Как защитить биткойн
Криптовалюта, судя по всему, никуда не денется, и хотя некоторые страны, такие как Китай, запретили ее использование, многие развитые государства, включая США, более спокойно относятся к ее существованию.
Очень важно уметь защитить свои виртуальные средства. Обсудим это вместе с читателями портала 1-consult.net.
Некоторые крупные организации уже принимают оплату за продукты и услуги в биткойнах. Однако сильные колебания стоимости цифровой валюты в 2018 году привели к тому, что отдельные компании, такие как Valve и Stripe, отказались от поддержки криптовалюты.
Тем не менее, многие корпорации и предприятия продолжают принимать биткоины и другие формы криптовалюты.
Явные преимущества для продавцов виртуальных средств:
- Комиссии за транзакции с биткоинами обычно ниже, чем 2–3%, взимаемые обработчиками кредитных карт;
- Биткоины не оставляют после себя никакой информации, которую можно использовать для кражи личных данных.
Помимо финансовой выгоды, есть несколько элементов, которые защищают биткойн от кражи:
- Криптография контролирует создание и передачу криптовалюты, а протоколы, лежащие в основе биткоинов надежны;
- Использование Биткоином распределенного реестра, известного как блокчейн, дает владельцам записи обо всех их транзакциях, которые невозможно подделать, потому что нет единой точки отказа, получив доступ к которой можно нарушить работу системы.
Однако это не помешало злоумышленникам использовать уязвимости в биткойн-биржах или кошельках – программном обеспечении, используемом для хранения биткоинов на компьютерах или смартфонах.
Обмен криптовалюты не регулируется государством. Оно не обеспечивает такой страховки и безопасности, как для хранения фиатных денег в банках.
Например, обе биржи Gox и Flexcoin закрылись после того, как хакеры якобы украли у них сотни тысяч биткоинов в процессе отдельных атак.
Неудивительно, что исследование, проведенное Dell SecureWorks в 2014 году, показало, что по мере роста стоимости биткойна росло и количество вирусов, предназначенных для кражи биткоинов из кошельков.
Эта тенденция сохранилась и в последующем. Было несколько кибератак на биржи и кошельки, поскольку цена криптовалют резко выросла в последние месяцы. Кроме того, появились новые угрозы в виде атак вредоносного ПО для крипто добычи.
Несмотря на рост числа кибератак, кошельки с криптовалютой по-прежнему остаются одним из лучших способов защиты биткоинов. В идеале программное обеспечение кошелька должно быть установлено на загрузочный USB или Live CD.
Это гарантирует, что операционная система не содержит вирусов, не кеширует, не регистрирует и не хранит ключи кошелька где-либо.
Пользователи должны обращаться со своим программным кошельком так же, как и с реальным.
Лучше всего использовать два кошелька:
- Хранить лишь небольшое количество биткоинов на компьютере или мобильном телефоне для повседневного использования;
- Основной баланс должен храниться в отдельном автономном кошельке.
Это защищает большинство биткоинов пользователя от вредоносных программ, пытающихся перехватить пароль, используемый для доступа к хранилищу, или найти незашифрованные данные кошелька в оперативной памяти устройства.
Оффлайн-кошелек должен быть физически безопасным – возможно, даже помещен в традиционное банковское хранилище, – поскольку его потеря или кража означает безвозвратную утрату биткоинов, которые он содержит.
Плачевным примером является случай, когда жесткий диск компьютера, на котором хранились биткоины на сумму более 4,6 миллиона долларов, был выброшен Джеймсом Хауэллсом в мусорный бак и фактически утерян. Владелец просто забыл, что диск содержит 7500 биткоинов.
Доступны офлайн-услуги или услуги холодного хранения, но обратите внимание, что они не регулируются отраслью финансовых услуг. Кроме того, если автономный кошелек зашифрован, важно не забыть парольную фразу. Некоторые эксперты предпочитают не шифровать кошелек этого типа, поскольку в случае смерти потомки не смогут получить доступ к наследству.
Как же обеспечить надежную безопасность своих виртуальных средств?
