Bybit 焦点 | 十招保护你的加密资产安全

加密资产的去中心化安全模型很大程度上将权力移交到用户手上,随之而来的是用户保管好密钥的责任。在实践中,当用户拥有加密资产的第一天,就成为加密资产安全最核心原则和成功机制的“例外”——最容易出现安全失效的中心化点。所以,了解加密资产用户安全对持每一位用户都至关重要。

目标转移,个人也将被黑客盯上

作为一种具有内在价值的数字资产,加密资产具有易窃取、转账无法撤回、同时极难被追溯源等特点。这一切让者盗币者有了强烈的作案动机。

有研究数据表明,2019年全球由于黑客盗币导致的加密资产损失超过60亿美元。虽然,这些损失直接来自个人用户的较少,大部分来自交易平台、钱包服务商或相关企业。但是由于可见的高风险和安全对抗威胁的特性,企业端在安全防护上的投入上越来越多,越来越像传统中心化的金融服务机构那样构建起层层安全防御体系。随着企业端的安全攻击难度增加和成功率下降,曾经在互联网安全(cyber security)上演过的故事将再一次在加密资产世界重复:个人用户逐渐与企业并列成为黑客攻击目标。防盗指南,看看这十项建议。

1、改变安全认知,把付给银行的安全账单改为付给自己。

一个存在太久以至于我们都毫无觉察的事实是,我们每天都在为自己的银行账户资金安全“付费”(虽然“安全项”永远也不会出现在银行账单上)。不同于传统中心化的银行类金融服务公司,加密资产这样的去中心化系统则将安全责任和控制权都移交给了用户个人。

当我们持有加密资产时,别忘了,这里不再有银行这类的安全服务机构,甚至没有政府国家进行财产保护(因用户所在的国家或区域监管法规不同)。也就是说,我们还没有为这些资产的安全付费。所以,针对加密资产用户安全实践第一个建议,请把这部分安全成本花在自己身上,比如购买简单易用的硬件安全设备;比如在安全上投入更多的时间和精力,掌握基本的安全技能。

2、选择拥有安全事故赔偿或保险机制的可信交易平台。

加密资产持有者面临的首要风险当然是盗币。假设你和大部分个人用户一样,通过加密资产交易平台进行持币,选择可信平台毫无疑问是关键。

目前加密世界还没有真正的国际安全标准或第三方评级机构针对交易平台的安全评级,所以注册前去平台网站安全页适当了解其安全机制很有必要。比如,历史是否发生过安全事件?公司当前的安全投入如何?还有就是是否有公开承诺的安全事故赔偿或者帮用户购买账号安全保险等。

3、在防钓鱼上仅仅见多识广还不够,你还需要完成一项安全测验

作为加密资产持有者,你应该熟知用户安全风险,钓鱼绝对首当其冲。为了不成为盗币者眼中的“鱼”,需要对常见的“诱饵”多一些了解。

假设你收到一封钓鱼邮件,文中引诱你点击的链接是一个用www.goog1e.com(注意,不是www.google.com)类似方法构造的假域名。这个假域名再指向专为你准备的常用交易平台的克隆网站。你知道会有多少用户被欺骗?答案是15%(源自路透社针对2019年全球钓鱼统计数据【1】)。如果你的邮箱或互联网账号曾经在互联网上泄露或者是黑客眼中的“鲸鱼”,钓鱼邮件将经过精心设计,被欺骗概率就更高,将达到高达29%。

怎么安全防范?请进行一项防钓鱼安全测验,谷歌线上测验就是一个不错的选择(详见https://phishingquiz.withgoogle.com/ ,一共8道试题,约需10分钟)。如果没有通过,说明你需要增加自己的安全投入。大多数公司也会用这个来测试员工的安全意识和企业安全状况。

通过假的微信、微博或官方客服及其他工作人员来发放礼品,是另一种常见钓鱼方法。我们建议你擦亮眼睛,看看是”李逵”还是“李鬼”

在加密资产世界,还有一种简单有效的钓鱼手段,当用户把交易平台的EOS充值账号xxxdeposit拼为xxxdepoist,,后者是钓鱼者事前特意注册的一个假冒的充值地址,以此骗取用户的加密资产。可能难以想象,这么简单的方法,是目前链上最高收益的一个EOS钓鱼地址,已盗取超过几十万个EOS了,而钓鱼者的成本不会超过5美元。

4、正确使用双因素验证(2FA)

大部分加密资产交易平台或钱包服务提供商都会要求用户使用双因素验证,比如谷歌身份验证器或者类似于YubiKey这样的硬件令牌;但是总会有用户习惯性的没有正确使用2FA。

最常见的错误就是,把谷歌身份验证器绑定在个人电脑上、或者YubiKey类硬件令牌永远插在电脑上而不是随身携带。

花时间了解2FA安全机制原理,能让我们明白正确使用的2FA才是真正的2FA。2FA是一种额外的安全层,用于确保只有合法所有者才能访问其账户。这个“额外“的含义是除你知道的一些事情(密码、PIN等)外,安全还会验证第二个因素(Factor 2),这个Factor 2可以是你拥有的东西(比如携带的手机上安装的谷歌身份验证器,或者基于手机的一次性口令OTP,或者YubiKey这类硬件令牌)、也可以是你自身(比如指纹、眼睛虹膜、按键动作和鼠标轨迹等)。

