🚨 🚨¿Usas Passphrase? 🚨🚨

Cuidado, podrías correr peligro.O no.

No, tranquilo, no es para tanto. Solo quería atraer tu atención. Pero lo cierto es que las passphrase son un tema delicado. Hoy hablamos de passphrases, seguridad y peligro.

Leete bien el artículo, aunque seas usuario avanzando de passphrase, algo vas a descubrir.

Como una 🌹rosa con espinas

Hay algo bello en una passphrase. Nos permite añadir una capa de seguridad a nuestra ya de por si segura Seed/Semilla. Si quieres saber un poco más sobre la Seed/Semilla y su generación, aquí escribí un super post.

Una passphrase se explica muy bien con esta imagen: A partir de una Seed/Semilla - conjunto de 24 palabras - tendremos derivaciones de direcciones diferentes, es decir wallets, simplemente incluyendo una palabra más.

Esa o esas passphrases, no deberías almacenarlas junto a tu copia de seguridad de la Seed/Semilla, ya que la función es proteger el acceso a tus fondos con una sola palabra que tu conoces. A modo contraseña. ¿Problema? No puedes recuperar esa contraseña.

¿Dónde están las espinas?

Seguridad y Usabilidad tienen una correlación negativa. A más seguro, más difícil de usar. Ejemplos:

• Una software wallet como Metamask en el móvil es muy sencilla de usar, pero poco segura.

• Usar Keystone en el día a día, con passphrase, es mucho más seguro, pero cada vez que quisieras hacer un gasto deberías andar metiendo PIN, passphrase, firma, etc etc

• Usar Safe, una nueva wallet de Account Abstraction que probamos hace unas semanas, con 2/3 firmantes siendo ellos un Bitbox02, un Ledger y un Keystone, (todos con passphrase) es mucho más seguro, pero imagina eso cada día. Poco usable.

Esta imagen lo muestra muy bien:

A más seguridad, menos usabilidad.

Ahora voy a pasar a comentarte algunos aspectos de la passphrase. Si yo consiguiera tu Seed/Semilla, y al importarla en un Hardware Wallet viera que no hay fondos no me sería muy difícil saber que hay una passphrase trabajando por debajo. Mi intención sería romperla y acceder a los fondos. ¿Cómo de fácil es?

• Si tu passphrase está compuesta de varias palabras de la wordlist BIP39, dependiendo del método usado podría tardar entre un instante si son solo 2 palabras, o 2 mil años si hubieras elegido 6 palabras.

• Si tu passphrase está compuesta de varias palabras de la Long Diceware Wordlist, pasamos un instante si son solo 2 palabras, o infinito si hubieras elegido 6 palabras.

• Si tu passphrase está compuesta de varias palabras de la Short Diceware Wordlist, pasamos un instante si son solo 2 palabras, o infinito si hubieras elegido 6 palabras.

• Y podríamos continuar dándote opciones de meter símbolos, números, etc etc, pero está clara una cosa, a más segura, más difícil de almacenar y/o memorizar.

La elección de una passphrase es delicada.

Los riesgos asociados a una passphrase son varios:

• Olvidarla. Imagina el tipo de persona, que existe, que dice “Mi passphrase en mi mente”. Podrá olvidarla simplemente por el paso del tiempo, el cerebro humano puede llegar a hacerle creer que es otra, simplemente por no asumir que ya no se acuerda de la correcta. Puede tener un accidente. Y eso pasará más frecuentemente cuanto más complicada fuera dicha passphrase.

• Teclearla mal. Una passphrase excesivamente complicada o larga puede ser difícil de almacenar. Aunque la hayas comprobado.

De nuevo: La elección de una passphrase es delicada.

La paradoja de la seguridad

Esta gráfica quiere decir: La posibilidad de perder tus fondos disminuirá a la vez que aumenta la seguridad del esquema usado, pero para incrementos sustanciales de seguridad estarías también incrementando las posibilidades de perder acceso a tus fondos.

Y se ve muy claro en la combinación de Seed/Semilla + passphrase: Siempre es más fácil perder dos cosas que una. Se ve bien:

Resumiendo:

Aquí no hay una respuesta correcta. Debes sentirte cómodo con tu passphrase. No puedo decirte que uses una passphrase como esta:

• x&sD8RXnIj)R)oF&-IJ8eQRyN5VNL_

Y lo peor es que tampoco puedo decirte que dejes de hacerlo.

La utilidad de la passphrase está clara:

• Puedo tener varias wallets sobre la misma semilla.

• Una capa de protección adicional por si la semilla se ve comprometida ya sea por extracción del Hardware Wallet o por encontrar tu copia de seguridad.

¿Necesitas una passphrase?

No necesariamente. Si tu copia de seguridad está bien oculta y por duplicado y tu Hardware Wallet tiene un Secure Element que hace poco posible el acceso a la semilla podrías llegar a evitarlo. Depende de ti.

¿Puedo resetear mi passphrase?

No, una vez usada deberías crear otra y mover los fondos de una dirección a otra.

¿Puedo recuperar mis fondos sin mi passphrase?

No, una vez usada tu passphrase, tus fondos se almacenan la combinación de Seed + passphrase. Pierde uno, pierde todo.

Comparte!

Fuente de la información:

• Complexity isn’t security, del blog de Bitbox, creadores del Bitbox02.

• Guía para crear una passphrase, de Estudio Bitcoin y Arkad.

Gracias por el excelente trabajo de ambos.

Comments

[Silvia]

Este articulo me hace ver que el mundo crypto es peligroso si no estas bien informado, y que no todos los que escriben sobre crypto seguridad , tienen paciencia para explicarle a los novatos (como yo) que para poder tener una buena custodia de tus activos, es muy importante leer e ir formandote día a día. Gracias Jota por tu gran aporte!!!

[Ramon]

Breve, fácil y barato. TOP