Как обезопасить вашу криптовалюту

0

: Unsplash

Безопасность – это важно. Хоть это и очевидно, больно видеть, как мало знает о безопасности большинство людей. Так же больно видеть, как эксперты полагают, что все одинаково хорошо понимают проблемы безопасности, и разрабатывают или советуют продвинутые настройки, которые сложно использовать и в которых легко допустить ошибку. Сегодня давайте почитаем, что гендиректор крупнейшей в мире криптобиржи Binance Чанпен Чжао советует своим последователям, чтобы те могли не беспокоиться за сохранность своих средств. Как говорится, чтобы «FUNDS» всегда были «SAFU».

Безопасность – обширная тема, и я ни в коем случае не эксперт в какой-либо области, но я наблюдал многие проблемы безопасности, с которыми сталкивались люди. Так как цены криптовалют в последнее время растут и рынок оживился, в сектор снова приходит много новичков. В этой статье я постараюсь простыми словами объяснить, как безопасно хранить криптовалюту:

  1. Основы безопасности.
  2. Зачем и как хранить монеты самостоятельно
  3. Зачем и как держать монеты на централизованной бирже
  4. Кое-какие другие вопросы

Прежде всего, нет ничего на 100% безопасного. Если наша планета столкнётся с астероидом, ваши средства вряд ли будут в безопасности, как бы вы их ни хранили. Да, можно хранить их в космосе, но надолго ли их хватит и сколько они будут стоить, когда Земля исчезнет? Наверное, вам тогда уже будет всё равно. Таким образом, на самом деле нужно спрашивать: достаточно ли это безопасно?

Давайте определим, что значит «достаточно безопасно». Для разных людей и задач это понятие различается. Если вы держите в своём кошельке для текущих расходов $100, наверное, сверхвысокая безопасность вам не нужна. Скорее всего, мобильного кошелька будет достаточно. Если же вы держите миллионы долларов или все свои сбережения, тогда вам понадобятся более сильные меры безопасности. В этой статье мы будем исходить из того, что вы пытаетесь обезопасить существенные суммы.

Чтобы обезопасить свои монеты, нужны следующие три составляющих:

  1. Защититься от кражи.
  2. Защититься от потери.
  3. Иметь возможность передать их вашим близким, если с вами что-то случится.

Просто, правда? Но чтобы всё это сделать правильно, нужны определённые знания, усилия и усердие, о которых большинство людей не догадываются или которыми они пренебрегают.

Так что давайте разберёмся.

Зачем и как хранить монеты самостоятельно

Твои ключи – твои средства?

Многие авторитеты решительно заявляют, что криптовалюта будет в безопасности, только если хранить её самостоятельно, не задумываясь о том, насколько технически сложно это для среднего человека. Действительно ли это лучший совет? Рассмотрим этот вариант подробнее.

Знаете ли вы, как выглядит приватный ключ Биткойна? Как-то так: KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p

То есть это просто строка символов. Тот, у кого есть её копия, может распоряжаться биткойнами, находящимися по соответствующему адресу.

Есть также такое понятие, как seed-фраза. Это набор из 12 или 24 обычных английских слов в определённой последовательности. С их помощью можно сгенерировать приватный ключ. Такие seed-фразы используют многие кошельки. Далее в статье мы будем говорить о приватных ключах, но большинство процедур и рекомендаций применимы и к seed-фразам.

Но вернёмся к нашей теме. Чтобы безопасно хранить криптовалюту самостоятельно, нужно:

  1. Обезопаситься от попадания ваших приватных ключей в чужие руки; защититься от хакеров, вирусов и т. д.
  2. Защититься от потери приватных ключей; иметь резервные копии на случай потери или повреждения устройств и надёжно их хранить.
  3. Иметь возможность передать ваши приватные ключи близким в случае вашей смерти. Это неприятный сценарий, но ответственные взрослые люди должны учитывать такой риск.

Рассмотрим каждый пункт подробнее.

1. Защитите ключи от чужаков

Тут всё очевидно. Мы все слышали о хакерах, вирусах, троянах и т. д. Нельзя подпускать их к устройству, на котором вы держите монеты.

