หากคุณได้มาถึงขั้นตอนนี้ในบทความของเราเกี่ยวกับวิธีใช้สกุลเงินดิจิทัล คุณจะต้องทุ่มเทเวลาอย่างมากและหวังว่าจะใช้เงินบางส่วน ฝึกฝนสิ่งที่คุณได้เรียนรู้และเป็นเจ้าของ crypto ของคุณเอง
สิ่งที่คุณจะได้เรียนรู้
-ในที่สุดคุณต้องรับผิดชอบต่อการเข้ารหัสลับของคุณ
-สิ่งที่ต้องป้องกัน การสูญหายและการโจรกรรมโดยไม่ได้ตั้งใจ
-แนวปฏิบัติที่ดีที่สุดและนอนหลับสนิทในเวลากลางคืน
หากคุณได้มาถึงขั้นตอนนี้ในบทความของเราเกี่ยวกับวิธีใช้สกุลเงินดิจิทัล คุณจะต้องทุ่มเทเวลาอย่างมากและหวังว่าจะใช้เงินบางส่วน ฝึกฝนสิ่งที่คุณได้เรียนรู้และเป็นเจ้าของ crypto ของคุณเอง
ความพยายามและมูลค่าที่อาจเกิดขึ้นทั้งหมดจะสูญเปล่าหากคุณไม่ทราบวิธีปกป้องสกุลเงินดิจิทัลของคุณจากการสูญหายหรือการโจรกรรม ซึ่งบทความนี้จะอธิบายให้คุณทราบ
หวนคืนสู่แนวคิดเรื่องอารักขา
หากคุณอ่านบทความแรกในส่วนนี้ คุณอาจจะคุ้นเคยกับแนวคิดเรื่องการดูแลซึ่งเป็นศูนย์กลางของการเป็นเจ้าของสกุลเงินดิจิทัล การดูแลหมายถึงวิธีที่คุณจัดการความรับผิดชอบสำหรับข้อมูลสำคัญชิ้นเดียวที่ช่วยให้สามารถควบคุมการเข้ารหัสลับของคุณ - คีย์ส่วนตัวหรือเมล็ดพันธุ์
เนื่องจากสกุลเงินดิจิทัลทำงานโดยไม่มีอำนาจจากส่วนกลาง เช่น ธนาคาร การครอบครองคือความเป็นเจ้าของ และเพียงสรุปถึงแนวคิดที่สำคัญที่สุดอย่างหนึ่งที่คุณสามารถเรียนรู้ได้: “ไม่ใช่กุญแจของคุณ ไม่ใช่เหรียญของคุณ”
การดูแลหมายถึงสองทางเลือกสำหรับความรับผิดชอบสูงสุดของกุญแจเหล่านั้น คุณสามารถรับผิดชอบตัวเองอย่างเต็มที่หรือไว้วางใจให้คนอื่นดูแล
1. ดูแล crypto ด้วยตัวคุณเอง - ไม่ใช่การคุมขัง
2. ไว้ใจให้คนอื่นดูแล crypto ของคุณ - ใช้บริการคุมขัง
ขึ้นอยู่กับคุณที่จะตัดสินใจว่าตัวเลือกใดดีที่สุดสำหรับคุณ ทำความเข้าใจภัยคุกคามต่อการสูญเสียและการโจรกรรมเฉพาะสำหรับสองตัวเลือก - Custodial & Non-Custodial
การตัดสินใจของคุณจะขึ้นอยู่กับจำนวน crypto ที่คุณเป็นเจ้าของ ซึ่งจะสัมพันธ์กับความรุนแรงของความเสี่ยงที่อาจเกิดขึ้นกับความปลอดภัย
Threat | Relevant to Custodial or Non-Custodial |
Loss of data/access details | Both |
Phishing | Both |
Brute Force Attack | Custodial |
SMS Hijacking | Custodial |
DNS Spoofing | Both |
In person attack | Non-Custodial |
การสูญเสียข้อมูล/รายละเอียดการเข้าถึง
หากคุณตัดสินใจที่จะให้การแลกเปลี่ยนหรือกระเป๋าเงินมือถือดูแล crypto ของคุณ จุดความล้มเหลวที่ชัดเจนที่สุดคือการลืมรายละเอียดที่ช่วยให้คุณเข้าถึงบริการนั้นได้
