7 профессиональных советов по обеспечению безопасности вашей криптографии

НовостиДля разработчиковПредприятиеБлокчейн РазъяснениеМероприятия и конференцииПрессаИнформационные бюллетени

Подписывайтесь на нашу новостную рассылку.

Адрес электронной почты

Мы уважаем вашу конфиденциальность

ГлавнаяБлогБлокчейн объяснил

7 профессиональных советов по обеспечению безопасности вашей криптографии

Как защитить свои цифровые активы от пожара, наводнения, фишинга, забывчивости и других стихийных бедствий. Автор ConsenSys1 марта 2018 г.Опубликовано 1 марта 2018 г.

Это “холодная комната” в Аттингхаузене, Швейцария – он облицован стальными плитами и находится на глубине 300 метров внутри гранитной горы в старом, перепрофилированном военном бункере. Что внутри? Аппаратное обеспечение с воздушным зазором и закрытыми ключами ценных держателей криптовалюты, которые ищут немного спокойствия.

Эти меры безопасности могут показаться чрезмерными, но векторов атак в криптосфере много: притворство, мошенничество., вымогательство, друзья заводят друзей, обмануть друзей. Пользователи не могут достаточно быстро пометить поддельные аккаунты.

Фейковый Виталикс. Поддельный Джо Любинс. Насколько серьезно кто-то действительно смотрит на ручки социальных сетей? Кто-то, летающий через твиттер, может пропустить букву «l» в @etlhereumJoseph.

Для многих пользователей большая часть их криптовалюты все еще находится в «горячем состоянии» – в онлайн-кошельках на централизованных биржах, которые на протяжении многих лет получали свою долю расчетов: печально известный Mt. Взлом Gox в 2014 году, в ходе которого хакеры потратили примерно 740 000 BTC, и недавний взлом Bitfinex, в результате которого с биржи было потрачено почти 120 000 BTC..

И конечно же извечные угрозы, Огонь и забывчивость (один мужчина случайно выбросил биткойны на сумму 9 миллионов долларов). Векторы атак могут быть непритязательными, даже пушистыми..

Проблема в том, что у неуместной криптовалюты есть способ вообще исчезнуть – иногда в разных юрисдикциях и вне досягаемости закона, иногда в криптографические черные дыры (в 2011 году 2609 BTC исчезли на Mt. Gox из-за ошибки сценария). Что освобождает блокчейн, так это то, что вы можете стать своим собственным банком. Но это также может быть пугающим для многих из нас, кто привык позволить центральным учреждениям управлять нашей жизнью за нас. Пришло время заняться самообразованием.

К счастью, Ник Додсон, основатель BoardRoom (теперь GovernX), только что опубликовал свой GitBook., «Профессиональные советы по управлению кошельком Ethereum», руководство по безопасности как для наивных шляп, так и для шляп из фольги. Меры личной безопасности Додсона, по общему признанию, соответствуют уровню Сноудена – мы говорим о покрытии экрана и обо всем остальном, – но его миссия – расширить возможности пользователей, а не отпугнуть их. Он признает компромисс между удобством и безопасностью. Слишком много уровней безопасности, и вы в конечном итоге ставите в тупик даже себя, пытаясь получить доступ к своей криптографии. Додсон дает вам ресурсы, чтобы решить для себя, насколько сложными вы хотите стать..

Небольшое предостережение: составление этих профессиональных советов вызывает мета-беспокойство по поводу того, что любые инструменты или меры безопасности, которые мы здесь рекомендуем, теперь станут в центре внимания злоумышленников. Так что оставайтесь начеку. Но оставайся с этим. Блокчейн – это не просто выживание. Речь идет о создании выбора для себя. Как пишет Додсон: «Будьте бдительны, и вы добьетесь успеха».

1. Знайте векторы атаки.

AKA Знай своего врага. Остерегайтесь пресловутого «человека посередине» – кого-то, кто пытается встать между вами и местом назначения. Сайты-подделки, вредоносные сайты, имитирующие другие сайты, в наши дни могут быть идеальными. Убедитесь, что вы дважды проверяете URL-адреса. Еще лучше, добавьте свои криптосайты в закладки и придерживайтесь своих закладок (Метамаска также заносит в черный список клоны MyEtherWallet для вас). Проверьте загрузки программного обеспечения. Копия Tails OS бесполезна, если она заражена шпионским ПО. Атака «человек посередине» может быть даже буквальной: один парень потерял свои сбережения торговому посреднику на Ebay, который вытащил семя восстановления из аппаратного кошелька и перепаковал кошелек. Всегда покупайте аппаратный кошелек напрямую у производителя. Теперь подумайте на два шага вперед. Может быть, ваши URL-адреса выглядят хорошо. Но как узнать, что кто-то не взломал ваш Wi-Fi, не подделал DNS и не перенаправил вас на другие IP-адреса? Безопасные вычисления похожи на шахматы: всегда предполагайте, что ваш противник умнее вас.

2. Создавайте надежные пароли..