Чтобы добиться этого с достаточной надёжностью, ваше устройство не должно быть подключено к интернету и на него не следует загружать какие-либо файлы. Как же использовать такое устройство, чтобы безопасно отправлять и получать криптовалюту?

Рассмотрим, какие устройства можно использовать.

Настольный ПК

Компьютер – очевидный и часто самый гибкий вариант. Если решите держать монеты на ПК, то он не должен быть подключён к интернету или какой-либо другой сети. Если вы подключите его к сети, в него может проникнуть хакер, воспользовавшись каким-нибудь багом операционной системы или используемых вами программ. Любая программа имеет какие-то баги.

Как установить ПО на компьютер, не подключённый к интернету? С диска или флешки. Убедитесь, что они чисты от вирусов. Просканируйте их хотя бы 3 разными антивирусами. Скачайте нужное ПО (операционную систему и кошелёк) на флешку, подождите 72 часа и затем проверьте новости, не выявили ли каких-либо проблем с безопасностью этого ПО или сайта, с которого вы его скачивали. Бывали случаи, когда взламывали даже официальные сайты и заменяли скачиваемые файлы трояном. Скачивать ПО следует только с официальных сайтов. Также стоит использовать только ПО с открытым исходным кодом (open-source), чтобы снизить вероятность бэкдоров. Даже если вы сами не программист, открытый код просматривают специалисты, поэтому вероятность бэкдоров у него ниже. Это значит, что в качестве ОС стоит использовать стабильную версию Linux (не Windows или Mac), а программный кошелёк – исключительно с открытым кодом.

После того как вы всё установили, можно использовать чистую флешку, чтобы подписывать транзакции офлайн. Для разных кошельков это выглядит по-разному, поэтому мы не будем на этом останавливаться. Кроме Биткойна, многие монеты не имеют кошельков, поддерживающие офлайн-подписи.

Также следует убедиться в физической безопасности устройства. Если кто-то его у вас украдёт, то сможет получить к нему доступ. Поэтому убедитесь, что ваш жёсткий диск использует сильное шифрование, так что даже если кто-то им завладеет, то не сможет прочитать. Разные операционные системы предлагают разные инструменты для шифрования. Опять же, это выходит за рамки этой статьи; в интернете есть много инструкций.

Если вы способны хорошо справиться со всем вышеописанным, то, пожалуй, дальше можно не читать. Если же кажется, что вам это не подходит, то есть и другие варианты.

Мобильный телефон

Можно также использовать мобильный телефон. Сейчас телефоны без рутинга/джейлбрейка, как правило, более безопасны, чем компьютер, потому что приложения работают в изолированной среде. Версий Android слишком много, чтобы за всеми уследить, поэтому я обычно рекомендую использовать iPhone. Опять же, для кошелька следует использовать отдельный телефон, а не тот, которым вы пользуетесь каждый день. Нужно сбросить телефон до заводских настроек. Затем просто установите кошелёк, и больше ничего. Телефон нужно всегда держать в «самолётном» режиме, кроме тех случаев, когда вы используете кошелёк для переводов. Также советую использовать для этого телефона отдельную SIM-карту и подключаться к интернету только через 4G. Никогда не подключайте телефон к вай-фаю. Подключайтесь к интернету, только когда подписываете транзакции и обновляете ПО. Как правило, это безопасно, если вы не храните в кошельке супербольшие суммы.

Некоторые мобильные кошельки предлагают возможность подписывать транзакции офлайн (с помощью сканирования QR-кода), так что телефон не нужно подключать к интернету. Так исключается возможность, когда кошелёк имеет бэкдор или отправляет данные разработчику, что случалось в прошлом даже с официальными версиями. Однако вы не сможете обновить кошелёк или ОС. Чтобы обновить ПО, надо использовать другой телефон, установить на него новую версию приложения, перевести его в самолётный режим, сгенерировать новый адрес, создать резервную копию (см. дальше) и затем отправить средства на новый телефон. Не очень удобно. Кроме того, такие кошельки поддерживают ограниченное число монет/блокчейнов.