ในกรณีแรก นี่หมายถึงชื่อผู้ใช้และรหัสผ่านของคุณ ซึ่งคุณควรดำเนินการตามความเหมาะสมเพื่อให้มีความรัดกุม/ไม่ซ้ำกัน และบันทึกไว้อย่างปลอดภัย หากคุณบันทึกข้อมูลประจำตัวเหล่านั้นผ่านบริการอื่น เช่น บัญชี Google หรือ LastPass ข้อมูลนั้นจะกลายเป็นจุดอ่อน
นอกจากนี้โดยทั่วไปแล้วนั้นจำเป็นต้องเข้าถึงที่อยู่อีเมลของคุณเพื่ออนุมัติการดำเนินการหลัก เช่น การอนุมัติการถอนเงิน หรือการตั้งค่าคุณลักษณะด้านความปลอดภัยอื่นๆ ดังนั้น โปรดระมัดระวังในการจดจำรายละเอียดการเข้าถึงเหล่านั้น ซึ่งเป็นชั้นการเข้าถึงที่สำคัญอีกชั้นหนึ่ง
หากคุณใช้ตัวเลือกที่ไม่ใช่การดูแล - แนวทาง DIY - การสูญเสียรายละเอียดการเข้าถึงจะเกี่ยวข้องโดยตรงกับกุญแจส่วนตัวหรือเมล็ดพันธุ์ของคุณ หากคุณไม่เคยได้ยินชื่อเขามาก่อน James Howells ได้นำเสนอหนึ่งในตัวอย่างที่สุดยอดที่สุดของเรื่องนี้ โดยเน้นที่เรื่องราวบล็อกของเราเกี่ยวกับการสูญเสีย bitcoin ที่สูญเสียไป
สำรองข้อมูลคีย์ส่วนตัวหรือ Seed ของคุณเสมอ - ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมและจัดเก็บในตำแหน่งที่แยกจากกันอย่างชัดเจน ควรทำแบบออฟไลน์ อย่าใช้สิ่งที่เน่าเสียง่าย เช่น กระดาษ หรือสิ่งของที่เสียหายได้
หากคุณใช้ Hard Wallet (more on wallets in general here)) คุณจะมีความปลอดภัยและจุดอ่อนหลายชั้น: ข้อมูลประจำตัวสำหรับบริการแดชบอร์ด (เช่น Ledger Live) หมุดสำหรับเข้าถึงอุปกรณ์และ Seed ในบรรดาเมล็ดพันธุ์เหล่านั้น เมล็ดพันธุ์นั้นสำคัญที่สุด หากไม่สำเร็จ ซึ่งจะทำให้คุณสามารถกู้คืนเหรียญของคุณได้
ทางออกที่ดีที่สุดในการปกป้องเมล็ดพันธุ์ของคุณคือการแกะสลักข้อความให้เป็นโลหะที่ทนต่อการกัดกร่อน ความร้อน และแรงดัน Jameson Lopp ผู้ประกาศข่าวประเสริฐของ Bitcoin ได้สร้างบทวิจารณ์ที่น่าทึ่งเกี่ยวกับตัวเลือกการแกะสลักที่เก็บเมล็ดพันธุ์โลหะที่ดีที่สุด (best metal seed storage engraving options)
แน่นอนว่าคุณต้องเก็บการแกะสลักโลหะนั้นไว้ที่ไหนสักแห่งที่ปลอดภัย แสดงให้เห็นว่าเจ้าชู้ (หรือ Bitcoin) ต้องหยุดที่ไหนสักแห่ง
ฟิชชิ่ง
การป้องกันฟิชชิ่งควรเป็นสิ่งที่คุณควรระวังอยู่แล้วเมื่อใช้บริการออนไลน์ใดๆ หมายถึงความพยายามที่จะหลอกล่อให้คุณดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งอาจทำให้คอมพิวเตอร์ของคุณเสียหาย หรือเว็บไซต์ปลอมแปลงซึ่งจะรวบรวมรายละเอียดของคุณและเข้าถึงเงินทุน/ข้อมูล
สิ่งนี้มีความเกี่ยวข้องเป็นพิเศษสำหรับบริการคุมขัง ซึ่งอีเมลฟิชชิ่งและเว็บไซต์ปลอมเป็นเรื่องธรรมดามาก แต่ตัวเลือกที่ไม่ใช่การดูแลจะไม่ปลอดภัย
