Только медийное адаптивное
Только медийное адаптивное

Обезопасьте свой биткойн, сделав безопасность привычкой — журнал Bitcoin Обезопасьте свой биткойн, сделав безопасность привычкой

2

Размышляя о том, как обезопасить свой биткойн, большинство пользователей думают о таких сложных вещах, как покупка аппаратного кошелька, использование сложных парольных фраз, покупка пуленепробиваемых сейфов и резервное копирование начальных слов на сталь … но большинство пользователей игнорируют простые вещи, потому что это не кажется быть связанным с вашими монетами. К сожалению, это игнорирование легких вещей, которые вызывают наибольшую потерю. Самая большая угроза для монет, находящихся в личной собственности, — это угроза подражания и множество способов, которыми злоумышленники используют подделку для кражи средств.

Самая сложная ключевая фраза и самый безопасный аппаратный кошелек не помешают вам отправлять собственные монеты атакующему самостоятельно.

Защита ваших собственных учетных записей от подражания может иметь «заразное» качество для ваших друзей и коллег. Когда мои учетные записи защищены, мои друзья безопаснее, потому что мои учетные записи не могут использоваться в качестве плацдарма для атаки на них. Поскольку олицетворение является наиболее успешным методом атаки, я обнаружил, что обучение сотрудников тому, как держать себя в безопасности, на самом деле также помогает обеспечить безопасность компании.

При рассмотрении всех успешных краж (как от компаний, так и от частных лиц), есть две основные причины: плохие привычки безопасности и / или небезопасная настройка учетных записей.

Это означает, что наиболее успешной защитой, которую вы можете установить, является как принятие безопасных привычек, так и защита настроек вашей учетной записи.

Давайте погрузимся в!

Безопасные привычки

Сильная Аутентификация

Единственная наиболее эффективная привычка, которую вы можете принять, — это то, что мы называем «Строгая аутентификация» или StrongAuth. Проще говоря, StrongAuth — это акт создания конечно Вы разговариваете с человеком, которым себя считаете.

Есть много ситуаций, когда это полезно. Это включает

  • Отправка денег
  • Изменение чьего-либо доступа
  • Обсуждение конфиденциальной информации

Мы используем аббревиатуру MAC, чтобы запомнить когда нам нужно использовать StrongAuth: Mоней, крест и Сконфиденциальная информация.

Отобразив эту привычку в нашей личной жизни, давайте возьмем пример получения сообщения от вашей сестры, в котором говорится, что вы нуждаетесь в том, чтобы вы отправили деньги Любые причина. Прежде чем отправить его, убедитесь, что вы действительно разговариваю с твоей сестрой! Так как вы делаете это надежно?

  1. Лично: самая простая форма StrongAuth — это общение с вашей сестрой лично. Если ситуация может подождать, пока вы ее не увидите, вы будете на 100% уверены, что отправите эти деньги в нужное место. Иногда, однако, вы не можете ждать.
  2. Видео / Аудио Звонок: следующий лучший способ выполнить StrongAuth — это иметь видео + аудио звонок с ними, где вы одновременно видеть и заслушивать их. В 2020 году не будет недостатка в приложениях для обмена видеосообщениями, и если вы сможете увидеть свою сестру и услышав, как она просит денег, вы узнаете, что отправляете ее нужному человеку.
  3. Существуют и другие способы выполнения StrongAuth, которые включают в себя заранее подготовленные секретные фразы, ключи GPG, цифровые подписи сообщений или другие более сложные методы (но для их настройки требуется намного больше работы и требуются различные наборы предположений, поэтому мы пропустим их за эту статью).
Интересное  Адаптация понята неправильно: поэтому Bakkt Futures оставляют рынок холодным

Так много краж можно было бы предотвратить, если бы участники использовали эту простую привычку. Как сказал мой главный инженер: «Лучше потратить 15 секунд на двойную проверку, чем отправить 15 миллионов долларов не тому человеку!«Хотя суммы могут отличаться для отдельных лиц, чем для бизнеса, теория та же самая.

Гигиена паролей

Еще одна безопасная привычка — использовать менеджер паролей для все ваших паролей. Менеджеры паролей — единороги в мире безопасности. В большинстве случаев, если вы хотите повысить безопасность, это происходит за счет раздражающих дополнительных шагов, которые требуют больше времени или усилий. Менеджеры паролей, однако, одновременно повышают вашу безопасность, затрачивая МЕНЬШЕ времени и усилий. Одним щелчком мыши ваше имя пользователя и пароль автоматически вводятся в ваше приложение / веб-сайт, и вы вошли в систему без особых усилий. Никаких других мер не увеличивается и то и другое безопасность и удобство вместе.