Стоит также убедиться в физической безопасности телефона. Хотя в последних версиях iPhone диски полностью зашифрованы, сообщается об устройствах, якобы способных разблокировать iPhone при наличии физического доступа, путём взлома PIN-кода.

Аппаратные кошельки

Также можно использовать аппаратный кошелёк. Данные устройства специально предназначены для хранения приватных ключей, чтобы не нужно было держать их на компьютере или телефоне. Транзакции подписываются на самом устройстве. Но нет ничего на 100% надёжного. Аппаратные кошельки могут иметь баги в прошивке, ПО и т. д. На рынке много разных аппаратных кошельков. Обычно советуют выбирать более старые, зарекомендовавшие себя марки, так как они лучше проверены. Об одной из двух ведущих марок аппаратных кошельков неоднократно сообщалось, что если хакер получит физический доступ к устройству, то сможет легко извлечь приватные ключи. Поэтому нужно удостовериться, что устройство хранится в безопасности. Кроме того, почти все аппаратные кошельки требуют взаимодействия с ПО, установленным на компьютере или мобильном телефоне. Так что здесь также надо убедиться, что ваш компьютер или телефон свободен от вирусов и т. п. Существуют вирусы, меняющие в последний момент адрес получателя, и т. д. Поэтому внимательно проверьте, на какой адрес отправляются средства. Хотя аппаратные кошельки защищают от базовых уязвимостей, позволяющих хакерам украсть приватные ключи, я всё равно настоятельно рекомендую применять их вместе с чистым компьютером, который не используется ни для чего другого, и с максимальными настройками файрвола. Однако в целом аппаратные кошельки – хороший вариант, если вы хотите хранить монеты самостоятельно. Основная проблема аппаратных кошельков связана с тем, как вы храните резервные копии, о чём мы поговорим ниже.

Есть также много других видов кошельков и устройств. Я не могу здесь рассмотреть их все, но выше перечислены самые стандартные. Итак, обсудив, как снизить (но не устранить) вероятность попадания ваших ключей в чужие руки, мы объяснили примерно треть того, что касается самостоятельного хранения монет.

2. Обезопасьтесь от потери ключей

Можно потерять устройство, на котором хранятся ваши монеты, или же оно может быть повреждено. Поэтому вам нужны резервные копии.

Здесь также есть много разных подходов. Каждый из них имеет свои плюсы и минусы. В идеале стоит иметь несколько резервных копий, находящихся в разных местах и недоступных другим (зашифрованных).

Бумажные кошельки

Можно записать их на бумаге. Это рекомендуют некоторые кошельки, использующие seed-фразы, поскольку записать 12 или 24 английских слова относительно несложно. В случае же приватных ключей можно запросто перепутать прописные и строчные буквы или, например, 0 и O из-за неразборчивого почерка, и потом будет сложно понять, что не так. Но у бумаги есть также ряд других проблем. Она легко может быть:

  • Утрачена – например, выброшена вместе с другими бумагами;
  • Повреждена – в огне или воде;
  • Прочитана другими – так как нет шифрования.
  • Некоторые хранят бумажные ключи в банковских сейфах. Но я в целом не советую этот вариант по причинам, приведённым выше.

    Не стоит также фотографировать бумажку (или делать снимок экрана), загружать файл в облачное хранилище и думать, что это безопасная резервная копия. Если хакер взломает вашу электронную почту или компьютер, то легко найдёт этот файл. Кроме того, его копии могут храниться в нескольких местах, и кто-то из сотрудников облачного сервиса может иметь к ним доступ.

    Металлические пластины

    Существуют металлические пластины, созданные специально для хранения seed-фраз. Их практически невозможно уничтожить, что решает проблему повреждения огнём или водой. Но они не решают проблему потери или лёгкости прочтения, если кто-то получит к ним физический доступ. Опять же, некоторые хранят их в банковском сейфе, обычно вместе с золотом или другим металлом. Думаю, это будет просто для тех, кто уже держит металлы. Но если выберете этот подход, следует понимать его ограничения и риски.