Ledger ผู้ผลิตกระเป๋าเงินยอดนิยมมีฐานข้อมูลรายละเอียดลูกค้าที่ถูกแฮ็กในเดือนกรกฎาคม 2020 รวมถึงที่อยู่อีเมล
ลูกค้าเหล่านั้นกลายเป็นเป้าหมายของฟิชชิ่งทันที
เช่นเดียวกัน บริการบนเบราว์เซอร์มักกำหนดเป้าหมายไปยังเว็บไซต์ปลอม ซึ่งจะหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์ที่มีรายละเอียด
เพื่อป้องกันอีเมลฟิชชิ่ง:
-ใช้บริการอีเมลที่เข้ารหัส เช่น Protonmail และใช้สำหรับบริการที่สำคัญเท่านั้น
-หากคุณไม่แน่ใจว่าอีเมลนั้นเป็นของจริงหรือไม่ ให้ตรวจสอบที่อยู่สำหรับส่งจริง ไม่ใช่แค่ชื่อส่งที่มองเห็นได้ นี้มักจะเป็นของแถม
-บริการของแท้มักจะอ้างถึงคุณด้วยชื่อ อีเมลฟิชชิ่งไม่
-เนื้อหาของอีเมลฟิชชิ่งมักถูกเขียนหรือจัดรูปแบบไม่ดี
การโจมตี
เป็นหนึ่งในเทคนิคที่เก่าแก่และชัดเจนที่สุดในการพยายามขโมยรหัสผ่านของผู้อื่น โดยเรียกใช้ซอฟต์แวร์ที่เปลี่ยนตัวเลือกรหัสผ่าน สามารถใช้ร่วมกับข้อมูลที่รู้จักเกี่ยวกับผู้ใช้จาก OSINT - Open Source Intelligence
วิธีที่ดีที่สุดในการบรรเทาภัยคุกคามประเภทนี้คือใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ซึ่งเป็นเลเยอร์รองของรายละเอียดการเข้าถึงจากแหล่งที่มาที่แยกต่างหาก ซึ่งปกติแล้วคือโทรศัพท์มือถือของคุณ
การแลกเปลี่ยนที่เหมาะสมใดๆ จะบังคับใช้หรือสนับสนุนอย่างยิ่งให้ใช้ 2FA แต่สิ่งสำคัญคือต้องหลีกเลี่ยงการใช้ข้อความสำหรับ 2FA ตามที่อธิบายในหัวข้อถัดไป
ผู้ให้บริการ 2FA ที่พบบ่อยที่สุดคือ Google Authenticator หรือ Authy
SMS Hijacking
หลังจากเพิ่งสนับสนุนให้ใช้ 2FA เป็นมาตรฐานสำหรับบริการคุมขัง ตอนนี้เราต้องเตือนว่าการเลือก SMS เป็น 2FA จะสร้างช่องโหว่ร้ายแรงผ่านการจี้ SMS
หากผู้โจมตีทราบหมายเลขโทรศัพท์มือถือและผู้ให้บริการของคุณ และได้รวบรวมข้อมูลส่วนบุคคลจาก OSINT พวกเขาสามารถแอบอ้างเป็นคุณกับผู้ให้บริการมือถือของคุณและขอให้ส่งซิมทดแทนไปให้
สิ่งนี้ทำให้พวกเขาเข้าถึงรหัส 2FA ซึ่งจะใช้ร่วมกับการโจมตีด้วยกำลังเดรัจฉาน
วิธีแก้ไขคือใช้ 2FA ของแอปเช่น Google Authenticator หรือ Authy เสมอ อุปกรณ์ที่ใช้งานแอพนั้นกลายเป็นจุดอ่อน เนื่องจากใครก็ตามที่ทำโทรศัพท์หายจะต้องชอบใจ
คุณสามารถหลีกเลี่ยงสิ่งนี้ได้โดยการจัดเก็บรหัสสำรอง 2FA ของคุณ ซึ่งให้ไว้เมื่อคุณตั้งค่า 2FA หากไม่มีการสำรองข้อมูล 2FA การรีเซ็ต 2FA คุณจะต้องผ่านขั้นตอนที่ลำบากในการบันทึกวิดีโอเซลฟี่ด้วย ID และบันทึกที่เขียนด้วยลายมือ
