اکثر کاربران وقتی به روش‌های ایمنی بیت ‌کوین‌ خود فکر می‌کنند، گزینه‌های سخت و نفوذناپذیر را در نظر می‌آورند مثل کیف‌پول‌های سخت‌افزاری، استفاده از رمزعبورهای پیچیده، خرید گاوصندوق‌های ضدگلوله، تا حتی حک‌کردن عبارات بازیابی روی فولاد! اما اغلب کاربران به موارد ساده‌ای که ظاهرا به‌طور مستقیم به کوین‌ها مربوط نیستند توجه نشان نمی‌دهند. متاسفانه، همین موارد ساده و نادیده‌گرفتن آن‌ها است که می‌تواند مسبب ضررهای هنگفت شود. بزرگ‌ترین تهدید برای دارایی‌های دیجیتال افراد جعل هویت آن‌ها با استفاده از روش‌های مختلف است.

پیچیده‌ترین عبارت عبور و ایمن‌ترین کیف‌پول سخت‌افزاری نیز نمی‌توانند مانع از این شوند که شما خودتان با دست خود کوین‌هایتان را برای هکرها بفرستید!

اگر از حساب‌های خود در برابر جعل هویت استفاده کنید می‌توانید حساب‌های دوستان و همکاران‌تان را نیز «ضدعفونی» کنید. اگر حساب‌های شما ایمن باشند، حساب‌های دوستان‌تان نیز ایمن‌تر خواهند بود زیرا هکرها نمی‌توانند از حساب‌های شما به‌عنوان دستاویزی برای حمله به حساب‌های دیگران استفاده کنند. از آنجا که جعل هویت موفق‌ترین روش حمله هکرها است، اگر به مجموعه‌های بزرگ مثل شرکت‌ها آموزش لازم جهت حفظ امنیت حساب‌ها داده شود، امنیت کل شرکت نیز افزایش می‌یابد.

اگر نگاهی به سرقت‌های موفق بیندازید (هم سرقت از کسب‌وکارها و هم سرقت از افراد) دو دلیل اصلی و رایج برای آن‌ها خواهید یافت، عدم پیروی از اصول صحیح ایمنی و/یا پیکربندی غیرایمن حساب‌ها.

این یعنی موفق‌ترین دفاع علیه سرقت دارایی‌ها رعایت اصول ایمنی و پیکربندی مناسب حساب‌تان است.

اصول ایمنی بیت ‌کوین‌

احراز هویت قوی

اصول ایمنی بیت ‌کوین‌

امنیت در بیت کوین

موثرین اصل ایمنی که می‌توانید رعایت کنید چیزی است که ما آن را «احراز هویت قوی» (StrongAuth) می‌نامیم. به عبارت ساده‌تر، احراز هویت قوی و درست یعنی مطمئن شوید فردی که با او صحبت می‌کنید همان فردی است که باید باشد!

رعایت این اصل در موقعیت‌های بسیاری می‌تواند مفید واقع شود، از جمله:

  • فرستادن پول
  • تغییر دسترسی فرد
  • بحث در مورد اطلاعات محرمانه

برای اینکه با این اصل در زندگی شخصی خود نیز بیشتر آشنا شوید، فرض کنید که پیامی از خواهرتان دریافت کرده‌اید که در آن خواهرتان بنا به دلیلی از شما درخواست کمی پول کرده است. پیش از آنکه پول را بفرستید، باید مطمئن شوید که واقعا دارید با خواهرتان صحبت می‌کنید! چطور می‌توانید مطمئن شوید؟