Существует несколько способов:
- Регулярное резервное копирование биткойн-кошелька необходимо для защиты от сбоев компьютера, кражи и человеческой ошибки;
- Никогда не храните эту информацию в сети Интернет, особенно если резервная копия не зашифрована;
- Всегда используйте последнюю версию программного обеспечения для биткоинов и пароль длиной не менее 16 символов;
- Хотя биткойн является чисто цифровой валютой, его можно хранить в аналоговой форме. Для этого используются бумажные кошельки в автономном режиме, что значительно снижает вероятность кражи криптовалюты хакерами или компьютерными вирусами. Печать содержимого кошелька – в основном закрытых ключей и соответствующих им открытых ключей – создает физическую запись, которая, конечно, должна храниться в безопасности.
Обеспечение безопасности биткоинов сложно и требует много времени, но стоит усилий для любого, у кого есть разумное количество децентрализованной цифровой валюты.
Bitcoin – это больше, чем преходящее интернет-увлечение. Когда на рынке появятся специализированные аппаратные кошельки, они наверняка обеспечат лучший баланс между безопасностью и простотой использования.
Обеспечение безопасности вашего кошелька
Как и в реальной жизни, вы должны позаботиться о безопасности своего кошелька. Биткойн позволяет переводить суммы куда угодно очень простым способом, и позволяет вам полностью контролировать свои деньги. Такие большие возможности сопровождаются и повышенным уровнем опасности. Однако, Биткойн может предоставить очень высокий уровень безопасности, если его правильно использовать. Всегда помните, что защита ваших денег — это ваша ответственность.
Будьте осторожны с онлайн-сервисами
Вам следует остерегаться любых сервисов, предлагающих хранение ваших средств онлайн. Многие обменники и онлайн кошельки в прошлом пострадали от прорех в безопасности и такие услуги все еще недостаточно застрахованы и безопасны для того, чтобы хранить там средства, как в банке. Естественно, вы можете пользоваться другими видами биткойн-кошельков. Или же, вам следует выбирать такие услуги очень тщательно. К тому же, рекомендуется использование двухфакторной авторизации.
Небольшие суммы на карманные расходы
Биткойн-кошелек как обычный кошелек с деньгами. Если вы не носите с собой постоянно тысячи долларов наличными, то не храните такие суммы и в биткойн-кошельке. В целом, нормальная практика хранить небольшие суммы на вашем компьютере, смартфоне или сервере для обычных расходов, и хранить остальные деньги в другом, безопасном месте.
Сделайте резервную копию своего кошелька
Хранение резервной копии вашего кошелька в безопасном месте может защитить вас от сбоев компьютера и множества человеческих ошибок. Это также позволит вам восстановить ваш кошелек, в случае если ваш телефон или компьютер будет украден, если ваш кошелек был зашифрован.
Сделайте резервную копию всего кошелька
Некоторые кошельки содержат множество спрятанных секретных ключей. Если у вас есть резервные копии только секретных ключей к вашим видимым биткойн-адресам, возможно это далеко не все, и тогда вы не сможете восстановить большую часть ваших средств из резервной копии.
Шифруйте сетевые резервные копии
Любая резервная копия, которая хранится в сети, сильно уязвима для мошенников. Даже компьютер, подключённый к сети, уязвим для вирусов. В связи с этим, следует шифровать все резервные копии, доступные из сети.
Используйте несколько безопасных мест
Единственный бекап не очень безопасен. Если у Вас есть несколько резервных копий, то неприятные события, препятствующее восстановлению Вашего кошелька вас не затронут. Вы можете использовать различные типы носителей, таких как флешки, бумага и CD.
Регулярно делайте резервные копии
Вам необходимо делать резервные копии вашего кошелька регулярно, чтобы быть уверенным, что все недавние изменения биткойн-адресов и все новые биткойн-адреса, которые вы создали, включены в вашу резервную копию. Вскоре, все приложения начнут использовать кошельки, резервные копии которых нужно будет делать лишь один раз.
Шифруйте свой кошелек
Шифрование вашего кошелька, или вашего смартфона позволяет вам установить пароль против любого, пытающегося снять средства. Это поможет защититься против воров, однако, это не сможет защитить против устройств или программ кейлоггеров, которые следят за всеми набранными вами символами.