Вот несколько советов по использованию менеджеров паролей:

  • Используйте свой менеджер паролей для генерации совершенно неосуществимых паролей одним щелчком мыши. Поскольку вам никогда не нужно вводить его самостоятельно, вы можете максимально увеличить продолжительность и сложность услуги. Например, ShapeShift поддерживает максимум 128-символьные пароли, поэтому установка 128-символьного пароля обеспечит максимальную безопасность этой учетной записи.
  • Никогда не используйте пароль повторно. Это так же просто, как одним щелчком мыши с менеджером паролей, используя функцию «создать пароль».
  • Никогда не используйте алгоритм паролей. Я видел, как люди выбирали простой пароль (то есть «a1b2c3!») И привязывали его к концу сайта, который они посещают, для таких паролей, как «googlea1b2c3!» или «facebooka1b2c3!». Проблема в том, что как только я получу один из ваших паролей, я получу их все! Менеджер паролей делает алгоритмы паролей ненужными — это хорошо, потому что алгоритмы паролей не безопасны!
Интересное  Bitmain отделяется от управляющего партнера

Безопасные конфигурации

Следующее, что вы можете сделать, чтобы защитить себя от самых распространенных атак, — это изменить настройки ваших различных учетных записей. Как широко сообщалось за последние несколько лет, наиболее успешной атакой на отдельных лиц является «замена SIM-карты» или «перенос номера». Это когда злоумышленник звонит вашему оператору сотовой связи и подражает вам, сообщая им, что у вас есть новый телефон и SIM-карта. Затем они организуют повторную связь вашего номера телефона с мобильным телефоном злоумышленника.

Эта атака всегда с последующим использованием функции восстановления учетной записи вашей учетной записи электронной почты. Получив контроль над вашим входящим почтовым ящиком, они переходят на все ваши криптообменные аккаунты, нажимая «Я забыл свой пароль» на каждом из них. Восстановление учетной записи использует электронную почту по умолчанию, поэтому, если ваш злоумышленник контролирует вашу электронную почту, он контролирует каждую учетную запись, которую вы связали с этим адресом электронной почты.

К сожалению, мы мало что можем сделать, чтобы помешать злоумышленникам обменять вашу SIM-карту, поскольку сами операторы просто не защищают наши учетные записи. Тем не менее, есть является что мы можем сделать, чтобы не дать злоумышленникам нанести вред после захвата номера вашей клетки.

Заблокируйте ваши параметры восстановления

Большинство учетных записей имеют возможность указывать номера сотовых телефонов для восстановления, адреса электронной почты для восстановления или вопросы для восстановления, чтобы у вас была возможность войти в учетную запись, если вы забудете пароль. Эти варианты восстановления — самый простой способ для злоумышленников проникнуть в ваш аккаунт.

Вот несколько советов по блокировке параметров восстановления:

Смотрите также


  1. удалять все номера сотовых телефонов. Если к учетной записи не присоединен номер телефона, обмен SIM-картами не может быть использован для передачи учетной записи.
  2. Удалите все письма восстановления или заблокируйте учетную запись восстановления. Цепочка так же сильна, как и ее самое слабое звено, и если жена@gmail.com заблокирована, но в качестве учетной записи для восстановления указано муж@gmail.com, муж@gmail.com должен иметь равную защиту.
Интересное  Банк Литвы разрабатывает блокчейн-решение - это за LBChain

К сожалению, некоторые учетные записи не позволяют удалять номера мобильных телефонов, что делает невозможным надежную защиту этих учетных записей.

Включить многофакторную аутентификацию (MFA или 2FA)

Если учетная запись предлагает временные одноразовые пароли (TOTP) в качестве метода 2FA, используйте его! Google Authenticator или Authy являются наиболее распространенными приложениями для TOTP, и их легко использовать на телефонах. Включение 2FA на всех ваших учетных записях повысит безопасность и защитит злоумышленников.

Только будьте осторожны: TOTP не должны храниться в вашем менеджере паролей вместе с вашими паролями. Хранение этих данных вместе с вашими паролями превращает 2FA в 1FA. Держите их отдельно, или, если вы хотите продвинуться, поместите ваши TOTP в Yubikey вместо вашего телефона.

Купить (и использовать) Yubikey

Это одно устройство позволяет вам защищать многие вещи разными способами. Это более безопасная замена для Google Authenticator (через Yubico Authenticator), он хранит ваши SSH-ключи для серверов (через модуль GPG) и, при правильной настройке, может выступать в качестве физического ключа для ваших учетных записей и ноутбуков (через U2F и PIV). ). Когда Yubikey настроен правильно, даже если хакер взломает ваш пароль, он Все еще быть заблокированным.

Существует слишком много функций, каждая из которых требует длинных статей для объяснения, поэтому будьте готовы потратить время на изучение того, как максимизировать использование вашего Yubikey, если вы решите его купить.

Держите свой биткойн в безопасности: соберите все вместе

Безопасность — это больше, чем просто инструменты, которые вы используете. Это мышление. Это привычка. Это постоянное усилие сохранять бдительность, потому что, хотя нам с тобой нужно спать каждую ночь, сценарии злоумышленника продолжают атаковать 24 часа в сутки, семь дней в неделю без выходных.

Блокирование ваших вариантов восстановления, включение 2FA и применение безопасных привычек с помощью надежных менеджеров аутентификации и паролей могут помешать большинству вещей в пакете хитростей злоумышленника и отправят их на поиски более легкой цели для ограбления.

Это статья Майкла Перклина, директора по информационной безопасности Shapeshift, Выраженные взгляды являются его собственными и не обязательно отражают Биткойн Журнал или BTC Inc.

Только медийное адаптивное
Только медийное адаптивное

Оставьте ответ

Ваш электронный адрес не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

diam ut ut libero elit. Nullam quis lectus