Безопасность на криптобиржах

Пользователи криптовалютной биржи, как правило, не сильно вникают в нюансы безопасности биржевого аккаунта. На самом деле, к вопросам такого рода и к безопасности стоит подходить максимально ответственно, чтобы впоследствии избежать неприятных сюрпризов.

Почта и телефонные номера

Выбор подходящего почтового сервиса - составная часть комплекса мер безопасности. Можно много дискутировать о том, какая почта лучше или удобнее, но с точки зрения безопасности, я рекомендую protonmail или gmail**.** Также, рекомендую в настройках биржевого аккаунта активировать вывод только на “доверенные адреса” криптовалютных кошельков, а также включить подтверждение через почту при выводе средств. Повышенное внимание нужно уделить конфиденциальности телефонного номера, привязанного к почтовому аккаунту. Приобретите для почты новую SIM-карту, держите её номер в секрете и не разглашайте никому, даже работниками биржи. Также, обратите внимание, что телефонные номера для логина на почте и на бирже должны быть разными.

Сложный пароль

Для адекватной защиты аккаунта, биржи рекомендуют использовать пароль минимум из 16 символов. Но современные методы брутфорса (взлом путём перебора значений) могут быть эффективны даже к таким длинным паролям. Стандартные генераторы случайных чисел тоже не всегда дают достаточно стойкий ко взлому результат, так как в них используется алгоритм генерации псевдослучайных чисел, не лежащих в плоскости эллиптической кривой. Строго говоря, генерация действительно случайных чисел - непростая задача. Чтобы облегчить этот процесс, можно использовать такой метод - брать в качестве "заготовки" публичный адрес биткоина, сгенерированный с помощью программы Vanitygen, а затем изменить его добавлением нескольких спецсимволов.

  • Например, сгенерированный исходник: 1PEiVYxWtKK4VhDLRFgd3nWDwrPxQQ4cWfH
  • Пароль на его основе: XEi#R5{EiVYxWt_$K4VhDLRF^gd3nWDwrPxQ4c&WfH
  • Взломать такой криптографически стойкий пароль методом подбора практически невозможно.

Инструкцию по использованию Vanitygen можно легко найти в интернете, например здесь.

Альтернативным вариантом является использование менеджера паролей. Достоин внимания LastPass, если вы готовы пожертвовать некоторой степенью безопасности ради удобства использования и функциональности.

Двухфакторная аутентификация (2FA)

  • Отправка пароля в виде SMS-сообщения

Не лучший способ защиты аккаунта. Существуют сервисы по предоставлению виртуального номера, которые позволяют не только звонить, но и получать на него SMS.Поэтому, злоумышленнику не нужно делать копию вашей SIM-карты, достаточно воспользоваться одним из таких сервисов. Конечно, можно держать в тайне номер, привязанный к биржевому аккаунту. Но будете ли вы чувствовать себя спокойно, зная о возможности перехвата SMS?

Гораздо более надёжный способ, не требующий подключения к интернету в процессе авторизации. Установив на смартфон 2FA от google, нужно всего лишь ввести персональный ключ и точно синхронизировать время, согласно вашему часовому поясу. При запуске, приложение генерирует новые одноразовые пароли каждые 30 секунд, а возможность перехвата или подмены отсутствует. Для авторизации, достаточно будет ввести шестизначный сгенерированный пароль в соответствующее поле на сайте биржи или торгового терминала. В теории, вероятность взлома всё же существует, но на практике этот процесс слишком сложен, сопряжен с множеством сторонних факторов и не даёт злоумышленнику никаких гарантий результата.

Поэтому, двухфакторную авторизацию от google можно считать вполне надёжной.

Обязательно сохраните персональный ключ (QR-код) Google Authentificator - это даст возможность возобновить доступ к биржевому аккаунту в случае поломки или утери смартфона.

Еще один сервис со схожим принципом работы, отличающийся расширенным набором функций. Например, есть версия приложения для десктопа, зашифрованное резервное копирование в облачном хранилище, мастер-пароль и поддержка криптовалютных кошельков.

Тем не менее, Authy гораздо менее популярен, даже несмотря на некоторое преимущество в функционале. Какой бы метод двухфакторной авторизации вы бы ни выбрали, настоятельно рекомендую использовать его не только для входа в биржевой аккаунт, но и для входа в почту. Напоминаю, что соответствующие телефонные номера должны быть разными и известными только вам.

Фишинг и спуфинг

Одни из самых распространённых способов мошенничества заключаются в подмене адреса в адресной строке браузера или скрытом перенаправлении на поддельный сайт биржи. Внешний вид такого сайта может полностью повторять оформление оригинальной биржи, поэтому новички часто попадаются на эту уловку, не замечая подвоха. Эффективным методом борьбы со спуфингом является добавление сайта биржи в закладки браузера, а с фишингом - избегание перехода по сомнительным ссылкам, даже если они приходят на почту от имени биржи. Всегда проверяйте наличие защищенного соединения с биржей и наличие сертификата SSL. Использование торгового терминала решает обе проблемы, так как нет взаимодействия с веб-интерфейсом биржи, а обмен данными происходит по другому протоколу, с использованием защищенного соединения.

Подводя итог, хотелось бы отметить, что выполнив один раз все перечисленные меры повышения безопасности аккаунта, вы избавитесь от множества проблем, с которыми так или иначе сталкиваются не только большинство новичков на криптовалютных биржах, но и достаточно опытные трейдеры.

Комментарии (0)
Чтобы оставить комментарий, вам необходимо войти или зарегистрироваться.