    Интересное по теме: Стресс-тест металлических пластин для фразы восстановления Биткойн-кошелька

    USB-флешки

    Лично я рекомендую использовать несколько флешек, но это несколько технически сложнее. Существуют флешки, устойчивые к ударам, воде, огню и магнитному полю. Можно хранить зашифрованные резервные копии приватных ключей на нескольких таких флешках, находящихся в разных местах. Это соответствует всем упоминавшимся выше требованиям: разные места, сложно повредить или потерять и сложно прочитать посторонним. Ключевое значение здесь имеет сильное шифрование. Для этого на рынке есть много инструментов, и они всё время эволюционируют. VeraCrypt – хороший инструмент для новичков, обеспечивающий приличный уровень шифрования. В своё время пользовался популярностью TrueCrypt – предшественник VeraCrypt, – но затем в нём обнаружили уязвимости, так что его разработку прекратили. Поэтому рекомендуется провести самостоятельные исследования, чтобы подобрать себе лучшие и актуальные инструменты для шифрования. Также важно не отдавать резервные копии, пусть даже зашифрованные, сторонним лицам. Кроме того, рекомендуется периодически менять приватные ключи (генерировать новые и переводить на них средства со старых).

    3. Позаботьтесь о близких

    Мы не бессмертны. Поэтому стоит задуматься о наследстве. Криптовалюта позволяет легко передать богатство наследникам с минимальным вмешательством третьих сторон.

    Опять же, для этого есть несколько способов.

    Если вы используете подход с низким уровнем безопасности, такой как бумажный кошелёк или металлические пластины, то можете просто поделиться ими со своими наследниками. Конечно, это имеет потенциальные недостатки. Если ваши наследники молоды или недостаточно технически подкованы, они могут быть не в состоянии безопасно хранить резервные копии. Если они допустят оплошность, хакер запросто может украсть через них ваши средства. Они также могут в любой момент воспользоваться вашими деньгами. Возможно, вы этого не хотите, в зависимости от уровня доверия к ним.

    Настоятельно рекомендую ни с кем не делиться ключами, какие бы отношения вас ни связывали с человеком, по той простой причине, что если средства исчезнут, невозможно будет выяснить, кто за это ответственен.

    Интересно почитать: Умирают люди, но не криптовалюты

    Можно оставить бумажный кошелёк или металлические пластины в банковском сейфе или у адвоката. Но если кто-то из причастных заполучит копию ключей, то он сможет воспользоваться средствами, почти не оставив следов. Это не то же самое, как когда адвокаты должны обратиться в банк, чтобы перевести средства с вашего счёта наследникам.

    Если вы используете флешку, то есть способы более безопасно передать богатство наследникам. Но, опять же, требуется больше настроек.

    Существуют онлайн-сервисы, известные как «переключатели мертвеца». Они периодически (например, раз в месяц) отправляют вам сообщения. В ответ вы должны кликнуть по ссылке или залогиниться. Если вы за определённое время не отреагируете, сервис будет считать вас мёртвым и разошлёт письма с заданным содержанием выбранным вами получателям. Не могу поручиться за какой-то конкретный сервис; вам стоит погуглить и протестировать их самостоятельно. Вообще говоря, Google тоже имеет «переключатель мертвеца». В его настройках есть опция, позволяющая предоставить доступ к вашему аккаунту другому человеку, если вы не заходили три месяца. Я лично не пробовал этот вариант, так что не могу за него поручиться. Протестируйте сами.

    Если вы думаете: «Отлично, я просто включу приватные ключи в электронное письмо своим детям», – то, пожалуйста, ещё раз перечитайте эту статью с самого начала.

    Если же вы думаете, что можно включить в это письмо пароли, с помощью которых вы зашифровали флешку с приватными ключами, чтобы ваши близкие могли её разблокировать, то это уже ближе к истине, но не совсем. Не стоит держать пароли от ваших резервных копий на сервере в интернете. Это значительно ослабляет безопасность ваших резервных копий/средств.

