Pinakamahusay na kasanayan sa seguridad

　　Ang matututunan mo

　　• Sa huli, ikaw ang responsable para sa iyong crypto

　　• Mga bagay na dapat protektahan laban sa; aksidenteng pagkawala at pagnanakaw

　　• Pinakamahusay na pagsasanay at pagtulog ng mahimbing sa gabi

　　Kung naabot mo na ang yugtong ito sa aming serye ng mga artikulo sa kung paano gamitin ang cryptocurrency, namuhunan ka ng malaking oras at sana ay ilan sa iyong pera; isinasabuhay ang iyong natutunan at pagmamay-ari ng sarili mong crypto.

　　Ang lahat ng pagsisikap at potensyal na halaga ay masasayang kung hindi mo alam na protektahan ang iyong cryptocurrency mula sa pagkawala o pagnanakaw, na kung ano ang ipapaliwanag ngayon ng artikulong ito.

　　Pagbabalik sa Konsepto ng Kustodiya

　　Kung babasahin mo ang unang artikulo sa seksyong ito, magiging pamilyar ka sa konsepto ng custody , na sentro ng pagmamay-ari ng cryptocurrency. Ang custody ay tumutukoy sa kung paano mo pinamamahalaan ang responsibilidad para sa isang kritikal na piraso ng impormasyon na nagbibigay-daan sa kontrol ng iyong crypto - isang Pribadong Key o Binhi .

　　Habang gumagana ang cryptocurrency nang walang sentral na awtoridad tulad ng isang bangko, ang pagmamay-ari ay pagmamay-ari, at nauuwi lamang sa isa sa pinakamahalagang ideya na matututuhan mo: ' Hindi ang iyong mga susi, hindi ang iyong mga barya '

　　Ang pag-iingat ay tumutukoy lamang sa dalawang opsyon para sa tunay na pananagutan ng mga susing iyon; maaari mong tanggapin ang buong responsibilidad sa iyong sarili, o magtiwala sa ibang tao na alagaan ito.

　　1. Alagaan ang crypto sa iyong sarili - non-custodial

　　2. Magtiwala sa ibang tao na alagaan ang iyong crypto - Gumamit ng serbisyo sa pangangalaga

　　Nasa sa iyo na magpasya kung aling opsyon ang pinakamainam para sa iyo, na maunawaan ang mga banta sa pagkawala at pagnanakaw na partikular sa dalawang opsyon - Custodial at Non-Custodial.

　　Ang iyong desisyon ay nakasalalay din sa kung gaano karaming crypto ang pagmamay-ari mo, na kung saan ay nauugnay sa kalubhaan ng mga potensyal na panganib sa seguridad nito.

　　pananakot May kaugnayan sa Custodial o Non-Custodial

　　Pagkawala ng mga detalye ng data/access pareho

　　Phishing pareho

　　Brute Force Attack Kustodial

　　Pag-hijack ng SMS Kustodial

　　DNS Spoofing pareho

　　Sa personal na pag-atake Non-Custodial

　　Pagkawala ng mga detalye ng data/access

　　Kung magpasya kang hayaan ang isang exchange o mobile wallet na kustodiya ng iyong crypto, ang pinaka-halatang punto ng kabiguan ay ang pagkalimot sa mga detalyeng nagbibigay-daan sa iyong ma-access ang serbisyong iyon.

　　Sa unang pagkakataon, nangangahulugan ito ng iyong Username at Password, na dapat mong gawin ang naaangkop na aksyon upang maging malakas/natatangi at ligtas na mai-save. Kung ise-save mo ang mga kredensyal na iyon sa pamamagitan ng isa pang serbisyo, tulad ng iyong Google account o LastPass, iyon naman ay nagiging isang punto ng kahinaan.

　　Higit pa rito, ang pag-access sa iyong email address ay karaniwang kinakailangan upang maaprubahan ang mga pangunahing aksyon, tulad ng pag-apruba ng mga withdrawal, o pag-set up ng iba pang mga tampok na panseguridad, kaya mag-ingat na tandaan ang mga detalye ng access na iyon. sa, na isa pang mahalagang layer ng pag-access.

　　Kung gagawin mo ang opsyon na hindi custodial - ang diskarte sa DIY - ang pagkawala ng mga detalye ng pag-access ay direktang nauugnay sa iyong Mga Pribadong Susi o Binhi. Kung hindi mo pa naririnig ang tungkol sa kanya ay nagbibigay si James Howells ng isa sa mga pinaka matinding halimbawa nito, na naka-highlight sa aming kwento sa blog tungkol sa mga nawawalang kapalaran sa bitcoin .

