Cara menggunakan crypto: Praktik keamanan terbaik

Apa yang akan Anda pelajari

　　● Anda pada akhirnya bertanggung jawab atas kripto Anda

　　● Hal-hal yang harus dilindungi; kehilangan & pencurian yang tidak disengaja

　　● Praktik terbaik & tidur nyenyak di malam hari

　　Jika Anda telah mencapai tahap ini dalam rangkaian artikel kami tentang cara menggunakan cryptocurrency, Anda telah menginvestasikan banyak waktu dan semoga sebagian dari uang Anda; mempraktekkan apa yang telah Anda pelajari dan memiliki kripto Anda sendiri.

　　Semua upaya dan nilai potensial itu akan sia-sia jika Anda tidak tahu untuk melindungi cryptocurrency Anda dari kehilangan atau pencurian, itulah yang sekarang akan dijelaskan oleh artikel ini.

Kembali ke Konsep Penitipan

　　Jika Anda membaca artikel pertama di bagian ini, Anda akan terbiasa dengan konsep asuh, yang merupakan inti dari kepemilikan mata uang kripto. Penitipan mengacu pada bagaimana Anda mengelola tanggung jawab untuk satu bagian penting dari informasi yang memungkinkan kendali atas kripto Anda - Kunci Pribadi atau Seed.

　　Karena cryptocurrency bekerja tanpa otoritas pusat seperti bank, kepemilikan adalah kepemilikan, dan hanya bermuara pada salah satu ide terpenting yang dapat Anda pelajari: 'Bukan kunci Anda, bukan koin Anda'

　　Penitipan hanya mengacu pada dua opsi untuk tanggung jawab utama kunci-kunci itu; Anda dapat memikul tanggung jawab penuh sendiri, atau memercayai orang lain untuk menjaganya.

• 　　Rawat crypto sendiri - non-penahanan

• 　　Percayai orang lain untuk menjaga crypto Anda - Gunakan layanan kustodian

　　Terserah Anda untuk memutuskan opsi mana yang terbaik untuk Anda, memahami ancaman kehilangan dan pencurian khusus untuk dua opsi - Kustodian & Non-Penahanan.

　　Keputusan Anda juga akan tergantung pada seberapa banyak crypto yang Anda miliki, yang pada gilirannya akan berhubungan dengan tingkat keparahan potensi risiko terhadap keamanannya..

Kehilangan data/detail akses

　　Jika Anda memutuskan untuk membiarkan pertukaran atau dompet seluler menjaga crypto Anda, titik kegagalan yang paling jelas adalah melupakan detail yang memungkinkan Anda mengakses layanan itu.

　　Pada contoh pertama ini berarti Nama Pengguna dan Kata Sandi Anda, yang harus Anda ambil tindakan yang tepat untuk menjadi kuat/unik dan disimpan dengan aman. Jika Anda menyimpan kredensial tersebut melalui layanan lain, seperti akun Google Anda atau LastPass, itu pada gilirannya menjadi titik kelemahan.

　　Selain itu, akses ke alamat email Anda umumnya diperlukan untuk menyetujui tindakan utama, seperti menyetujui penarikan, atau menyiapkan fitur keamanan lainnya, jadi berhati-hatilah untuk mengingat detail akses tersebut. ke, yang merupakan lapisan akses penting lainnya.

　　Jika Anda mengambil opsi non-penahanan - pendekatan DIY - hilangnya detail akses akan berhubungan langsung dengan Kunci Pribadi atau Benih Anda. Jika Anda belum pernah mendengarnya.

• €337.500.000

• Nilai 7.500 bitcoin yang pada tahun 2013 James Howells secara tidak sengaja membuang, disimpan sebagai Kunci Pribadi di hard drive laptop

　　Selalu cadangkan Kunci Pribadi atau Seed Anda - tentu saja mengambil langkah-langkah keamanan yang sesuai dan menyimpan di lokasi terpisah, sebaiknya offline. Jangan gunakan sesuatu yang mudah rusak, seperti kertas, atau apa pun yang dapat rusak.

　　Jika Anda menggunakan Dompet Keras, Anda mungkin memiliki beberapa lapisan keamanan dan kelemahan: kredensial untuk layanan dasbor (misalnya Ledger Live), pin untuk mengakses perangkat dan Seed. Dari semua itu, Seed adalah yang paling penting, jika semuanya gagal, itu akan memungkinkan Anda untuk memulihkan koin Anda.

　　Solusi utama untuk melindungi Seed Anda adalah dengan mengukir frase menjadi logam yang tahan korosi, panas dan tekanan. Penginjil Bitcoin terkenal, Jameson Lopp, telah membuat ulasan yang luar biasa tentang opsi pengukiran penyimpanan Seed terbaik.

　　Tentu saja Anda kemudian perlu menyimpan ukiran logam itu di tempat yang aman, yang menggambarkan bahwa uang (atau Bitcoin) harus berhenti di suatu tempat.

Phishing

　　Menjaga terhadap phishing harus menjadi sesuatu yang sudah Anda waspadai saat menggunakan layanan online apa pun. Ini mengacu pada upaya untuk menipu Anda agar mengunduh perangkat lunak berbahaya yang kemudian dapat membahayakan komputer Anda, atau situs spoof yang kemudian akan memanen detail Anda dan mengakses dana/data.

　　Ini sangat relevan untuk layanan kustodian, di mana email phishing dan situs web palsu sangat umum, tetapi opsi non-penahanan tidak kebal.

• 　　Ledger, pembuat dompet keras yang populer, memiliki database detail pelanggan yang diretas pada Juli 2020, termasuk alamat email. Pelanggan tersebut kemudian menjadi target phishing.

