Пользователи криптовалютной биржи, как правило, не сильно вникают в нюансы безопасности биржевого аккаунта.
Почта на mail.ru и номер телефона, который знают одноклассники - "нормальное" явление среди среднестатистическогоользователя. Даже несмотря на то, что на бирже могут находиться значительные суммы, зачастую не уделяется должного внимания выбору почтового сервиса и некоторых других "мелочей".
На самом деле, мелочей в такого рода вопросах нет и к безопасности стоит подходить максимально ответственно, чтобы впоследствии избежать неприятных сюрпризов.
Мы попытаемся осветить самые важные моменты, на которые необходимо обратить пристальное внимание, вне зависимости от размера вашего депозита.
Почта и телефонные номера
Выбор подходящего почтового сервиса - составная часть комплекса мер безопасности. Можно много дискутировать о том, какая почта лучше или удобнее, но с точки зрения безопасности, мы рекомендуем protonmail или tutanota.
Также, рекомендуем в настройках биржевого аккаунта активировать вывод только на “доверенные адреса” криптовалютных кошельков, а также включить подтверждение через почту при выводе средств.
Повышенное внимание нужно уделить конфиденциальности телефонного номера, привязанного к почтовому аккаунту. Приобретите для почты новую SIM-карту, держите её номер в секрете и не разглашайте никому, даже работниками биржи. Также, обратите внимание, что телефонные номера для логина на почте и на бирже должны быть разными.
Сложный пароль
Для адекватной защиты аккаунта, биржи рекомендуют использовать пароль минимум из 16 символов. Но современные методы брутфорса (взлом путём перебора значений) могут быть эффективны даже к таким длинным паролям.
Стандартные генераторы случайных чисел тоже не всегда дают достаточно стойкий ко взлому результат, так как в них используется алгоритм генерации псевдослучайных чисел, не лежащих в плоскости эллиптической кривой. Строго говоря, генерация действительно случайных чисел - непростая задача.
Чтобы облегчить этот процесс, можно использовать такой метод - брать в качестве "заготовки" публичный адрес биткоина, сгенерированный с помощью программы Vanitygen, а затем изменить его добавлением нескольких спецсимволов.
Например, сгенерированный исходник: 1PEiVYxWtKK4VhDLRFgd3nWDwrPxQQ4cWfH
Пароль на его основе: XEi#R5{EiVYxWt_$K4VhDLRF^gd3nWDwrPxQ4c&WfH
Взломать такой криптографически стойкий пароль методом подбора практически невозможно.
Инструкцию по использованию Vanitygen можно легко найти в интернете, например здесь.
Альтернативным вариантом является использование менеджера паролей. Достоин внимания LastPass, если вы готовы пожертвовать некоторой степенью безопасности ради удобства использования и функциональности.
Двухфакторная аутентификация (2FA)
- Отправка пароля в виде SMS-сообщения
Не лучший способ защиты аккаунта.
Существуют сервисы по предоставлению виртуального номера, которые позволяют не только звонить, но и получать на него SMS.Поэтому, злоумышленнику не нужно делать копию вашей SIM-карты, достаточно воспользоваться одним из таких сервисов.
Конечно, можно держать в тайне номер, привязанный к биржевому аккаунту. Но будете ли вы чувствовать себя спокойно, зная о возможности перехвата SMS?
- Google Authentificator
Гораздо более надёжный способ, не требующий подключения к интернету в процессе авторизации.
Установив на смартфон 2FA от google, нужно всего лишь ввести персональный ключ и точно синхронизировать время, согласно вашему часовому поясу. При запуске, приложение генерирует новые одноразовые пароли каждые 30 секунд, а возможность перехвата или подмены отсутствует.
Для авторизации, достаточно будет ввести шестизначный сгенерированный пароль в соответствующее поле на сайте биржи или торгового терминала.В теории, вероятность взлома всё же существует, но на практике этот процесс слишком сложен, сопряжен с множеством сторонних факторов и не даёт злоумышленнику никаких гарантий результата.
Поэтому, двухфакторную авторизацию от google можно считать вполне надёжной.
Обязательно сохраните персональный ключ (QR-код) Google Authentificator - это даст возможность возобновить доступ к биржевому аккаунту в случае поломки или утери смартфона.
- Authy
Еще один сервис со схожим принципом работы, отличающийся расширенным набором функций.
Например, есть версия приложения для десктопа, зашифрованное резервное копирование в облачном хранилище, мастер-пароль и поддержка криптовалютных кошельков.
Тем не менее, Authy гораздо менее популярен, даже несмотря на некоторое преимущество в функционале.Какой бы метод двухфакторной авторизации вы бы ни выбрали, настоятельно рекомендуем использовать его не только для входа в биржевой аккаунт, но и для входа в почту. Напоминаем, что соответствующие телефонные номера должны быть разными и известными только вам.
Cтатический IP
Большинство провайдеров предоставляют статический IP. Это означает, что ваш адрес в сети интернет не изменяется каждую сессию (или после перезагрузки роутера), а будет всегда один и тот же.
Поэтому, в настройках биржевого аккаунта следует выбрать "статический IP" и в дальнейшем логин будет возможен только с того адреса, который вы указали. Любая попытка логина с другого IP будет невозможна.
Это распространяется не только на вход в аккаунт через веб-интерфейс, но и на доступ через торговый терминал при использовании ключей API. Технически, существует возможность перехвата вашего трафика и как следствие, IP и текущей сессии.
Но даже если атакующий использует cookie-файлы браузера и данные сессии, то подмена IP-адреса всё равно ни к чему не приведёт. Поэтому, рекомендуем заказать себе статический IP у вашего интернет-провайдера. Благо, услуга эта недорогая и её использование оправдано в качестве дополнительной меры безопасности при логине в биржевой и почтовый аккаунт.
В качестве альтернативного варианта возможно использование OpenVPN и I2P, но даже краткий обзор этих методов выходит за рамки данной статьи.
Фишинг и спуфинг
Одни из самых распространённых способов мошенничества заключаются в подмене адреса в адресной строке браузера или скрытом перенаправлении на поддельный сайт биржи.
Внешний вид такого сайта может полностью повторять оформление оригинальной биржи, поэтому новички часто попадаются на эту уловку, не замечая подвоха.
Эффективным методом борьбы со спуфингом является добавление сайта биржи в закладки браузера, а с фишингом - избегание перехода по сомнительным ссылкам, даже если они приходят на почту от имени биржи.
Всегда проверяйте наличие защищенного соединения с биржей и наличие сертификата SSL.
Использование торгового терминала решает обе проблемы, так как нет взаимодействия с веб-интерфейсом биржи, а обмен данными происходит по другому протоколу, с использованием защищенного соединения.
Подводя итог, хотелось бы отметить, что выполнив один раз все перечисленные меры повышения безопасности аккаунта, вы избавитесь от множества проблем, с которыми так или иначе сталкиваются не только большинство новичков на криптовалютных биржах, но и достаточно опытные трейдеры.
TG аналитика: Top Traders
TG обучение: TT Academy