Trezor peněženku, kterou bych Vám chtěl dneska představit. Nejprve ale ukažme seznam toho, jak svou měnu neuchovávat :).

Na žebříčku nejproblematičnějších úložišt je úplně na vrcholu burza. A je skoro jedno která. Historicky se už několikrát ukázalo, že i ta sebevětší a sebeznámější burza může být kdykoli lusknutím prstu vykradena. A pokud jste na ní měli peníze, máte smůlu. Na kryptoměny se žádné pojistky nebo záruky nevztahují a z podstaty fungování kryptoměn taková ukradená transakce již nejde vrátit zpět. Takže dělat si z burzy úložiště peněz raději opravdu ne.

Dalším, ne o moc lepším úložištěm, jsou kdejaké online peněženky. I když to vypadá jako super nápad, problém je, že privátní (šifrovací) klíče k Vašim peněženkám drží právě ta online služba. Takže pokud někdo hackne tuto službu (a nebo když se provozovatelé prostě rozhodnou, že než vydělávat na poplatcích, raději seberou peníze uživatelů), máte zase smůlu. Nejste to totiž vy, kdo drží šifrovací klíče a tím pádem smolík pacholík.

Na další místo bych zařadil všemožné peněženky v mobilech. Dneska existuje spousta aplikací, která Vám udělá z mobilu peněženku. Super nápad, až na to, že když Vám mobil ukradnou, jste v háji. A nebo když Vám někdo mobil hackne nebo se Vám mobil rozbije, jste zase v háji. A nebo, pokud se provozovatelé aplikace rozhodnou, že už je aplikace nebaví a raději si přivydělá krádeží, jste opět, no kdejinde než v háji. A nikdo jim už peníze nesebere. Oni se budou tvářit překvapeně a povídat cosi o hacku, ale pravdy se už nikdo nedohledá. A peněz taky ne.

V žebříčku pod mobily bych umístil běžné pracovní PC. I na něj si můžete nainstalovat jakoukoli peněženku na kryptoměnu. Jenže, i tady jsou rizika. Sice Vám už počítač tak snadno nikdo neukradne, ale zase je takový pracovní počítač relativně snadný cíl pro hack. I když budete mít anitivir a chovat se raltivně uvědoměle, i když nebudete chodt na zavirované porno weby, stejně se může “zadařit” a viry cílící na známé kryptoměny Vám počítač vyberou. Takže raději ani to bych neriskoval.

A tím se pomalu dostáváme k bezpečným variantám. Tou je opět instalace na PC, ale ne na Vašem běžném PC. Ale například na vyhrazený starý notebook, který je čiště nainstalován, má aktuální zabezpečení, plně aktivovaný firewall v obou směrech. K tomu zakázané spouštění jakýchkoli cizích aplikací a je využíván jen jako peněženka. To už může docela fungovat. Stejně tak dobře poslouží například i virtuální počítač ve službě VMWare, VirtualBox, atd. Nevýhoda je, že se musíte starat o další PC a musí byt opravdu dobře zabezpečený.

Ještě více bezpečná je pak papírová peněženka. Paradoxně si můžete virtuální měnu uložit i na kus papíru. Funguje to tak, že se privátní klíče vytisknou na papír a vy pak kdykoli chcete udělat transakci zadáte tyto klíče ručně nebo oscanováním do počítače. Trochu nepohodlné a oldschoolové, ale bezpečné.

A zřejmě úplně nejvíc bezpečná varianta jsou hardwareové peněženky (ty důvěryhodné, né čínské bazmeky). Díky těm máte měnu opravdu v bezpečí, protože mají zabezpečení hned na několika úrovních. A právě jednu takovou hardware peněženku Vám chci dneska ukázat.

Pro své kryptoměny jsem si vybral Trezor. Jde o první takovou peněženku svého druhu a přišli s ní lidé z Čech. Ačkoli je už dneska na trhu víc HW peněženek, terzor je stále jeden z nejlepších. Pokud byste náhodou chtěli kupovat nějakou levnější/méně známou variantu, ověřte si, že se nejedná o boudu na důvěřivce.

Musíte totiž věřit výrobcům, že je zařízení opravdu bezpečné. Pokud totiž výrobce do svého systému vyrobil zadní vrátka, může pak kdykoli všechny své uživatele snadno okrást. A i v tom je Trezor odlišný. Narozdíl od ostatních je jejich kód je open-source, takže se dá podívat, jak přesně se peněženka chová a co dělá.

Trezor vypadá jako trochu přerostlejší USB klíčenka s displejem. Aby Trezor fungoval, musíte ho připojit pomocí USB k počítači, přes který se jednak napájí a přes který pak také komunikuje s peněženkou, která je dostupná na webu výrobce.