К настоящему времени вы должны знать, что такое упражнение – никаких дней рождения, почтовых адресов, текстов песен и т. Д. (Даже не заставляйте меня начинать с паролей моей мамы). Но даже если вы нажимаете клавиши на клавиатуре, это все равно недостаточно случайно (вы не являетесь хорошим источником энтропии). Взломщики паролей могут прорваться 350 миллиардов предположений в секунду. Используйте генератор случайных мнемоник, чтобы создать кодовую фразу, или купите аппаратный кошелек, чтобы сгенерировать для вас мощные ключи и подписи. Несколько паролей лучше, чем один. Кошельки с несколькими подписями, например Гнозис, требуется несколько ключей для проверки транзакций. И используйте двухфакторную аутентификацию для всего: электронной почты, обменов, Steam и т. Д. Внимание: обратный отсчет может раздражать, но двухфакторная аутентификация на основе приложений намного безопаснее, чем SMS. Позволять это будь твоим предупреждением.

3. Используйте холодное хранение..

Вам не нужно спускаться на 300 метров под землю, но вы должны держать большую часть своей криптовалюты в «холодном состоянии», то есть в закрытом состоянии и в автономном режиме. Храните на биржах и онлайн-кошельках только ту сумму, которую вы готовы потерять. Вы можете построить компьютер с воздушным зазором, вынув сетевую карту из вашего ПК или ноутбука (Хвосты – операционная система, которую можно запускать в автономном режиме), или купить аппаратный кошелек. При генерации семенной фразы подключите аппаратный кошелек к розетке, чтобы он был как можно холоднее. Советы паранойи: закройте микрофон / камеру ноутбука и уберите все электронные устройства из комнаты..

4. Протестируйте все.

Сделайте небольшие тестовые транзакции или потренируйтесь с небольшим количеством средств в тестовой сети, прежде чем перейти на полную сумму. Никогда не вводите адреса вручную (из-за опечаток навсегда потеряно более 12000 ETH). Скопируйте и вставьте, используйте Служба имен Ethereum, или отсканируйте QR-коды. Убедитесь, что ваше приложение для сканирования защищено (совет профессионала №1: знайте векторы атаки). Дважды проверьте идентификатор вашего целевого адреса. Прежде чем переводить любую криптовалюту на свой аппаратный кошелек, проверьте свою начальную фразу. Если вы собираете компьютер с воздушным зазором, запишите и перепроверьте контрольную сумму MD5 до и после загрузки данных на SD-карту. Ради любви к Ethereum, протестируйте все.

5. Храните исходные фразы на разных устройствах и в разных местах..

Стандартная семенная фраза Bip39 – это любопытная строка из 24 слов, из которой вы можете получить закрытый ключ. Обращайтесь с семенами с особой осторожностью. Если вы записываете его на бумаге, подумайте о том, чтобы сделать две копии и хранить их в разных местах. SD-карты – это еще один вариант хранения, но они редко служат более пяти лет, и их можно стереть защемлением (бомба EMP). На всякий случай используйте и аналоговые, и цифровые (некоторые люди вбивают свои исходные фразы в сталь). Если вы хотите повысить уровень: храните фрагменты исходной фразы в отдельных безопасных местах. И помните: тщательно записывайте свои шаги, чтобы вы (или ваши наследники) могли воссоздать семя.

6. Поддерживать правдоподобное отрицание.

Правдоподобное отрицание криптовалюты означает способность скрывать определенные данные. Вот полезное правило публичной эмиссии: не транслируйте свои активы и особенно не сообщайте миру (через социальные сети) биржи, на которых вы храните всю свою криптовалюту (опять же, этот парень). В любом случае ваша криптовалюта не должна быть горячей (совет профессионала №3: ​​используйте холодное хранилище). Вы можете скрыть учетные записи по разным путям HD на своем аппаратном кошельке на случай, если кто-то постучит. Кроме того, минимизируйте подверженность риску, распределяя свои активы по нескольким кошелькам..

7. Повышайте уровень. Помогите экосистеме.

Додсон заканчивает GitBook рекомендуя четыре разных уровня настройки кошелька, уровень 4 – для самых требовательных пользователей. Это ваш вопрос, насколько изощренным вы хотите стать. Но помните: ваш выбор безопасности влияет не только на вас, но и на экосистему. Если вы не используете двухфакторную аутентификацию и кто-то перехватывает вашу электронную почту (например, вы оставили открытой на библиотечном компьютере), когда этот злоумышленник начинает фишинг вашей личной сети, это ваша ответственность. Так что бросьте вызов себе, чтобы повысить свой уровень. Поэкспериментируйте с аппаратными кошельками, хвостами и мульти-подписями. Направьте своего внутреннего Сноудена. Учитесь, обучая. Расскажите друзьям о холодных хранилищах, а маме – о надежных паролях. Помогите сообществу отмечать поддельные сайты и поддельные учетные записи. Додсона «Советы профессионалов» являются подарком экосистеме, и мы можем заплатить вперед.

MetaMaskNewsletterПодпишитесь на нашу рассылку, чтобы получать последние новости Ethereum, корпоративные решения, ресурсы для разработчиков и многое другое.Отчет

Отчет DeFi по Ethereum за 3 квартал 2020 г.

Отчет

Отчет DeFi по Ethereum за 2 квартал 2020 г.

Гид

Полное руководство по бизнес-сетям с блокчейном

Вебинар

Как создать успешный блокчейн-продукт

Вебинар

Введение в токенизацию