    Если вы думаете, что можно зашифровать письмо, содержащее пароли от флешки, с помощью другого пароля, то вы на верном пути. На самом деле второй пароль не нужен. Существует проверенный инструмент для шифрования электронной почты, известный как PGP (или GPG), который вам и следует использовать. PGP – это один из первых инструментов, где использовалось асимметричное шифрование (оно же используется и в Биткойне). Я не буду приводить здесь полную инструкцию по PGP, так как её можно найти в сети. Если кратко, то ваши близкие должны сгенерировать собственный приватный ключ с помощью PGP, а вы должны зашифровать своё послание им на случай вашей смерти с помощью их публичного ключа. Так ваше послание смогут прочитать только они. Данный метод относительно безопасный, но ваши близкие должны быть в состоянии надёжно хранить свой частный ключ и не потерять его. И, разумеется, они должны уметь пользоваться PGP-почтой, что требует некоторых технических навыков.

    Если вы сможете выполнить вышеприведённые рекомендации, то достигнете базового (не продвинутого) уровня, чтобы самостоятельно хранить значительные суммы в криптовалюте. Можно было бы обсудить и другие темы, такие как мультиподписи, пороговые подписи и т. д., но, пожалуй, они относятся к более продвинутому уровню.

    Использование бирж

    В этой статье мы будем рассматривать централизованные биржи, хранящие ваши средства.

    Возможно, прочитав предыдущую часть, вы подумали: «Это всё очень сложно. Пожалуй, буду просто держать монеты на бирже». Использование бирж также не лишено рисков. Хотя биржи отвечают за хранение средств и безопасность своих систем, нужно придерживаться надлежащих практик, чтобы защитить свой аккаунт.

    Используйте только крупные биржи с хорошей репутацией

    Для этого есть веские причины. Не все биржи одинаковы.

    Большие биржи много вкладывают в безопасность – иногда сотни миллионов долларов, так как это оправдано для масштабов их бизнеса. Это охватывает много аспектов: оборудование, сети, процедуры, персонал, мониторинг рисков, большие данные, искусственный интеллект, обучение, исследования, тестирование, партнёры и даже взаимодействие с правоохранительными органами в разных странах. Для надлежащей безопасности требуется немало денег, людей и усилий. У меньших бирж просто нет для этого нужного размаха или финансовых средств. Возможно, кому-то это не понравится, но по этой причине я часто говорю, что для большинства простых людей использовать надёжную централизованную биржу безопаснее, чем хранить монеты самостоятельно.

    Обманутый вкладчик печально известной и когда-то наиболее крупной криптовалютной биржи Mt.Gox. Из-за хакерской атаки биржа потеряла 850 тыс. BTC.

    Здесь присутствует контрагентский риск. Многие малые/новые биржи изначально создаются как скам. Они собирают какое-то количество средств и затем исчезают. По этой же причине избегайте «бездоходных» бирж или тех, что предлагают нулевые комиссии, большие скидки и прочее, что не способствует их прибыли. Если они не стремятся получить надлежащую прибыль со своего бизнеса, то, возможно, их единственная цель – это ваши средства. Надлежащая безопасность стоит недёшево и требует устойчивой бизнес-модели для её финансирования. Не экономьте на безопасности, когда речь идёт о ваших средствах. Большие прибыльные биржи не мотивированы исчезать с вашими средствами. Если у тебя уже есть прибыльный и устойчивый бизнес, приносящий миллиарды долларов, зачем красть несколько миллионов, чтобы жить скрываясь и в страхе?

    Большие биржи также лучше проверены в плане безопасности. Да, риски всё же есть. Для хакеров большие биржи – более лакомый кусок. Но хакеры одинаково часто атакуют и меньшие биржи, так как они более лёгкая добыча. Большие биржи обычно нанимают 5-10 фирм для периодического тестирования безопасности. Некоторые биржи также используют искусственный интеллект, способный блокировать попытки хакеров вывести пользовательские средства через подмену SIM-карты или взлом электронной почты. Меньшие биржи не могут этого обеспечить, даже если хотели бы, так как у них нет больших данных.

    Как защитить аккаунт?

    Очевидно, что при использовании бирж важно обезопасить свой аккаунт. Начнём с самого основного.

