Лучшие практики безопасности

　　Что вы узнаете

　　• Вы несете полную ответственность за свою криптовалюту

　　• От чего защищаться; случайная потеря и кража

　　• Лучшая практика и крепкий сон по ночам

　　Если вы дошли до этого этапа в нашей серии статей о том, как использовать криптовалюту, вы вложили значительное время и, надеюсь, часть своих денег; применять на практике то, что вы узнали, и владеть собственной криптовалютой.

　　Все эти усилия и потенциальная ценность будут потрачены впустую, если вы не знаете, как защитить свою криптовалюту от потери или кражи, что и будет объяснено в этой статье.

　　Возвращаясь к концепции кастодиана

　　Если вы прочтете первую статью в этом разделе, вы будете знакомы с концепцией хранения, которая занимает центральное место в владении криптовалютой. Хранение относится к тому, как вы управляете ответственностью за одну важную часть информации, которая позволяет контролировать вашу криптографию — закрытый ключ или начальное число .

　　Поскольку криптовалюта работает без центрального органа, такого как банк, владение — это собственность, и просто сводится к одной из самых важных идей, которые вы можете усвоить: « Не ваши ключи, не ваши монеты ».

　　Хранение просто относится к двум вариантам окончательной ответственности за эти ключи; вы можете взять на себя полную ответственность или доверить это кому-то другому.

　　1. Позаботьтесь о криптовалюте самостоятельно - некастодиальный

　　2. Доверьте кому-то другому заботиться о вашей криптовалюте — используйте службу хранения

　　Вам решать, какой вариант лучше для вас, понимая угрозы потери и кражи, характерные для двух вариантов - с хранением и без хранения.

　　Ваше решение также будет зависеть от того, сколько криптовалюты у вас есть, что, в свою очередь, будет связано с серьезностью потенциальных рисков для ее безопасности.

Угроза	Относится к кастодиальному или некастодиальному
Потеря данных/деталей доступа	Оба
Фишинг	Оба
Атака грубой силы	Кастодиальный
Перехват СМС	Кастодиальный
DNS-спуфинг	Оба
Личное нападение	Некастодиальный

　　Потеря данных/деталей доступа

　　Если вы решите предоставить обменнику или мобильному кошельку хранение вашей криптовалюты, наиболее очевидной ошибкой будет забвение деталей, которые позволяют вам получить доступ к этой услуге.

　　В первую очередь это означает ваше имя пользователя и пароль, которые вы должны принять соответствующие меры, чтобы они были надежными/уникальными и надежно сохранялись. Если вы сохраните эти учетные данные через другую службу, например, свою учетную запись Google или LastPass, это, в свою очередь, станет слабым местом.

　　Кроме того, доступ к вашему адресу электронной почты обычно требуется для утверждения ключевых действий, таких как утверждение снятия средств или настройка других функций безопасности, поэтому позаботьтесь о том, чтобы запомнить эти данные доступа. to, которые являются еще одним важным уровнем доступа.

　　Если вы выберете вариант, не связанный с тюремным заключением — подход «сделай сам», — потеря сведений о доступе будет напрямую связана с вашими закрытыми ключами или семенем. Если вы еще не слышали о нем, Джеймс Хауэллс приводит один из самых экстремальных примеров этого, освещенный в нашей статье в блоге о потерянных биткойн-состояниях .

　　Всегда делайте резервную копию ваших закрытых ключей или семян — очевидно, принимая соответствующие меры безопасности и храня их в отдельном месте, желательно в автономном режиме. Не используйте что-то скоропортящееся, например, бумагу или что-то испорченное.

　　Если вы используете Hard Wallet ( подробнее о кошельках в целом здесь ), у вас, вероятно, будет несколько уровней безопасности и слабости: учетные данные для службы панели мониторинга (например, Ledger Live), пин-код для доступа к устройству и Seed. Из них Seed является наиболее важным, если ничего не поможет, это позволит вам восстановить свои монеты.

　　Наилучшим решением для защиты ваших семян является гравировка фраз на металле, который устойчив к коррозии, теплу и давлению. Известный евангелист биткойнов Джеймсон Лопп создал удивительный обзор лучших вариантов гравировки для хранения металлических сидов .

　　Конечно, тогда вам нужно хранить эту металлическую гравировку в безопасном месте, иллюстрирующую, что доллар (или биткойн) должен где-то остановиться.

　　Фишинг

　　Защита от фишинга должна быть чем-то, чего вы уже опасаетесь при использовании любого онлайн-сервиса. Это относится к попыткам обманом заставить вас загрузить вредоносное программное обеспечение, которое затем может поставить под угрозу ваш компьютер, или подделать сайты, которые затем соберут ваши данные и получат доступ к средствам/данным.

　　Это особенно актуально для кастодиальных служб, для которых очень распространены фишинговые электронные письма и поддельные веб-сайты, но не кастодиальные варианты не застрахованы.

　　В июле 2020 года компания Ledger, создатель популярного жесткого кошелька, взломала базу данных с данными о клиентах, включая адреса электронной почты. Затем эти клиенты стали объектами фишинга.

