۷ نکتهی حرفهای برای ایمن نگهداشتن ارزهای دیجیتال
۱- بردارهای حمله را بشناسید
دشمن را شناسایی کنید. مراقب «حمله مرد میانی» یا در واقع کسانی که سعی دارند بین شما و مقصدتان قرار گیرند باشید.
سایتهای کلاهبردار یا وبسایتهای جعلی که خود را به شکل سایتهای معتبر جا میزنند، این روزها یاد گرفتهاند چطور کاملا ایمن و عادی به نظر بیایند. URLها را دوبار بررسی کنید. با این حال بهتر است سایتهای رمزنگاریشدهی خودتان را بوکمارک کنید و همیشه از همان بوکمارکها استفاده کنید تا نیاز نباشد دوباره آدرسها را بررسی کنید. MetaMask میتواند کلونها یا آدرسهای شبیهسازی شدهی MyEtherWallet را برایتان در لیستسیاه قرار دهد.
دانلود نرمافزارها را تأیید کنید و اجازه ندهید هر نرمافزاری در سیستمتان نصب شود. نسخههای قدیمی سیستمعامل Tails دیگر مناسب نیستند، از نسخههای جدید آن استفاده کنید. حملهی مرد میانی حتی ممکن است واقعی باشد: فردی به خاطر اینکه گذرواژهی بازیابی رمزارزش را به یک فروشنده کلاهبردار در ایبی (ebay) داد، همهی پسانداز زندگی اش را از دست داد. بنابراین همیشه کیفپول را مستقیما از سازندهی آن بخرید. حال فرض کنیم URLها را بررسی کردهاید و همهی آنها درست و معتبر هستند. اما از کجا میدانید کسی وایفای شما را هک نکرده است و با جعلکردن DNS تان، شما را به IPهای متفاوت هدایت نکرده است؟ محاسبات ایمنی دقیقا مانند شطرنج است. همیشه باید فرض کنید حریفتان از شما باهوشتر است.
۲- رمز عبورهای قدرتمند انتخاب کنید
هرگز برای رمز عبور از تاریخ تولد، آدرس خیابان، متن ترانهی موردعلاقه و مشابه آنها استفاده نکنید. حتی اگر از حروف درهم و برهم در صفحه کلید استفاده کنید، باز هم ممکن است لو برود؛ چرا که ابزارهای قفلشکن میتوانند در هر ثانیه ۳۵۰ میلیارد رمز را حدس بزنند. از یک تولیدکنندهی رمز عبور تصادفی برای ایجاد یک عبارت رمزی قوی استفاده کنید یا یک کیفپول سختافزاری خریداری کنید که کلیدها و امضاهای قدرتمند برای شما ایجاد کند. بهتر است از رمزعبورهای چندگانه استفاده کنید. کیفپولهای با چندامضا مانند Gnosis’ به کلیدهای متعددی برای تأیید و اعتبارسنجی معاملات نیاز دارند. از کد احراز هویت دو مرحلهای نیز برای ایمیل، مبادلات و نظایر آنها استفاده کنید. منتظر ماندن برای دریافت پیامک ممکن است آزاردهنده باشد، اما این شیوه تأیید دو مرحلهای از امنیت بالاتری نسبت به سایر شیوهها برخوردار است
۳- ار فضای ذخیرهسازی آفلاین (سرد) استفاده کنید
یکی از مهمترین اقدامات امنیتی که باید به آن توجه کنید این است که بخش اعظم دارایی رمزنگاریشدهتان را به صورت سرد (یعنی به صورت ایرگپ و آفلاین) نگهداری کنید. فقط مقداری از آن را در صرافی و کیفپولهای آنلاین نگهدارید که از دست رفتن آن زیان چندانی برایتان نداشته باشد. همچنین با خارج کردن کارت شبکه از کامپیوتر شخصی یا لپتاپتان میتوانید یک کامپیوتر ایرگپ ایجاد کنید و سیستمعامل Tails را که به صورت آفلاین است روی آن اجرا کنید. میتوانید یک کیفپول سختافزاری بخرید. هنگامی که در حال تولید عبارت seed (عبارت رمز عبور) هستید، کیفپول سختافزاریتان را به یک پریز در دیوار وصل کنید تا حتیالامکان سرد (آفلاین) بماند. اگر باز هم آرامش ندارید، میکروفن و دوربین لپتاپتان را هم بپوشانید و هر گونه دستگاه الکترونیکی را از اتاق خارج کنید!