    1. Защитите свой компьютер

    Опять же, ваш ПК часто самое слабое звено в цепочке безопасности. По возможности используйте для доступа к своему аккаунту на бирже специально выделенный компьютер. Установите на него коммерческий антивирус (да, пожалуйста, инвестируйте в безопасность) и как можно меньше другого ПО. Используйте максимальные настройки файрвола.

    Играйте в игры, сидите в интернете, скачивайте файлы и т. д. на другом компьютере. Причём на этом компьютере также запустите антивирус и используйте максимальные настройки фаервола. Через вирус на этом компьютере хакерам будет намного проще добраться до других компьютеров в той же сети. Так что позаботьтесь, чтобы этот компьютер был чистым.

    Не скачивайте файлы

    Даже если вы не держите кошелёк на компьютере или телефоне, настоятельно рекомендую не скачивать на них никакие файлы. Если кто-то высылает вам файл Word, попросите вместо этого загрузить его в Google Документы. Если вам высылают файл PDF, откройте его в браузере через Google Диск, а не на компьютере. Если вам высылают видео, попросите ссылку на какую-нибудь онлайн-платформу. Да, я знаю, что это доставляет много хлопот, но безопасность не обходится бесплатно, как и потеря средств. Просматривайте файлы в облаке. Ничего не скачивайте на свой компьютер.

    Также отключите в мессенджерах опцию «автоматически сохранять изображения и видео». Часто такие файлы скачиваются по умолчанию, но это плохая практика в плане безопасности.

    Обновляйте программное обеспечение

    Знаю, что постоянные обновления ОС раздражают, но они часто исправляют недавно обнаруженные уязвимости. Хакеры следят за этими обновлениями и часто используют как раз такие уязвимости, чтобы проникнуть в компьютеры тех, кто поленился обновиться. Кошельки и биржевые приложения, как правило, придерживаются той же практики, так что убедитесь, что у вас всегда самая последняя версия.

    2. Защитите свою электронную почту

    Рекомендую использовать почту Gmail или ProtonMail. Эти два сервиса, как правило, безопаснее, чем другие. На других платформах наблюдается больше взломов.

    Настоятельно рекомендую для каждой биржи, которую вы используете, создать отдельную электронную почту со сложным адресом. Тогда если случится взлом на одной бирже, то на других ваши аккаунты не пострадают. Также это сократит количество приходящих вам мошеннических писем.

    Включите в электронной почте двухфакторную аутентификацию. Настоятельно рекомендую использовать для этого YubiKey. Это надёжный способ предотвратить многие виды взломов, в том числе через фишинговые сайты и т. п. Больше о двухфакторной аутентификации будет сказано ниже.

    Если в вашей стране часто случается подмена SIM-карты, не используйте номер телефона как метод восстановления доступа к электронной почте, иначе мошенники могут сбросить пароль и взломать вашу почту. В целом, не рекомендую вообще привязывать номер телефона к электронной почте.

    3. Защитите свои пароли

    На каждом сайте используйте сильный и уникальный пароль. Не пытайтесь запомнить все пароли. Используйте менеджер паролей. Большинству подойдёт LastPass или 1Password. Оба инструмента хорошо интегрируются в браузеры, мобильные телефоны и т. д. Оба заявляют, что хранят пароли только локально, но синхронизируют устройства, используя только шифрованные пароли. Если вы настроены более серьёзно, то используйте KeePass или один из его вариантов, совместимый с вашей ОС. KeePass хранит информацию только локально. Он не синхронизирует устройства, и не очень подходит для мобильных телефонов. У него открытый исходный код, так что вам не стоит беспокоиться о бэкдорах и т. п. Проведите самостоятельные исследования и выберите инструмент, который вам подходит. Только не пытайтесь «сэкономить время», используя везде простые или – что ещё хуже – одинаковые пароли. Убедитесь, что у вас сильные пароли, иначе сэкономленное время может дорого вам обойтись.

    Также убедитесь, что у вас установлен хороший антивирус, иначе даже эти инструменты вас не спасут.