　　Palaging i-back-up ang iyong Mga Pribadong Susi o Binhi - malinaw na nagsasagawa ng naaangkop na mga hakbang sa seguridad at nag-iimbak sa isang hiwalay na lokasyon, mas mabuti nang offline. Huwag gumamit ng bagay na nabubulok, tulad ng papel, o anumang bagay na nasisira.

　　Kung gagamit ka ng Hard Wallet ( higit pa sa mga wallet sa pangkalahatan dito ) malamang na magkakaroon ka ng ilang layer ng seguridad at kahinaan: mga kredensyal para sa serbisyo ng dashboard (hal. Ledger Live), isang pin para ma-access ang device at ang Seed. Sa mga iyon, ang Binhi ay pinakamahalaga, kung ang lahat ay mabibigo, na magbibigay-daan sa iyo na mabawi ang iyong mga barya.

　　Ang pinakahuling solusyon upang maprotektahan ang iyong binhi ay ang pag-ukit ng mga parirala sa metal na lumalaban sa kaagnasan, init at presyon. Ang kilalang ebanghelista ng Bitcoin, si Jameson Lopp, ay lumikha ng isang kamangha-manghang pagsusuri ng pinakamahusay na mga pagpipilian sa pag-ukit ng buto ng metal .

　　Siyempre kailangan mong iimbak ang metal na ukit sa isang lugar na ligtas, na naglalarawan na ang pera (o Bitcoin) ay kailangang huminto sa isang lugar.

　　Phishing

　　Ang pag-iingat laban sa phishing ay dapat na isang bagay na pinag-iingat mo na kapag gumagamit ng anumang online na serbisyo. Ito ay tumutukoy sa mga pagtatangka na linlangin ka sa pag-download ng malisyosong software na maaaring makompromiso ang iyong computer, o mga site ng panggagaya na pagkatapos ay aanihin ang iyong mga detalye at mag-access ng mga pondo/data.

　　Partikular na nauugnay ito para sa mga serbisyo sa pag-iingat, kung saan napakakaraniwan ang mga email sa phishing at pekeng website, ngunit hindi immune ang mga opsyon na hindi pang-custodial.

　　Ang Ledger, ang gumagawa ng isang sikat na hard wallet, ay nagkaroon ng database ng mga detalye ng customer na na-hack noong Hulyo 2020, kabilang ang mga email address. Ang mga customer na iyon ay naging mga target para sa phishing.

　　Gayundin, ang mga serbisyong nakabatay sa browser ay kadalasang tina-target ng mga pekeng website, na pagkatapos ay nanlinlang ng mga user sa pag-download ng malware ng mga detalye ng pag-aani.

　　Upang magbantay laban sa email phishing:

　　• Gumamit ng naka-encrypt na serbisyo sa email tulad ng Protonmail at gamitin lamang ito para sa mahahalagang serbisyo

　　• Kung hindi ka sigurado kung ang isang email ay tunay, tingnan ang aktwal na address sa pagpapadala sa halip na ang nakikitang pangalan ng pagpapadala; ito ay karaniwang isang giveaway

　　• Ang mga tunay na serbisyo ay madalas na sumangguni sa iyo sa pamamagitan ng pangalan, ang mga email sa Phishing ay hindi

　　• Ang nilalaman ng mga email sa Phishing ay kadalasang hindi maganda ang pagkakasulat o pagka-format

　　Brute Force Attack

　　Ito ay isa sa mga pinakaluma at pinaka-halatang pamamaraan para sa pagsubok na magnakaw ng password ng isang tao, na nagpapatakbo ng software na umiikot sa pamamagitan ng mga pagpipilian sa password. Magagamit ito kasabay ng impormasyong nalalaman tungkol sa user mula sa OSINT - Open Source Intelligence.

　　Ang pinakamahusay na paraan upang mabawasan ang ganitong uri ng banta ay ang paggamit ng two-factor authentication (2FA), isang pangalawang layer ng detalye ng pag-access na bumubuo ng isang hiwalay na pinagmulan, karaniwan ay ang iyong mobile phone.

　　Anumang disenteng palitan ay magpapatupad o mahigpit na hikayatin ang paggamit ng 2FA, ngunit mahalagang iwasan ang paggamit ng teksto para sa 2FA, gaya ng ipinapaliwanag ng susunod na paksa.

　　Ang dalawang pinakakaraniwang 2FA provider ay ang Google Authenticator o Authy.