  • حضوری: ساده‌ترین راه برای انجام یک احراز هویت قوی یک گفتگوی حضوری است. اگر فرصتش پیش آمد و توانستید او را حضوری ببینید صددرصد مطمئن می‌شوید که پول‌هایتان را به مکان درستی می‌فرستید.
  • تماس ویدئویی/تلفنی: راه خوب بعدی برای یک احراز هویت قوی برقراری یک تماس ویدئویی یا تلفنی با خواهرتان است به‌شکلی که همزمان او را ببینید و صدایش را بشنوید. خوشبختانه، در سال ۲۰۲۰ هیچ مشکلی از لحاظ کمبود اپلیکیشن‌های تماس ویدئویی وجود ندارد. اگر بتوانید خواهرتان را ببینید و صدایش را بشنوید، مطمئن می‌شوید که پول‌تان را به شخص درستی ارسال می‌کنید.
  • روش‌های دیگر شامل عبارات از‌پیش‌تعیین‌شده رمزی، کلید‌های جی‌پی‌جی (GPG)، و امضاهای دیجیتالی پیام‌ها می‌شود. البته روش‌های پیچیده‌تری نیز وجود دارند که پیش‌نیازها و پیش‌فرض‌های متفاوتی را می‌طلبند و به همین دلیل در این مقاله فعلا از آنها چشم‌ می‌پوشیم.

با رعایت همین اصل ساده احراز هویت می‌توان از بسیاری از سرقت‌ها جلوگیری کرد. به قول یک متخصص: «۱۵ ثانیه بررسی مجدد بهتر است از ارسال ۱۵ میلیون دلار به فردی اشتباه!» با اینکه برای افراد و کسب‌وکارهای مختلف این رقم ممکن است متفاوت باشد، اما این فرض برای همه یکسان و صادق است.

این مطلب راهم مطالعه کنید: قیمت ارزهای دیجیتال چطور تعیین می‌شوند؟

امنیت رمز عبور

یکی دیگر از اصولی که می‌توان با رعایت آن از سواستفاده‌های احتمالی جلوگیری کرد استفاده از یک نرم‌افزار مدیریت رمزعبور برای تمام رمزعبورهایتان است. اغلب اوقات، افزایش امنیت به قیمت صرف تلاش و زمان بیشتر و طی‌کردن مراحل اضافی انجام می‌گیرد. با این حال، یک نرم‌افزار مدیریت رمزعبور می‌تواند امنیت حساب‌تان را افزایش داده و نیاز به صرف زمان و تلاش کمتری داشته باشد. با تنها یک کلیک می‌توانید نام کاربری و رمزعبور خود را به‌شکل خودکار وارد وبسایت یا اپلیکیشن‌تان کنید و بدون هیچ زحمتی لاگ‌این ‌شوید. هیچ کار دیگری نمی‌تواند به این صورت امنیت و راحتی شما را با هم افزایش دهد.

در اینجا به چند نکته برای استفاده از نرم‌افزارهای مدیریت رمزعبور اشاره می‌کنیم:

  • با یک کلیک روی نرم‌افزار مدیریت رمز عبور خود رمزعبورهایی کاملا غیرقابل‌حدس ایجاد کنید. از آنجا که نیازی نیست خودتان آن را تایپ کنید، می‌توانید طول و پیچیدگی رمز را به حداکثر برسانید. به عنوان مثال، نرم‌افزار ShapeShift از رمزعبورهایی با حداکثر ۱۲۸ کاراکتر پشتیبانی می‌کند و یک رمزعبور ۱۲۸ کاراکتری می‌تواند امنیت حساب شما را به بیشترین حد برساند.
  • هرگز از یک رمزعبور مجددا استفاده نکنید و این مسئله تنها با یک کلیک روی نرم‌افزار مدیریت رمزعبور و با استفاده از ویژگی «ایجاد رمزعبور» امکان‌پذیر است.
  • هرگز از الگوریتم رمزعبور استفاده نکنید. برخی افراد از رمزعبورهای ساده‌ای مثل a1b2c3! استفاده و آن را به ادامه وبسایتی که از آن استفاده می‌کنند می‌چسبانند مثل googlea1b2c3! یا facebooka1b2c3!. مشکل اینجاست که اگر کسی یکی از این رمزهای عبور را کشف کند، درواقع تمام آنها را کشف کرده است. یک نرم‌افزار مدیریت رمزعبور باعث می‌شود دیگر نیازی به الگوریتم‌های رمزعبور نداشته باشید، که باید این ویژگی را به فال نیک گرفت زیرا این الگوریتم‌ها ایمن نیستند!