Trezor totiž kombinuje několik skvělých věcí dohromady. Jednak máte super zabezpečení, zároveň ale nemusíte nikde nic instalovat a k peněžence se připojíte pomocí internetu odkudkoli (pokud tam připojíte Trezor zařízení). Funguje to totiž tak, že aplikace samotná běží na webu tvůrců a k přihlášení do ni potřebujete Trezor zařízení. Ten, když se pokusíte do vlastní pěněženky přistoupit, ukáže matici 3×3 čtverců a vy musíte zadat svůj pin. Numerická hodnota čtverců je však na matici pokaždé jiná, takže i kdyby někdo viděl, co zadáváte (ať už fyzicky, nebo třeba nějakým virem v PC), je mu to k ničemu.

Čísla, která zadáváte jsou viditelná jen na zařízení trezoru a podle toho vy čísla zadáte. Jednoduché, elegantní, bezpečné. Zároveň pak Trezor obsahuje i bezpečnostní klíče, pomocí kterých se podepisují odchozí transakce, což je další úroveň zabezpečení. O ty se už ale vy nestaráte, to dělá už trezor sám. Vy jen zadáte PIN a pak už spravujete své finance podobně jako v nějakém internetovém bankovnictví.

Zprovoznení samotného zařízení je hodně jednoduché. Zařízení přijde ve velmi dobře zalepené a zavřené krabičce, aby bylo zaručeno, že se zařízením nikdo před Vámi nemanipuloval. Proto při otevírání zkontrolujte, jestli je vše neporušeno a především se vyhnětě nákupu z druhé ruky, jelikož by zařízení mohlo být hacknuto a o peníze byste mohli přijít.

Po rozbalení zařízení připojíte pomocí USB kabelu k počítači a otevřete stránku s trezorem, kde najdete průvodce, co Vám pomůže trezor nastavit. Během instalace Vám zařízení ukáže 24 slov, které si zapíšete na přiložený papír a ten pak někde super bezpečně schováte. Těchto 24 slov je to jediné, co Vám umožní se k penězům případně dostat, pokud trezor ztratíte nebo se rozbije. Proto je potřeba hesla opravdu velmi dobře a bezpečně uložit, aby se k nim nikdo nedostal, žádná pohroma je nezničila a zároveň jste je vy v případě potřeby měli k dispozici.

Po incializaci slov pak zadáte svůj pin. Ten budete zadávat kdykoli budete do peněženky přistupovat, takže by to mělo být něco, co si budete pamatovat, ale co nebude znát nikdo jiný (na rodná čísla, čísla domů, telefoní čísla, PIN z kreditních karet atd raději opravdu zapomeňte).

Takhle vypadaly moje slova do chvíle, než mi prcek vypl notebook a já musel začít znova :))

A to je vše. Pak už se jen přihlásíte do online peněženky a můžete si do ní začít posílat peníze. Peněženka samotná podporuje v současnosti několik měn (Bitcoin, Bitcoin Cash, Bitcoin Gold, Ethereum, Ethereum Classic,  Litecoin, ZCash a Dash). Je trochu škoda, že není podpora více měn, ale snad časem budou přibývat. Na ostatní menší měny holt musíte použit nějaké z nižších zabezpečení (já používám speciální virtuální PC).

Samotné používání peněženky je hodně intuitivní. Pro příjem peněz kliknete na “Receive” a aplikace Vám ukáže kód Vaší peněženky (těch můžete mít neomezené množství).

Zároveň s tím se kód ukáže i na zařízení, takže si můžete zkontrolovat, že kód v PC není nijak ovlivněn nějakým virem a ukazuje opravdu správný kód. Kód pak použijete pro příjem peněz.

Pro odeslání pak slouží funkce “Send”, kde zadáte komu a kolik chcete poslat a jak velký poplatek za platbu se má zaplatit. Čim vyšší poplatek, tím rychleji peníze do destinace dorazí.

Pokročilejších funkcí pak Trezor nabízí více, ale ty asi nemá moc cenu teď rozepisovat. Například možnost popisků u různých účtů a peněženek, podepisování/ověřování, hezký přehled stavu peněz s přepočtem na nějakou FIAT měnu (USD/CZK/..), atd. Na to už člověk ale přijde během používání sám.

Každopádně za mne mohu zařízení opravdu jen doporučit. Drobné peníze z těžby mám na burze, ale jakmile je směním, posílám do trezoru, kde budou několik měsíců a možná i let ležet. A za ten pocit klidu to stojí.

Pokud byste se rozhodli Trezor koupit, budu rád, když použijete tento můj link https://trezor.io/?a=vodnici.net a tím náš blog podpoříte.


 

PS: Trezor mám vyzkoušený na Windows i OSX a všude funguje bezproblémově, až na moje pracovní programátorské PC. Z nějakého důvodu se tam trezor nechtěl hned napoprvé chytit. Co ale stačilo, bylo spustit TrezorBridge v administrátorském režimu a od té doby funguje v pořádku i tam.