　　Pag-hijack ng SMS

　　Dahil hinihikayat pa lamang ang paggamit ng 2FA bilang pamantayan para sa mga serbisyo sa pangangalaga, kailangan na nating bigyan ng babala na ang pagpili ng SMS bilang 2FA ay maaaring lumikha ng isang malubhang kahinaan sa pamamagitan ng pag-hijack ng SMS.

　　Kung alam ng mga umaatake ang iyong mobile number at provider, at nakakuha sila ng personal na impormasyon mula sa OSINT, maaari ka nilang gayahin bilang iyong Mobile Service Provider at humiling ng kapalit na SIM na ipadala sa kanila.

　　Nagbibigay ito sa kanila ng access sa 2FA code, na gagamitin kasabay ng brute force attack.

　　Ang solusyon ay palaging gumamit ng App based na 2FA tulad ng Google Authenticator o Authy. Ang device na nagpapatakbo ng App ay nagiging isang punto ng kahinaan, dahil ang sinumang nawalan ng kanilang telepono ay pahahalagahan.

　　Maiiwasan ito sa pamamagitan ng pag-iimbak ng iyong mga backup na code ng 2FA, na ibinigay kapag nag-set up ka ng 2FA. Kung wala ang 2FA back-up, ang pagkuha ng 2FA reset ay nangangailangan sa iyo na dumaan sa isang matrabahong proseso ng pag-record ng selfie/video na may ilang ID at isang sulat-kamay na tala.

　　Na-update ng Google ang Authenticator noong Mayo 2020, ang una sa loob ng tatlong taon, na ginagawang simple ang pag-export/pag-import ng mga 2FA code, na malugod na tinatanggap, ngunit hindi nakakatulong kung mawala mo ang iyong telepono o mamatay ito.

　　DNS Spoofing

　　Noong Nobyembre 2020, ang sikat na serbisyo ng crypto na si Celsius ay naging biktima ng isang DNS attack, na kinasasangkutan ng isang attacker na kinukumbinsi ang kanilang DNS provider - Godaddy - na mahalagang baguhin ang site na inihahatid sa likod ng kanilang App.

　　Mahirap itong pagaanin, maliban sa pagiging mapagbantay, o sa kaso ng Celsius na hinuhusgahan ang kaligtasan ng isang serbisyo sa pamamagitan ng kung gaano nila kaseryoso ang pagtrato sa kanilang DNS set-up.

　　In-Person Attack

　　Hinayaan namin itong tumagal dahil dapat lang itong alalahanin kung mayroon kang malaking halaga ng crypto. Mayroong, sa mga bihirang pagkakataon, ang mga pagkakataon kung saan ang mga indibidwal na kilala na nagtataglay ng malaking halaga ng cryptocurrency ay kinidnap/kinakikil upang bigyan ng access ang kanilang mga pondo.

　　Dahil ang Ledger Attack, na binanggit sa itaas, ay nag-leak ng mga postal address ng mga customer, maraming usapan sa social media tungkol sa panganib na ito mula sa galit na mga customer. Gayunpaman, walang aktwal na naiulat na mga pagkakataon ng pag-atake nang personal dahil mas mapanganib ito kaysa sa mga nakalistang opsyon sa online.

　　Bagama't umiiral ang panganib na ito sa anumang sitwasyon kung saan nababahala ang portable na kayamanan - mga mamahaling relo, alahas at mga collectible - ang crypto ay isang partikular na target dahil mahirap itong i-insure at maaaring mahirap ma-trace/mabawi.

　　Kung ito ay isang bagay na nag-aalala sa iyo, sa unang pagkakataon ay huwag isapubliko ang katotohanan na nagmamay-ari ka ng crypto, na kinabibilangan saanman online o sa sinumang hindi mo tahasang pinagkakatiwalaan.

　　Dapat mo ring isipin ang tungkol sa isang bagay na tinatawag na Multi-Signature, na mahalagang nangangailangan ng higit sa isang tao upang aprubahan ang isang transaksyong crypto.

　　Nagbibigay ito ng kapani-paniwalang pagkakatanggi. Tingnan ang keys.casa para sa isang cost-effective na multi-sig na serbisyo sa seguridad.

　　Ang pag-aaral tungkol sa, at pamumuhunan sa crypto ay maaaring maging isang napakalaking mapagpalayang karanasan. Ito ay isang pagpapahayag ng pinansiyal na soberanya, ngunit kung pinutol mo ang isang awtoridad - tulad ng isang bangko - mula sa iyong buhay pinansyal, ikaw ay magiging responsable sa huli, kaya't kailangan mong malaman ang pinakamahusay na kasanayan para sa pagpapanatiling ligtas ng iyong crypto at pagtiyak sa iyo. madaling matulog sa gabi.