Google ได้อัปเดต Authenticator ในเดือนพฤษภาคม 2020 ซึ่งเป็นครั้งแรกในรอบสามปี ทำให้ง่ายต่อการส่งออก/นำเข้ารหัส 2FA ซึ่งยินดีเป็นอย่างยิ่ง แต่จะไม่ช่วยอะไรหากคุณทำโทรศัพท์หายหรือโทรศัพท์เสียชีวิต
DNS Spoofing
ในเดือนพฤศจิกายน 2020 บริการเข้ารหัสลับที่ได้รับความนิยม เซลเซียส ตกเป็นเหยื่อของการโจมตี DNS ซึ่งเกี่ยวข้องกับผู้โจมตีที่โน้มน้าวให้ผู้ให้บริการ DNS ของพวกเขา - Godaddy - เพื่อเปลี่ยนเว็บไซต์ที่ให้บริการหลังแอพของพวกเขา
ซึ่งยากต่อการบรรเทา นอกเหนือจากการระแวดระวัง หรือในกรณีที่เซลเซียสตัดสินความปลอดภัยของบริการโดยพิจารณาว่าการตั้งค่า DNS ของพวกเขานั้นจริงจังเพียงใด
การโจมตีแบบตัวต่อตัว
เราปล่อยให้สิ่งนี้คงอยู่เพราะควรจะเป็นกังวลถ้าคุณมี crypto จำนวนมากจริงๆ มีบางครั้งบางคราวที่บุคคลที่รู้ว่ามีสกุลเงินดิจิทัลจำนวนมากถูกลักพาตัว/กรรโชกเพื่อให้เข้าถึงเงินทุนของตนได้
ดังที่ Ledger Attack ที่กล่าวไว้ข้างต้น ที่อยู่ไปรษณีย์ของลูกค้ารั่วไหล มีการพูดคุยกันมากมายบนโซเชียลมีเดียเกี่ยวกับอันตรายนี้จากลูกค้าที่โกรธจัด อย่างไรก็ตาม ยังไม่มีการรายงานกรณีการโจมตีแบบตัวต่อตัว เนื่องจากมีความเสี่ยงมากกว่าตัวเลือกออนไลน์ที่แสดงไว้
แม้ว่าความเสี่ยงนี้จะมีอยู่ในทุกสถานการณ์ที่เกี่ยวข้องกับความมั่งคั่งแบบพกพา ไม่ว่าจะเป็นนาฬิกา เครื่องประดับ และของสะสมราคาแพง แต่คริปโตเป็นเป้าหมายเฉพาะ เนื่องจากเป็นการยากที่จะประกันและอาจติดตาม/กู้คืนได้ยาก
หากสิ่งนี้ทำให้คุณกังวล ในขั้นแรกอย่าเผยแพร่ความจริงที่ว่าคุณเป็นเจ้าของ crypto ซึ่งรวมถึงทุกที่ทางออนไลน์หรือกับใครก็ตามที่คุณไม่ไว้วางใจอย่างชัดแจ้ง
คุณควรคิดถึงบางสิ่งที่เรียกว่า Multi-Signature ซึ่งโดยพื้นฐานแล้วต้องมีบุคคลมากกว่าหนึ่งคนในการอนุมัติธุรกรรม crypto
สิ่งนี้ทำให้เกิดการปฏิเสธที่น่าเชื่อถือ ตรวจสอบ keys.casa สำหรับบริการรักษาความปลอดภัยแบบหลายซิกที่คุ้มราคา
การเรียนรู้และลงทุนใน crypto สามารถเป็นประสบการณ์ที่ปลดปล่อยอย่างมหาศาล เป็นการแสดงออกถึงอำนาจอธิปไตยทางการเงิน แต่ถ้าคุณกำลังตัดอำนาจ - เช่นเดียวกับธนาคาร - ออกจากชีวิตทางการเงินของคุณ ในที่สุดคุณต้องรับผิดชอบ ดังนั้นอย่างน้อยต้องตระหนักถึงแนวปฏิบัติที่ดีที่สุดในการรักษา crypto ของคุณให้ปลอดภัยและสร้างความมั่นใจว่าคุณจะนอนหลับได้ง่าย
ข้อจำกัดความรับผิดชอบ:
มุมมองในบทความนี้แสดงถึงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ถือเป็นคำแนะนำในการลงทุน สำหรับแพลตฟอร์มนี้ไม่รับประกันความถูกต้องครบถ้วนและทันเวลาของข้อมูลบทความ และไม่รับผิดชอบต่อการสูญเสียใด ๆ ที่เกิดจากการใช้ข้อมูลในบทความ
0.00