Księga 101 - Część 3: Najlepsze praktyki korzystania z portfela sprzętowego

Poprzednie raty serii Ledger 101 pokazały konieczność użycia portfela sprzętowego, a także znaczenie korzystania z bezpiecznych układów do ich zbudowania.

Portfele sprzętowe dają Ci prawo własności i kontrolę nad zasobami kryptograficznymi. Ale z wielkimi mocami wiąże się wielka odpowiedzialność: bycie własnym bankiem z pewnością nie jest trywialne i wymaga dyscypliny. Korzystanie z portfela sprzętowego nie powoduje, że jesteś niezwyciężony wobec inżynierii społecznej, zagrożeń fizycznych lub błędów ludzkich. Zawsze należy kierować się zdrowym rozsądkiem i stosować podstawowe zasady bezpieczeństwa.

Istnieje pięć podstawowych złotych zasad

  • Nigdy nie udostępniaj nikomu swojej 24-wyrazowej frazy odzyskiwania w dowolnej formie.
  • Nigdy nie przechowuj frazy odzyskiwania na komputerze lub smartfonie.
  • Zachowaj fizycznie bezpieczny arkusz odzyskiwania, aby upewnić się, że nie możesz go przypadkowo zgubić ani zniszczyć.
  • Ufaj tylko temu, co widzisz na ekranie portfela sprzętowego. Sprawdź adres odbiorczy i informacje o płatności na swoim urządzeniu.
  • Zawsze zachowuj ostrożność w przypadku informacji wyświetlanych na ekranie komputera lub smartfona. Załóżmy, że oprogramowanie może zostać skompromitowane w dowolnym momencie.

24-słowo fraza odzyskiwania

Podczas inicjowania portfela sprzętowego po raz pierwszy pojawi się monit o zapisanie 24 słów na arkuszu odzyskiwania. Te 24 słowa są nazywane zwrotem odzyskiwania i są kopią zapasową czytelną dla człowieka, z której pochodzą wszystkie klucze prywatne. Służą do przywracania dostępu do zasobów kryptograficznych na innym urządzeniu Ledger lub innym kompatybilnym portfelu.

Arkusz odzyskiwania księgi zawierający 24-wyrazowy zwrot odzyskiwania

Ogólne zasady bezpieczeństwa

Istnieją dwa podstawowe powody, dla których potrzebujesz dostępu do frazy odzyskiwania:

  • Utrata lub zniszczenie portfela sprzętowego: możesz wprowadzić frazę odzyskiwania na nowym urządzeniu, aby odzyskać pełny dostęp do zasobów kryptograficznych;
  • Klonowanie na nowe urządzenie: wpisując 24 słowa na innym urządzeniu, będziesz w posiadaniu dwóch portfeli sprzętowych, z których możesz korzystać niezależnie. Na przykład jeden w biurze i jeden w domu, co uniemożliwia ci ciągły transport. Innym powodem do sklonowania urządzenia byłaby aktualizacja do nowszego modelu.

Jak łatwo to odliczyć, każdy, kto uzyska dostęp do tych 24 słów, uzyska natychmiastowy dostęp do zasobów kryptograficznych. Kod PIN w portfelu sprzętowym stanowi ochronę związaną tylko z urządzeniem i jest całkowicie niepotrzebny do odzyskiwania kluczy prywatnych.

Dlatego niezwykle ważne jest prawidłowe zabezpieczenie fazy odzyskiwania. Każdy kompromis w dowolnym momencie może prowadzić do katastrofalnych strat;

  • Nigdy nie rób zdjęcia arkusza odzyskiwania. Twój smartfon nie jest bezpieczny, a co gorsza, może zostać automatycznie przesłany do pamięci w chmurze;
  • Nigdy nie wprowadzaj frazy odzyskiwania na żadnym komputerze lub smartfonie: możesz mieć keyloggery, a przechowywanie tych informacji online (nawet zaszyfrowane) całkowicie przeczy celowi używania portfela sprzętowego;
  • Nigdy nie pokazuj ani nie udostępniaj 24 słów nikomu (w tym znajomym i rodzinie). Jeśli zdecydujesz się na udostępnienie, pamiętaj, że mają one potencjalny dostęp do wszystkich twoich zasobów kryptograficznych, w dowolnym momencie i bez łatwego sposobu cofnięcia dostępu;
  • Przechowuj arkusz odzyskiwania w bezpiecznym miejscu, chronionym przed światłem słonecznym, wilgocią i ogniem. Jeśli zostanie z jakiegokolwiek powodu zniszczony, musisz natychmiast przenieść swoje krypto do nowo skonfigurowanego portfela sprzętowego;

Ponadto bardzo ważne jest, aby samodzielnie wygenerować 24-wyrazową frazę odzyskiwania. Nigdy nie używaj wstępnie skonfigurowanego urządzenia. Nigdy nie używaj zestawu 24 słów dostarczonych nigdzie indziej niż na samym urządzeniu. Musisz upewnić się, że jako jedyny na świecie znasz tę konkretną frazę odzyskiwania.

Ponieważ dostępność frazy odzyskiwania ma krytyczne znaczenie, możesz sprawdzić, czy rzeczywiście ją poprawnie zapisałeś i czy możesz ją odczytać bezbłędnie. W przypadku Ledger Nano S możesz to sprawdzić za pomocą aplikacji Recovery Check. Ta aplikacja pozwala wprowadzić 24-wyrazową frazę odzyskiwania i sprawdza, czy pasuje ona do kluczy prywatnych w urządzeniu. Więcej informacji można znaleźć w dedykowanym filmie.