　　Точно так же службы на основе браузера часто становятся мишенью для поддельных веб-сайтов, которые затем обманом заставляют пользователей загружать вредоносное ПО с информацией о сборе урожая.

　　Чтобы защититься от фишинга по электронной почте:

　　• Используйте зашифрованную почтовую службу, такую как Protonmail, и используйте ее только для важных служб .

　　• Если вы не уверены, является ли электронное письмо подлинным, проверьте фактический адрес отправки, а не только видимое имя отправителя; обычно это подарок

　　• Настоящие сервисы часто обращаются к вам по имени, а фишинговые электронные письма — нет.

　　• Содержание фишинговых писем часто плохо написано или отформатировано.

　　Атака грубой силы

　　Это один из старейших и наиболее очевидных методов попытки украсть чей-то пароль, запуская программное обеспечение, которое перебирает варианты паролей. Это можно использовать в сочетании с информацией, известной о пользователе из OSINT — Open Source Intelligence.

　　Лучший способ уменьшить угрозу такого рода — использовать двухфакторную аутентификацию (2FA), вторичный уровень сведений о доступе из отдельного источника, обычно вашего мобильного телефона.

　　Любая приличная биржа либо навязывает, либо настоятельно поощряет использование 2FA, но важно избегать использования текста для 2FA, как объясняется в следующем разделе.

　　Двумя наиболее распространенными поставщиками 2FA являются Google Authenticator или Authy.

　　Перехват СМС

　　Только что поощряя использование 2FA в качестве стандарта для кастодиальных служб, теперь мы должны предупредить, что выбор SMS в качестве 2FA может создать серьезную уязвимость из-за перехвата SMS.

　　Если злоумышленники знают ваш номер мобильного телефона и провайдера и получили личную информацию из OSINT, они могут выдать себя за вашего оператора мобильной связи и запросить отправку им новой SIM-карты.

　　Это дает им доступ к коду 2FA, который будет использоваться в сочетании с атакой методом грубой силы.

　　Решение состоит в том, чтобы всегда использовать 2FA на основе приложений, таких как Google Authenticator или Authy. Устройство, на котором запущено приложение, само по себе становится слабым местом, что оценит любой, кто потерял свой телефон.

　　Этого можно избежать, сохранив свои резервные коды 2FA, предоставленные при настройке 2FA. Без резервной копии 2FA для получения сброса 2FA требуется пройти трудоемкий процесс записи селфи / видео с некоторым идентификатором и рукописной заметкой.

　　Google обновил Authenticator в мае 2020 года, впервые за три года, упростив экспорт/импорт кодов 2FA, что приветствуется, но не помогает, если вы потеряете свой телефон или он выйдет из строя.

　　DNS-спуфинг

　　В ноябре 2020 года популярный криптосервис Celsius стал жертвой DNS-атаки, в ходе которой злоумышленник убедил своего DNS-провайдера — Godaddy — существенно изменить сайт, который обслуживается их приложением.

　　Это трудно смягчить, кроме как проявлять бдительность или, в случае с Celsius, судить о безопасности службы по тому, насколько серьезно они относятся к своей настройке DNS.

　　Личная атака

　　Мы оставили это напоследок, потому что это должно вызывать беспокойство только в том случае, если у вас действительно значительное количество криптовалюты. В редких случаях были случаи, когда лица, о которых известно, что они владеют большими суммами криптовалюты, были похищены/вымоганы, чтобы получить доступ к своим средствам.

　　Поскольку упомянутая выше атака на Ledger привела к утечке почтовых адресов клиентов, в социальных сетях было много разговоров об этой опасности со стороны разгневанных клиентов. Тем не менее, о реальных случаях атак лично не сообщалось, поскольку это гораздо более рискованно, чем перечисленные онлайн-варианты.

　　Хотя этот риск существует при любых обстоятельствах, когда речь идет о переносимых вещах — дорогих часах, ювелирных изделиях и предметах коллекционирования, — криптовалюта является особой целью, поскольку ее трудно застраховать и трудно отследить/восстановить.

　　Если вас это беспокоит, в первую очередь не сообщайте о том, что вы владеете криптовалютой, в том числе где-либо в Интернете или с кем-либо, кому вы явно не доверяете.

　　Вы также должны подумать о чем-то, называемом Multi-Signature, который, по сути, требует, чтобы более одного человека одобряли криптовалютную транзакцию.

　　Это дает правдоподобное отрицание. Загляните на keys.casa , чтобы узнать об экономичном сервисе безопасности с мультиподписью.

　　Изучение криптографии и инвестирование в нее может быть чрезвычайно освобождающим опытом. Это выражение финансового суверенитета, но если вы исключаете орган власти, например банк, из своей финансовой жизни, вы становитесь в конечном счете ответственным, поэтому вам нужно, по крайней мере, знать о лучших методах обеспечения безопасности вашей криптовалюты и обеспечения вас спокойно спать по ночам.