پیکربندی مناسب برای ایمنی بیت ‌کوین‌

مورد بعدی که می‌توانید از آن برای محافظت حساب‌های خود از شر حملات رایج سایبری استفاده کنید تغییر تنظیمات حساب‌های مختلفی است که دارید. طبق گزارش‌های چند سال اخیر، موفق‌ترین سرقت‌های سایبری از طریق حربه تغییر سیم‌کارت (SIM swapping) یا تعویض شماره تلفن (number porting) صورت گرفته. در این حالت، فرد سارق با اپراتور تلفن همراه شما تماس می‌گیرد و با جعل هویت شما خودش را به جای شما جا می‌زند، و به اپراتور تلفن همراه می‌گوید که شما تلفن جدید و سیم‌کارت جدیدی تهیه کرده‌اید. سپس، اپراتور ترتیبی می‌دهد تا شماره تلفن شما با تلفن همراه فرد سارق ارتباط برقرار کند.

در مرحله بعد، این شیوه سرقت با استفاده از ویژگی بازیابی حساب (Account Recovery) ایمیل شما دنبال می‌شود. هنگامی که فرد سارق کنترل این‌باکس شما را به دست گرفت، با کلیک «رمز ورود خود را فراموش کرده‌ام» (I Forgot my Password) به سراغ حساب‌های صرافی‌های رمزارز شما می‌رود. بازیابی حساب به‌طور پیش‌فرض از ایمیل استفاده می‌کند. بنابراین، اگر فرد سارق به ایمیل شما دسترسی داشته باشد، می‌تواند به هر حسابی که به آن آدرس ایمیل مرتبط کرده‌اید نیز دسترسی داشته باشد.

متاسفانه، برای سرقت از طریق جعل هویت تحت عنوان تغییر سیم‌کارت کار خاصی نمی‌توانید انجام بدهید زیرا اپراتورهای تلفن‌ همراه نیز محافظت چندانی از حساب‌های شما انجام نمی‌دهند. با این حال، حتی اگر شماره تلفن شما به دست فرد سارق بیفتد باز هم می‌توانید با انجام اقداماتی مانع چنین حملات و سرقت‌هایی شوید.

گزینه‌های بازیابی خود را قفل کنید

اهمیت ایمنی بیت ‌کوین‌

بازیابی قفل

اکثر حساب‌ها روش‌هایی برای بازیابی اختصاص داده‌اند از جمله پرسش‌هایی خاص، شماره تلفن همراه یا آدرس ایمیلی مشخص که درصورت فراموش‌کردن رمزعبور خود بتوانید حساب خود را بازیابی کنید. با این حال، گزینه‌های بازیابی به آسان‌ترین روش قابل هک‌شدن هستند!

در اینجا روش‌های قفل‌کردن این گزینه‌های بازیابی را با هم مرور خواهیم کرد:

  • تمام شماره تلفن‌های همراه را حذف کنید. اگر شماره تلفنی به حساب متصل نباشد، نمی‌توان به بهانه تغییر سیم‌کارت به حساب دسترسی پیدا کرد.
  • تمام ایمیل‌های بازیابی را حذف و یا حساب‌‌ ایمیلی را که جهت بازیابی استفاده می‌کنید قفل کنید. قدرت یک زنجیره به اندازه ضعیف‌ترین لینک آن است. اگر جی‌میل خانمی قفل شده باشد اما از ایمیل همسرش به عنوان حساب بازیابی استفاده کند، ایمیل همسر این خانم نیز باید امنیتی مشابه و برابر داشته باشد.