Никогда не забывайте свой пароль
Вам нужно убедиться, что вы не забудете свой пароль, иначе ваши средства будут безвозвратно утеряны. Биткойн — это не банк, восстановить забытый пароль очень мало шансов. На самом деле, вам нужно будет помнить пароль, даже если вы его много лет не используете. Если сомневаетесь, вы можете сохранить бумажную копию вашего пароля в надежном месте, например в сейфе.
Используйте сложный пароль
Любой пароль, который содержит только буквы или узнаваемые слова, может быть сочтен слабым и легким для взлома. Сильный пароль должен содержать буквы, цифры, знаки препинания, и должен быть длиной хотя бы 16 символов. Самые надежные пароли, это те, которые генерируются специальными программами, разработанными для этой цели. Надежные пароли обычно сложнее запомнить, так что вам придется постараться.
Оффлайн кошелек для сбережений
Не подключенный к сети кошелек, также известный как оффлайн хранилище, или холодное хранилище, обеспечивает высочайший уровень безопасности для сбережений. Для этого потребуется хранить кошелек в безопасном месте, которое не подключено к сети. Если все сделать правильно, этот способ предоставит очень хорошую защиту от компьютерных уязвимостей. Использование оффлайн хранилища в сочетании с резервным копированием и шифрованием также считается правильной практикой. Здесь представлен обзор некоторых подходов.
Подписывание транзакций на не подключенном к сети компьютере
Этот подход включает в себя наличие двух компьютеров, делящих между собой некоторые части одного и того же кошелька. Первый должен быть отключен от любой сети. Он единственный хранит весь кошелек и может авторизовать транзакции. Второй компьютер подключен к сети и содержит только «наблюдающий» кошелек, который не может создавать авторизованные транзакции. Таким образом, вы можете безопасно выполнить новую транзакцию, выполнив следующие шаги.
- Произведите транзакцию на компьютере, подключенном к интернету и сохраните ее на USB ключ.
- Авторизуйте транзакцию при помощи компьютера, не подключенного к сети.
- Отошлите авторизованную транзакцию с компьютера, подключенного к интернету.
Так как компьютер, который не подключен к сети, не может подписать транзакцию, он не может быть использован для снятия каких-либо средств если он скомпрометирован. Armory может быть использован для подписания транзакций оффлайн.
Специализированные устройства-кошельки
Устройства для хранения биткойнов — лучший баланс межу высокой защитой и легкостью использования. Существуют маленькие устройства, специально разработанные для того, чтобы быть биткойн-кошельками и и ничем больше. Никакое программное обеспечение не может быть на них установлено, что делает их очень защищенными от компьютерного мошенничества и онлайн воров. Так как они позволяют делать резервные копии, вы всегда сможете восстановить ваши средства, если вы потеряете свое устройство.
Вовремя обновляйте свое программное обеспечение
Использование последней версии программного обеспечения Биткойн, позволит вам получить необходимую стабильность и исправления безопасности. Обновления дадут возможность предотвратить проблемы различного уровня критичности, дополнить новыми функциями и помогут вашему кошельку оставаться надежным. Установка обновлений для всех остальных программ на вашем компьютере или телефоне так же важно, для сохранения в большей безопасности того, что окружает ваш кошелек.
Много-пользовательская подпись, для защиты от воровства
Биткойн включает опцию множественной подписи (мульти-подписи), которая позволяет требовать несколько независимых подтверждений для отправки транзакции. Например, организация может потребовать, чтобы ее средства можно было потратить, только если 3 из 5 сотрудников подпишут транзакцию. Некоторые онлайн-кошельки также поддерживают мульти-подпись, позволяя пользователю контролировать свои деньги, но при этом не давая злоумышленникам украсть их, получив доступ к одному устройству.
Подумайте о своем завещании
Ваши биткойны могут быть потеряны навсегда, если вы не позаботились о резервном доступе для своих друзей и близких. Если местоположение ваших кошельков или ваши пароли никому не известны, то в случае если вас не станет, нет никакой надежды, что близкие смогут получить доступ к вашим средствам. Потратьте немного времени для размышлений на эту тему, это может быть очень важным.