۴- همه چیز را آزمایش کنید
برای تمرین بهتر است ابتدا با بخش کوچکی از داراییتان در یک شبکهی آزمایشی شروع کنید. هرگز آدرسها را به صورت دستی تایپ نکنید. اگر فکر میکنید خیلی افراطی است، بد نیست بدانید تا کنون بیش از ۱۲۰۰۰ اتریوم فقط به دلیل اشتباهات تایپی برای همیشه از دست رفته است. به جای تایپ دستی از روشهایی مانند کپی و چسباندن، سرویس Ethereum Name Service یا اسکن کد QR استفاده کنید. مطمئن شوید اپلیکیشن اسکنتان ایمن است. identicon آدرس مقصد را دوبار بررسی کنید تا آواتار اشتباهی را انتخاب نکرده باشید. قبل از انتقال هر دارایی دیجیتال به کیفپول سختافزاریتان، عبارت seed را آزمایش کنید. اگر در حال ایجاد یک کامپیوتر ایرگپ هستید قبل و بعد از بارگیری دادهها روی کارت حافظه، چکسام کدگذاریشده با الگوریتم MD5 (MD5 checksum) را ثبت و دوباره بررسی کنید. (چکسامهای کدگذاریشده برای بررسی صحت و سقم اطلاعات در مقصد به کار میروند.)
۵- رمز عبورهایتان را در دستگاهها و مکانهای مختلفی ذخیره کنید
یک عبارت seed استاندارد Bip39 یک رشتهی ۲۴ کلمهای نادر است که میتوانید از آن یک کلید خصوصی ایجاد کنید. از این seed تا جایی که میتوانید مراقبت کنید. اگر آن را روی کاغذ مینویسید دوتا از آن بنویسید و در مکانهای جداگانه نگهداری کنید. کارت حافظه نیز گزینهی خوبی است، اما به ندرت تا ۵ سال دوام میآورد و ممکن است به راحتی با پالس الکترومغناطیسی پاک شود. برای اطمینان از هر دو روش آنالوگ و دیجیتال استفاده کنید. دیده شده است که برخی افراد عبارت seed را روی فولاد میکوبند. هر قطعه از seed را در یک جای مطمئن و جداگانه ذخیره کنید. یادتان باشد مراحل را به دقت ثبت کنید تا بعدا خودتان یا وارثتان بتوانید seed را دوباره بسازید.
۶- به «انکار موجه» پایبند بمانید
انکار موجه (plausible deniability) در حوزهی رمزنگاری به معنای توانایی پنهان داشتن اطلاعات خاص است. هرگز دربارهی داراییهایتان با کسی صحبت نکنید و در رسانههای اجتماعی دربارهی صرافیهایی که در آن همهی داراییهای رمزنگاریتان را نگهداری میکنید چیزی نگویید. داراییهای رمزنگاری را فقط به صورت آنلاین نگهداری نکنید. شما میتوانید حسابهای کاربریتان را تحت مسیرهای HD متفاوتی در کیفپولهای سختافزاری خودتان پنهان کنید تا کسی نتواند به آنها دسترسی یابد. همچنین، از طریق توزیع داراییهایتان در کیفپولهای مختلف خطر افشا شدن آنها را به حداقل برسانید.
۷- با ارتقای سطح دقتتان به اکوسیستم کمک کنید
دادسن این گیتبوک را با معرفی چهار سطح متفاوت از تنظیمات کیفپول به پایان میرساند. کسی که به سطح چهارم رسیده است دقیقترین کاربر است. این تصمیم شماست که تا چه حد میخواهید دقیق باشید. اما به یاد داشته باشید: انتخابهای امنیتی شما نه تنها بر خودتان، که بر اکوسیستم هم تأثیر میگذارد. اگر از سیستم احراز هویت دو مرحلهای استفاده نکنید و کسی به ایمیلتان دسترسی پیدا کند (به عنوان مثال اگر از کامپیوتر کافینت یا هر جای دیگری استفاده کرده باشید و فراموش کرده باشید جیمیلتان را ببندید)، اگر کسی به شبکهی خصوصی شما دسترسی پیدا کنید خودتان مقصر هستید. بنابراین سعی کنید سطحتان را ارتقا دهید. کیفپولهای سختافزاری، سیستمعامل آفلاین Tails و امضای چندگانه را امتحان کنید. دربارهی فضای ذخیرهسازی آفلاین مانند کیفپول سختافزاری با دوستان خود صحبت کنید. با شناسایی و نشانهگذاری سایتهای کلاهبردار و حسابهای جعلی به جامعه کمک کنید. نکات حرفهای دادسن هدیهای به اکوسیستم هستند و ما نیز با انتشار آنها میتوانیم سهمی در کمک به اکوسیستم داشته باشیم.
بدون دیدگاه