Ogólne zasady bezpieczeństwa

Posiadanie portfela sprzętowego ze zweryfikowaną kopią zapasową w bezpiecznym miejscu może chronić cię przed atakiem cyfrowym, ale nadal jesteś podatny na potencjalne zagrożenia fizyczne, takie jak włamanie lub sytuacja zakładników. Dlatego musisz przestrzegać tych podstawowych zasad:

  • Nigdy nie mów nikomu, że posiadasz kryptowaluty. Jeśli to zrobisz, pamiętaj, aby zachować dla siebie prawdziwą wartość swoich aktywów. Jeśli ludzie zapytają Cię, ile posiadasz bitcoinów, po prostu zwróć pytanie, pytając, ile euro / dolarów posiadają;
  • Jeśli jesteś aktywny w internetowej społeczności kryptowalut, chroń swoją prawdziwą tożsamość i zawsze pamiętaj o udostępnianych informacjach. Nie chcesz stać się celem napadu;
  • Nie przechowuj swojego arkusza odzyskiwania w sejfie w domu. Skarbiec bankowy jest znacznie bezpieczniejszy. Brak bezpośredniego dostępu do kopii zapasowej zwiększa odporność na zagrożenia fizyczne;
  • Jeśli masz duże ilości kryptowalut, do których nie potrzebujesz częstego dostępu, przechowuj portfel sprzętowy również w banku. Możesz często używać innego portfela sprzętowego z niższymi kwotami;

Ufaj tylko swojemu portfelowi sprzętowemu

Twój portfel sprzętowy wymaga aplikacji towarzyszącej do interakcji z Tobą i dostępu do Internetu, abyś mógł sprawdzić saldo na komputerze, uzyskać historię transakcji i rozgłaszać nowe transakcje. Ledger Live to własna aplikacja Ledger dostępna na komputery PC, Mac i Linux. Urządzenia Ledger działają również z aplikacjami, które nie są tworzone przez Ledger.

Zasadniczo bardzo trudno jest zweryfikować integralność oprogramowania na komputerze. Dlatego należy założyć, że komputer jest zagrożony i że można manipulować tym, co widzisz na ekranie.

Możesz zaufać tylko swojemu portfelowi sprzętowemu.

Kroki bezpieczeństwa w celu zweryfikowania adresu odbiorcy

Jeśli musisz podać adres odbiorcy, aby móc być odbiorcą płatności, musisz podjąć dodatkowe środki ostrożności, aby nie paść ofiarą mężczyzny w środku ataku. Atakujący kontrolujący ekran twojego komputera może pokazać ci zły adres, co uczyniłoby go beneficjentem każdej wysłanej do niego transakcji.

Musisz zweryfikować adres odbiorczy wyświetlony na ekranie, wyświetlając go na urządzeniu.

Żądając adresu odbiorczego w Ledger Live, pojawia się monit o podłączenie portfela sprzętowego i otwarcie odpowiedniej aplikacji. Adres zostanie wyświetlony na bezpiecznym wyświetlaczu urządzenia i będziesz mógł sprawdzić, czy jest on zgodny z adresem na ekranie.

Jeśli używasz kodu QR do przesłania adresu, sprawdź go po zeskanowaniu.

Jeśli korzystasz z portfela oprogramowania bez tej funkcji (wiele aplikacji innych firm jest kompatybilnych z urządzeniami Ledger), zalecamy najpierw wysłanie niewielkiej ilości, aby upewnić się, że poprawnie go otrzymałeś. Ten test najlepiej wykonać na innym komputerze. Możesz ponownie użyć adresu, który został właśnie zweryfikowany do testu.

Kroki bezpieczeństwa w celu weryfikacji adresu beneficjenta

Kiedy chcesz wysłać transakcję, zazwyczaj adres odbiorcy podaje się na stronie internetowej lub za pośrednictwem usługi komunikacyjnej. Trywialnym atakiem na szkodliwe oprogramowanie byłoby zastąpienie tego adresu jednym z jego własnych. Niektóre złośliwe oprogramowanie po prostu monitorują schowek, aby zastąpić skopiowany adres adresem należącym do atakującego.

Aby zapobiec padnięciu ofiarą tego ataku, zawsze weryfikuj adres beneficjenta na urządzeniu przed zatwierdzeniem transakcji, a także zawsze dwukrotnie sprawdź go za pomocą drugiego kanału komunikacji. Na przykład poproś o wysłanie adresu SMS-em lub inną aplikacją do przesyłania wiadomości, abyś mógł go zweryfikować. Jeśli deponujesz na giełdzie, najpierw wyślij niewielką kwotę i sprawdź, czy dotarła prawidłowo, zanim wyślesz większe kwoty.

Bycie własnym bankiem nie jest banalne i wymaga dyscypliny. Posiadanie portfela sprzętowego nie czyni cię niepokonanym. Mamy jednak nadzieję, że te wskazówki bezpieczeństwa pomogą Ci się chronić podczas ich używania.

Jak zawsze, kieruj się zdrowym rozsądkiem. Nie ufaj, zweryfikuj.