Гайд по криптобезопасности: как не потерять свои средства, когда пользуешься криптовалютой
По мере роста популярности криптовалют растет и активность злоумышленников, которые любыми возможными способами стремятся умыкнуть криптовалюту у холдеров: делая фишинговые атаки, находя уязвимости в исходном коде или представляясь сотрудниками компаний, чтобы получить приватную информацию пользователей, такие как закрытые ключи, пароли, seed-фразы и прочее. Поэтому проблема безопасности при использовании криптокошельков стоит особенно остро.
Взломы случаются нечасто, а самые распространенные способы хищения криптовалют — фишинг и мошенничество. Зачастую пользователи сами сообщают приватную информацию, не подозревая, что перед ними — злоумышленник. Разбираемся, как защитить свой кошелек и не стать жертвой криптомошенников.
Часть 1. Создаем и защищаем криптокошелек
Сначала нужно создать криптовалютный кошелек — это будет вашим личным сейфом, к которому доступ сможете получить только вы. Поэтому ответственность за сохранность средств лежит полностью на его владельце: некастодиальные кошельки хранят приватные ключи только на устройстве пользователя, и ни разработчики, ни компания не поможет восстановить доступ, если вы потеряете приватные ключи и seed-фразу.
Примечание: процесс создания может отличаться в зависимости от используемого клиента. Некоторые кошельки требуют сразу сохранить seed-фразу и установить дополнительные меры защиты: 2FA, PIN-код или пароль. Другие же клиенты позволяют это сделать позже, чтобы упростить и ускорить процесс создания кошелька.
Часто процесс создания кошелька проходит в несколько этапов:
- Генерация нового кошелька;
- Сохранение и подтверждение seed-фразы (опционально);
- Создание пароля или PIN-кода для входа кошелек. Файл кошелька при этом остается в зашифрованном виде, и декодировать их можно только после ввода пароля/PIN-кода. В противном случае придется восстанавливать кошелек при помощи фразы восстановления.
После этого криптокошелек создан и готов к работе, но это только первый шаг. Теперь нужно его защитить любыми доступными способами. В первую очередь, нужно создать резервную копию кошелька — seed, если на этапе создание кошелька этого не делали.
Что такое seed-фраза
Seed-фраза — это последовательность из 12 или 24 псевдослучайных слов, которая генерируется кошельком. Ее еще называют фразой восстановления, секретной фразой, мнемоническим паролем или просто сидом. Встречаются и другие последовательности, а некоторые кошельки позволяют настраивать последовательность самостоятельно. Seed-фраза хранит в себе информацию, необходимую для восстановления кошелька в случае, если вы забыли пароль или утратили доступ к своему устройству, на котором установлен кошелек.
Более современные клиенты и устройства, такие как аппаратный кошелек Trezor T, позволяет расширить мнемонический пароль при помощи кодовой фразы (passphrase) — это дополнительное кастомизированное слово, то есть которое задает сам пользователь. Это позволяет создавать неограниченное количество скрытых адресов для более безопасного хранения криптовалют. Такой способ подходит тем, кто планирует хранить криптовалюту в течение одного или нескольких лет.
Главное, что нужно помнить каждому криптохолдеру: если вашу seed-фразу скомпрометировали, то средства, вероятнее всего, будут в скором времени похищены. Мнемонический пароль позволяет получить доступ к вашим средствам в любом кошельке и на любом устройстве. Вот почему не меньшую роль играет то, как вы храните фразу восстановления.
Часть 2. Как хранить seed-фразу и другую конфиденциальную информацию
Первое правило — не храните мнемонический пароль в цифровом виде, например, как скриншот или текст на устройстве или в облаке. То же касается и флеш-накопителей. Хакеры могут перехватить трафик, получить доступ к вашему устройству или аккаунту. Самый безопасный способ хранения — на оффлайн-носителе. Подойдет что угодно, на чем можно написать или напечатать слова:
- Бумага;
- Заламинированная карточка;
- Специальное устройство для хранения сида.