    4. Включите двухфакторную аутентификацию

    Настоятельно рекомендуется включить на своих биржевых аккаунтах двухфакторную аутентификацию (2FA). Поскольку 2FA-код обычно находится на вашем мобильном телефоне, это в какой-то степени может защитить вас в случае взлома почты и пароля.

    Однако 2FA защищает не от всего. К вам на компьютер может попасть вирус, который украдёт вашу почту и пароль и, отслеживая нажатия клавиш, также похитит 2FA-код, когда вы будете его вводить. Вы можете ввести почту, пароль и 2FA-код на фишинговом сайте, и тогда хакер войдёт в ваш настоящий аккаунт. Возможны и другие ситуации. Так что нужно держать компьютер в чистоте и остерегаться фишинговых сайтов (больше об этом будет сказано ниже).

    Интересное по теме: Кибербезопасность: далеко не только хакинг

    5. Настройте U2F

    U2F (универсальная двухфакторная аутентификация) подразумевает использование устройства, которое генерирует уникальный временный код, который также зависит от домена. YubiKey фактически является таким устройством. (Хотя многие аппаратные кошельки также могут выступать U2F-устройствами, они менее удобны, так как требуют установки приложений и дополнительных шагов).

    U2F-устройства предлагают три главных преимущества. Во-первых, похитить данные с устройства практически невозможно. Во-вторых, привязка к домену защищает вас, даже если вы случайно встретитесь с фишинговым сайтом. Наконец, ими очень легко пользоваться.

    Поэтому настоятельно рекомендую привязать YubiKey к вашему аккаунту на бирже. Это одна из лучших защит от хищения ваших средств хакерами.

    Также следует привязать YubiKey к электронной почте, LastPass и любым другим поддерживаемым аккаунтам, чтобы защитить и их.

    6. Перестаньте использовать СМС-верификацию

    иллюстрации: Wired

    Когда-то все советовали СМС-верификацию, но времена изменились. Учитывая участившиеся случаи подмены SIM-карт, лучше не использовать СМС и больше полагаться на 2FA и U2F.

    7. Настройте белый список адресов для вывода средств

    Настоятельно рекомендуется использовать на биржах опцию белого списка адресов для вывода средств. Так вы сможете быстро выводить средства на ваши одобренные адреса, а хакерам будет сложнее добавить новый адрес для вывода.

    8. Безопасность API

    Многие пользователи бирж используют API для торговли и вывода средств. Надёжные биржи предлагают API с поддержкой асимметричного шифрования, что означает, что им нужен лишь ваш публичный ключ. То есть вы генерируете свой приватный ключ самостоятельно, а бирже предоставляете публичный ключ, который используется, чтобы подтвердить, что заявки поступают действительно от вас. Приватный ключ вам следует хранить в безопасности.

    В отличие от самостоятельного хранения монет, резервные копии API-ключа делать не обязательно. Если вы потеряете API-ключ, то всегда можете создать новый. Нужно лишь удостовериться, что больше ни у кого нет копии вашего API-ключа.

    9. Пройдите идентификацию второго уровня

    Один из лучших способ обезопасить свой аккаунт – это пройти идентификацию второго уровня, чтобы биржа знала, кто вы и как вы выглядите. Если система оценки риска обнаружит подозрительное поведение вашего аккаунта, может использоваться автоматическое распознавание лица, чтобы подтвердить вашу личность.

    Это также важно в случае, если с вами что-то случится, так как биржа сможет предоставить доступ к вашему аккаунту вашим близким после надлежащей верификации.

    10. Физически защитите свой телефон и другие устройства

    Опять же, держите ваш телефон в безопасности. Скорее всего, на нём у вас есть приложение электронной почты, биржевое приложение и ваши 2FA-коды. Не проводите на вашем телефоне рутинг или джейлбрейк (снятие ограничений производителя для получения прав администратора соответственно для Android и iOS). Это значительно снижает безопасность. Также нужно держать телефон в безопасном месте и надёжно заблокировать экран. То же касается других устройств. Позаботьтесь, чтобы они не попали в чужие руки.