متاسفانه، برخی از حساب‌ها به شما اجازه نمی‌دهند شماره تلفن‌های همراه خود را حذف کنید و این امر باعث می‌شود نتوانید به‌ امنیت این حساب‌ها اطمینان کنید.

فعال‌کردن احراز هویت چندعاملی (MFA یا ۲FA)

اگر یک حساب کاربری برای روش احراز هویت دو عاملی (۲FA)، رمزعبور یک‌بارمصرف و با محدودیت زمانی (TOTPها) ارائه داد، از آن استفاده کنید! رمزساز گوگل (Google Authenticator) یا Authy رایج‌ترین اپلیکیشن‌ها برای TOTPها هستند و به‌راحتی می‌توان از آنها روی گوشی‌های همراه استفاده کرد. فعال‌کردن ۲FA روی تمام حساب‌هایتان امنیت آنها را بالا برده و از حمله هکرها جلوگیری می‌کند.

فقط مراقب باشید: TOTPها را نباید در نرم‌افزار مدیریت رمزعبور خود و در کنار رمزعبورهای دیگر ذخیره کنید، زیرا این کار احراز هویت دو عاملی یا ۲FA شما را به احراز هویت تک عاملی یا ۱FA تبدیل خواهد کرد. این موارد را جدا نگاه دارید، یا اگر می‌خواهید قدمی دیگر نیز بردارید می‌توانید TOTPهای خود را به جای اینکه وارد گوشی همراه کنید وارد یوبیکی (Yubikey) کنید.

این مطلب راهم مطالعه کنید: کوین نیک بررسی می کند، امنیت بلاک چین چگونه تامین می‌شود؟

کد امنیتی یوبیکی بخرید (یا استفاده کنید)

این دستگاه به شما اجازه می‌دهد تا موارد بسیاری را به شیوه‌های مختلف ایمن کنید. این دستگاه با رمزساز یوبیکو (Yubico Authenticator) از رمزساز گوگل یا Google Authenticator ایمن‌تر است و می‌تواند از طریق ماژول GPG کلید‌های SSH شما را برای سرورها ذخیره کند. همچنین درصورت پیکربندی صحیح، می‌تواند از طریق U2F و PIV نقش یک کلید فیزیکی را برای حساب‌ها و لپ‌تاپ‌های شما ایفا کند. اگر یک یوبیکی به‌خوبی پیکربندی شده باشد، حتی اگر هکری به رمزعبور شما نیز دسترسی پیدا کند، باز هم به حساب‌تان دسترسی نخواهد داشت.

ویژگی‌های بی‌شمار بسیاری وجود دارند که توضیح هرکدام احتیاج به مقالاتی طولانی دارد. بنابراین، اگر تصمیم به خرید یوبیکی گرفتید حتما زمانی را برای خواندن و یادگیری نحوه استفاده از یوبیکی اختصاص دهید تا ایمنی بیت ‌کوین‌ خود را افزایش دهید.

جمع‌بندی، امنیت بیت‌کوین‌هایتان را حفظ کنید

ایمنی بیت ‌کوین‌ چیزی بیش از ابزارهایی‌ است که استفاده می‌کنید. امنیت یک طرز فکر است، امنیت یک اصل و عادت است، تلاشی است مداوم برای هوشیار ماندن زیرا با اینکه ما هر شب احتیاج به خواب داریم، اسکریپت‌های یک هکر ۲۴ساعته و بی‌وقفه در حال حمله هستند.

قفل‌کردن گزینه‌های بازیابی، فعال‌کردن ۲FA، و رعایت اصول ایمنی به همراه احراز هویت قوی و ابزارهای مدیریت رمزعبور بسیاری از حیله‌های هکرها را ناکام خواهد گذاشت و آنها را به سراغ طعمه‌های آسان‌تر خواهد فرستاد.

منبع: bitcoinmagazine