И еще одно ключевое правило, которое каждый криптохолдер обязан заучить как мантру: никому и никогда не передавайте seed-фразу! Как бы вас ни просили. Мошенники представляются сотрудниками техподдержки или используют другие методы манипуляций. Например, они могут давить на страх, сказав, что ваш клиент взломали, и вам срочно нужно восстановить кошелек, введя секретную фразу на сайте по подкинутой ими ссылке. Разумеется, это будет обман, а ваши средства безвозвратно пропадут. Это же касается любой другой личной информации: секретных ключей, PIN-кодов, логинов и паролей и так далее.
Подобная ситуация случилась с владельцами Trezor и Ledger, которые по невнимательности ввели seed-фразу на поддельном сайте, не заметив, что домен отличается от оригинального домена производителей.
Обратите внимание, что домен отличается от Trezor.io. А домен нижнего уровня, на самом деле, io-restoretrezor.com. Это значит, перед вами — фишинговый сайт. Если вы подключите к нему кошелек и введете приватную информацию, ваши средства будут немедленно похищены. Из этого следует еще одно важное правило:
Всегда проверяйте домен сайта, на котором используете или скачиваете кошелек.
Лучше всего сохранить адрес кошелька в закладках и переходить только по этой ссылке. И еще: опасайтесь рекламных ссылок в Google Ads и Яндекс.Директе. Чаще всего поддельные сайты встречаются там, так как злоумышленникам затруднительно будет обойти оригинальный сайт в списке выдачи SERP.
Это касается и приложений на Android. Google Play модерируется намного хуже, чем App Store у iPhone, поэтому мошенники могут опубликовать фейковое приложение. Подобная ситуация снова произошла с Trezor. Причем злоумышленникам удалось опубликовать приложение от имени производителя Satoshi Labs. Скачивайте приложения только по ссылкам на официальных сайтах.
Совет: вы можете избежать потери средств, используя подставной кошелек с небольшой суммой, при помощи которого вы можете проверить, настоящий сайт перед вами или нет. Он будет выступать в роли сапера. Так вы сохраните свою основную часть средств. Но лучше всего быть просто внимательным и не вводить личные данные ни на каких сайтах.
Вот еще несколько полезных советов по хранению seed-фразы:
- Уберите секретную фразу в надежное место, о котором известно только вам: сейф или банковскую ячейку. Так надежнее всего;
- Сделайте несколько копий на случай, если одна из них повредится или потеряется;
- Не используйте seed-фразу в общественных местах: в офисе, зале ожидания или кафе;
- Не делайте скриншоты во время записи мнемонического пароля и не копируйте его в буфер обмена;
- При записи сида рядом не должно быть посторонних лиц;
Если вы подозреваете, что ваш кошелек могут взломать или он был каким-то образом скомпрометирован, немедленно переведите деньги на резервный кошелек. Если у вас его нет, то не лишним будет его создать.
Никто не должен знать мнемонический пароль, кроме вас! В крайнем случае, вы его можете передать только близким людям, которым доверяете.
Защитите кошелек всеми доступными способами: установите PIN-код, пароль, Touch ID или Face ID, а также настройте двухфакторную аутентификацию. Предпочтительно использовать приложение наподобие Google Authenticator вместо номера телефона или электронной почты. Это затруднит получение доступа злоумышленникам, даже если им удастся завладеть вашим электронным устройством. Некоторые кошельки предоставляют даже биометрическую защиту.
Публичные и приватные ключи
Когда вы заходите в криптокошелек, в нем отображается длинная последовательность цифр и букв. Это открытый или публичный ключ. В нем зашифрован только адрес вашего кошелька, на который другие пользователи или вы сами будете отправлять монеты. Его можно сообщать и передавать посторонним людям, поскольку он не содержит никакой конфиденциальной информации, предоставляющей доступ к вашим средствам. При помощи открытого ключа другие пользователи могут проверить вашу подпись, чтобы убедиться, что адрес принадлежит именно вам. Вот пример открытого ключа для биткоина:
Примечание: продвинутые кошельки позволяют создавать и использовать множество адресов. Если вас беспокоит конфиденциальность, то лучше всего для каждой транзакции генерировать новый адрес. Это поможет запутать след и затруднит отслеживание транзакций.
Приватный или закрытый ключ скрыт, поэтому получить его может только владелец кошелька. Закрытые ключи позволяют тратить криптовалюту, поэтому ни в коем случае их нельзя передавать кому-либо.