　　Demikian pula, layanan berbasis browser sering ditargetkan dengan situs web palsu, yang kemudian mengelabui pengguna agar mengunduh malware dengan rincian panen.

　　Untuk menjaga dari phishing email:

　　● Gunakan layanan email terenkripsi seperti Protonmail dan gunakan hanya untuk layanan penting

　　● Jika Anda tidak yakin apakah email itu asli, periksa alamat pengiriman yang sebenarnya, bukan hanya nama pengirim yang terlihat; ini biasanya merupakan hadiah

　　● Layanan otentik akan sering merujuk Anda dengan nama, email phishing tidak

　　● Isi email phishing sering ditulis atau diformat dengan buruk

Brute Force Attack

　　Ini adalah salah satu teknik tertua dan paling jelas untuk mencoba mencuri kata sandi seseorang, menjalankan perangkat lunak yang berputar melalui opsi kata sandi. Ini dapat digunakan bersama dengan informasi yang diketahui tentang pengguna dari OSINT - Intelijen Sumber Terbuka.

　　Cara terbaik untuk mengurangi ancaman semacam ini adalah dengan menggunakan otentikasi dua faktor (2FA), lapisan kedua dari detail akses dari sumber terpisah, biasanya ponsel Anda.

　　Pertukaran yang layak akan memberlakukan atau sangat mendorong penggunaan 2FA, tetapi penting untuk menghindari penggunaan teks untuk 2FA, seperti yang dijelaskan oleh subjek berikutnya.

　　Dua penyedia 2FA yang paling umum adalah Google Authenticator atau Authy.

Pembajakan SMS

　　Anda baru saja mengaplikasikan penggunaan 2FA sebagai standar untuk layanan kustodian, sekarang kami harus memperingatkan bahwa memilih SMS sebagai 2FA dapat menciptakan kerentanan serius melalui pembajakan SMS.

　　Jika penyerang mengetahui nomor ponsel dan penyedia Anda, dan telah mengumpulkan informasi pribadi dari OSINT, mereka dapat menyamar sebagai Anda dengan Penyedia Layanan Seluler Anda dan meminta SIM pengganti dikirimkan kepada mereka.

　　Ini memberi mereka akses ke kode 2FA, yang akan digunakan bersama dengan serangan brute force.

　　Solusinya adalah selalu menggunakan 2FA berbasis Aplikasi seperti Google Authenticator atau Authy. Perangkat yang menjalankan Aplikasi itu sendiri kemudian menjadi titik kelemahan, karena siapa pun yang kehilangan ponsel akan menghargainya.

　　Ini dapat dihindari dengan menyimpan kode cadangan 2FA Anda, yang disediakan saat Anda mengatur 2FA. Tanpa pencadangan 2FA, mendapatkan 2FA reset mengharuskan Anda melalui proses yang melelahkan untuk merekam selfie/video dengan beberapa ID dan catatan tulisan tangan.

　　Google memperbarui Authenticator pada Mei 2020, yang pertama dalam tiga tahun, membuatnya mudah untuk mengekspor/mengimpor kode 2FA, yang diterima, tetapi tidak membantu jika Anda kehilangan ponsel atau mati.

DNS Spoofing

　　Pada bulan November 2020, layanan kripto populer Celsius adalah korban serangan DNS, yang melibatkan penyerang yang meyakinkan penyedia DNS mereka - Godaddy - untuk mengubah situs yang disajikan di belakang Aplikasi mereka.

　　Ini sulit untuk dimitigasi, selain waspada, atau dalam kasus Celsius yang menilai keamanan suatu layanan dengan seberapa serius mereka memperlakukan pengaturan DNS mereka.

Serangan In-Person

　　Kami membiarkan yang satu ini bertahan karena seharusnya hanya menjadi perhatian jika Anda memiliki jumlah crypto yang sangat signifikan. Ada, pada kesempatan langka, ada kasus di mana individu yang diketahui memiliki sejumlah besar cryptocurrency telah diculik/diperas untuk memberikan akses ke dana mereka.

　　Karena Ledger Attack, yang disebutkan di atas, membocorkan alamat pos pelanggan, ada banyak pembicaraan di media sosial tentang bahaya ini dari pelanggan yang marah. Namun, tidak ada contoh nyata serangan langsung yang dilaporkan karena jauh lebih berisiko daripada opsi online yang terdaftar.

　　Meskipun risiko ini ada dalam keadaan apa pun yang menyangkut kekayaan portabel - jam tangan mahal, perhiasan, dan barang koleksi - kripto adalah target khusus karena sulit untuk diasuransikan dan sulit dilacak/dipulihkan.

　　Jika ini adalah sesuatu yang mengkhawatirkan Anda, pertama-tama jangan mempublikasikan fakta bahwa Anda memiliki kripto, yang mencakup di mana saja secara online atau dengan siapa pun yang tidak Anda percayai secara eksplisit.

　　Anda juga harus memikirkan sesuatu yang disebut Multi-Signature, yang pada dasarnya membutuhkan lebih dari satu orang untuk menyetujui transaksi kripto.

　　Ini memberikan penyangkalan yang masuk akal. Lihat keys.casa untuk layanan keamanan multi-tanda yang hemat biaya.

　　Mempelajari, dan berinvestasi dalam crypto bisa menjadi pengalaman yang sangat membebaskan. Ini adalah ekspresi kedaulatan finansial, tetapi jika Anda memotong otoritas - seperti bank - dari kehidupan finansial Anda, Anda menjadi yang paling bertanggung jawab, jadi setidaknya perlu menyadari praktik terbaik untuk menjaga keamanan kripto Anda dan memastikan Anda tidur nyenyak di malam hari.