    11. Остерегайтесь фишинга

    Попытки фишинга обычно предпринимаются через электронную почту, мессенджеры или соцсети, когда вам присылают ссылку на фальшивый сайт, выглядящий как настоящая биржа. Там вас попросят ввести ваши данные для логина, которые хакеры смогут затем использовать на настоящей бирже.

    Чтобы избежать фишинга, просто нужна осторожность. Не кликайте по ссылкам в электронных письмах или в соцсетях. Заходите на сайты бирж только через ввод адреса или с помощью закладки. Не сообщайте свой адрес почты сторонним лицам. Не используйте на разных сайтах одну и ту же почту. Будьте осторожны, когда вам пишут незнакомцы в Telegram, Instagram и т. д.

    В целом, если следовать вышеприведённым рекомендациям, то ваши биржевые аккаунты будут в относительной безопасности.

    Что же лучше?

    Как правило, я советую использовать как централизованные биржи, так и собственные кошельки. Если вы не слишком технически подкованы, то рекомендую держать основную часть на бирже, а средства для текущих расходов – на собственном кошельке. Если вы хорошо ладите с технологиями, то можете больше держать самостоятельно.

    На централизованных биржах иногда проводятся технические работы, так что стоит иметь отдельный кошелёк на случай, если вам как раз тогда понадобится провести транзакцию.

    Ещё парочка моментов

    иллюстрации: БитНовости

    Существует много видов мошенничества.

    Люди создают в соцсетях фальшивые аккаунты, выглядящие как популярные страницы, и пытаются уговорить вас перевести им средства. Просто запомните одно правило: никому не переводите деньги, если только вы сами первым этого не захотели. Всегда используйте два разных канала, чтобы убедиться, что отправляете деньги именно тому, кому думаете.

    Если вам напишет какой-то известный человек и будет убеждать, чтобы вы отправили ему криптовалюту, сразу же пожалуйтесь на такой аккаунт в поддержку.

    Если знакомый вдруг прислал вам сообщение с просьбой срочно перевести ему криптовалюту, перезвоните ему или попросите прислать короткое видео, чтобы удостовериться. По умолчанию предполагайте, что кто-то взломал его аккаунт или украл его телефон.

    Мошенничество на YouTube

    Мошенники наловчились выкладывать на YouTube фейковые, смонтированные видео с известными людьми, якобы устраивающими эйрдропы и т. п. Опять же, когда видите подобное, сразу же жалуйтесь в поддержку.

    Социальные скамы

    Не ведитесь на халяву, когда нужно сначала перевести монеты на какой-то адрес, чтобы потом получить больше. Вы ничего не получите.

    Запомните простое правило: будьте осторожны, отправляя криптовалюту.

    Не кликайте по ссылкам в письмах

    НИКОГДА не переходите по ссылкам в электронных письмах и не вводите затем своё имя пользователя и пароль. Это всегда ловушка. Точно так же не переходите по ссылкам в соцсетях.

    По умолчанию считайте, что такие ссылки ведут на фишинговые сайты. Просто не трогайте их.

    Всегда вводите адрес криптобиржи вручную. Запомните, как он правильно пишется, или же используйте закладку.

    В завершение

    Поздравляю: вы дочитали до конца. Надеюсь, эта статья поможет вам лучше понять безопасность и защитить свои средства. Следуя описанным здесь рекомендациям, вы должны быть в состоянии относительно безопасно хранить свои средства самостоятельно или на бирже.

    От редакции Bitnovosti.com хотим отметить, что наше мнение не совпадает со мнением Чанпена Чжао относительно безопасности хранения криптовалют на биржах. Пусть даже они будут самыми крупными и самыми безопасными. Всегда помните, что история циклична, и НИКОГДА НЕ ХРАНИТЕ КРИПТОВАЛЮТУ НА БИРЖАХ.

    Вы всегда можете поблагодарить нас за проделанную работу:
    BTC: 1BHr4jrPPVwdWRpFTekaD34EZ2vo9p8FoC
    ETH: 0xf45a9988c71363b717E48645A412D1eDa0342e7E

    Источник