Не путайте закрытый ключ с мнемоническим паролем. Закрытый ключ внешне напоминает публичный ключ, но чаще всего холдеры используют seed-фразу и открывают кошельки при помощи PIN-кода, пароля, Touch ID или Face ID (при использовании мобильных кошельков). По сути, публичные и приватные ключи отличаются только длиной и лишь незначительно — форматом. Legacy-адреса биткоина начинаются с цифры «1», а закрытые ключи — с буквы «L». Пример закрытого ключа для биткоина:
Заключение
Будьте осторожны и никому не доверяйте в криптосреде, если кто-то вам пишет в личные сообщения с просьбой сообщить ему seed-фразу или любую другую приватную информацию, предоставляющую доступ к вашему кошельку. Так делают только мошенники. Техподдержка никогда не будет писать вам напрямую. Если вам требуется какая-либо помощь — пишите только в общий чат. Админы и модераторы придут вам на помощь.
Повторим: никогда не сообщайте seed-фразу, приватный ключ и пароли от своего кошелька посторонним лицам!
Подписывайтесь на каналы Everstake в соцсетях, читайте свежую информацию из мира блокчейнов и всегда будьте предельно бдительны! Только от вас, в первую очередь, зависит безопасность ваших криптовалют!
⚠️ WARNING ⚠️
Bitcoin.com does not store your password or secret phrases! If you lose access to your device, the only way to access your funds is with your password / secret phrase.
Keeping your crypto secure
Digital assets like Bitcoin, Bitcoin Cash, and Ethereum are 'peer-to-peer.' This means you can send them anywhere in the world without asking for permission. This 'permissionless-ness' is a huge part of what makes cryptocurrencies so powerful for supporting economic freedom globally. However, it also means you — and you alone — are responsible for protecting your assets.
Like a vault protects physical assets, the Bitcoin.com Wallet app protects crypto-assets — and in both cases, you need the right access key. However, since the Bitcoin.com Wallet app is 'self-custodial,' no third party (neither Bitcoin.com nor anyone else) holds the key. It's just you. This means you have to be very careful about how you store your key. If you lose your key, you lose access to your digital assets!
Backing up your wallet
When you first install the Bitcoin.com Wallet app on your device, you have the option of setting up biometrics or a PIN. This acts as the key to your Wallet, but what happens if you lose or break your phone?
That's why it's important to "back up" your Wallet. Backing up your Wallet just means you're creating a backup key and storing it outside of your phone.
There are a few ways to do that. Perhaps the easiest way is to use our cloud backup service (go to 'Settings' > 'Backup & security > Cloud Backup' to set it up). With the cloud backup, you create a single custom password that decrypts a file stored in your Google Drive or Apple iCloud. If you lose access to your device, you can reinstall the Wallet app on a new device, enter your password, and you'll again have access to all your crypto-assets!
Alternatively, you can create manual backups ('Settings' > 'Backup & security > 'Manual backup'). In this case, you'll be assigned a random set of 12 words (a "passphrase") for each of the digital wallets within your Bitcoin.com Wallet app. Then, when you reinstall the app on a new device, you'll need to enter each 12-word passphrase to gain to access each wallet.
Password management best practices
Whether you choose a single password that decrypts your entire Wallet or multiple auto-generated 12-word passphrases corresponding to each wallet in your Bitcoin.com Wallet app, it is essential that you adhere to password management best practices.
Firstly, you should never store your passwords in digital form, as doing so opens you up to the possibility of having them stolen by hackers. This includes taking screenshots or digital photos of your handwritten passwords.
For most people, the best strategy is to physically write down the password/passphrases on a piece of paper and store that paper somewhere safe. If the crypto-assets in your Wallet are worth a lot, you'll want to (manually) make copies of the paper, and store them in separate locations (eg. one at your house, one at a family member's house).
Note that for manual backups, anyone with the passphrase can gain access to your wallet (and steal the assets in it) while for the Cloud Backup Service, you have an extra layer of protection because an attacker will need to first get into your Google or Apple account. If you set up your Google or Apple account with 2-Factor Authentication, you're making it very difficult for an attacker.