当我们将谷歌身份验证器直接安装在电脑上每次复制验证码而不是拿出智能手机输入时,实际上是放弃了“你拥有的东西“这层额外验证。可以设想,一旦黑客(远程)或者直接登录你的电脑(物理接触),你的层层防护就像被抓住阿克琉斯之踵一样将被一箭击穿。

5、独立于其它互联网账号的强密码

采用用户已泄密的账号和密码来尝试碰撞目标加密资产账户,永远是黑客最经济的选择。知道了这一点,一个理智的加密资产持有者应有如下操作。

第一,为加密资产注册新的邮箱作为账号,避免你在互联网上的历史痕迹让黑客成功按图索骥。第二,不使用弱密码、不使用常见强密码,避免你会成为黑客攻击面覆盖下的首要目标。

区块链存证公司CipherTrace的报告显示,在全球前120家加密资产交易平台中,65%的客户身份验证(KYC)流程较弱。这意味着一旦你的加密资产账号密码被破解,黑客很可能就成为你以及你在这家交易平台加密资产的拥有者,因为平台并不认识你。

6、考虑7/2/1之类资产比例方式以分散风险

在交易平台拥有账号和加密资产外,另一种常见持币方式是个人保管。个人保管的加密资产资产,无论是在硬钱包、物理存储、桌面钱包或者移动APP钱包中,有一个适合大多数人的建议,请按照使用场景分别分配给冷、温、热三类钱包70%、20%和10%的资产进行管理。

7/2/1比例并不是最佳实践经验,7/2/1比例背后的资产管理的风险分散才是重点。用户可根据个人的需求,可以把钱包管理实践改为9/0/1或者任意比例。

举个例子,一位加密资产用户如何操作他的钱包和加密资产。从密钥生成电脑环境安全开始,到助记词物理存储中的变换顺序记录并存入可信保险箱,到助记词电子存储中的两层加密(Zip一层、GPG一层),再到采购硬件钱包作为温钱包使用,和交易平台的YubiKey硬件令牌……虽然操作很复杂,但是这样确实是安全的加密资产保管方式。

7、采用代表未来趋势的物理钱包

从长远来看,普通个人用户持有的加密资产安全会越来越多地以硬件钱包方式出现。与智能手机或个人电脑不同,一个加密资产硬件钱包被设计出来只有一个目的,那就是安全地保护加密资产资产。所以,硬件钱包在某种程度上类似于工业界的工控机,它只提供了有限的专用接口,不容易受到各种恶意软件攻击,从而可以给非专业用户提供近乎万无一失(再加上你的良好使用习惯)的安全等级。

对技术更有兴趣和自信的个人,还可能DIY自己的加密资产物理钱包,即加密资产物理存储,最常见的是“纸钱包”。原理很简单,既然加密资产的密钥只不过是串长一点的数字和字符,那将它们转换成物理方式,毫无疑问也是有效办法:比如把它转换个形式(有人采用BIP0038加密),打印在纸上并安全存放,同时牢记BIP0038过程中的强口令。这样你就有了一个安全无比的物理钱包。另外,现在许多智能手机钱包APP或者桌面钱包,都能够识别BIP0038加密过的私钥,在需要使用时,用户确保环境的安全后,提供口令解码并导入密钥,你就可以迅速将冷钱包变成热钱包了。这里面有两个关键安全提醒,第一,纸钱包需要复制多份存放或者放在保险柜里;第二,你用来处理BIP0038方案的个人电脑环境必须安全。

8、平衡过度复杂保护的风险,防止资产丢失

复杂性是安全性的敌人,尤其是对普通个人用户而言。

上面提到的这么多安全保护应对的主要风险是盗币,无论是在交易平台被盗,还是个人保管时被盗——但过于复杂的保护措施可能带来更大的风险,那就是由于忘记保密信息导致的加密资产“丢失”。简单说,如果你保护加密资产的方式太过了,这好比把钱藏在沙漠里,你可能永远无法再把它找回来了。

根据Jacob Franek 2019年基于链上UTXO数据分析的研究文章【2】,由于各种原因导致的私钥丢失可能性,截止2019年11月19日,预计有361万个比特币(约占1800万个总供给量的20%)永久丢失无法找回。可以想象,这些永久丢失的财富里,有很大一部分是因为持有者个人原因遗失,比如忘记密码、忘记物理存放位置、甚至是忘记拥有加密资产这件事。

防止加密资产丢失,最简单的方法正如文中开始部分所言,把自己这个“中心化的最容易安全失效点”转变成“去中心化”,比如存储多份、告诉信赖的家人或朋友。

9、保护个人与加密资产相关隐私

顾名思义,你的数据和加密资产资产没有隐私,你才有。

个人隐私保护是个大课题,如果只谈你个人与加密资产相关隐私,那就是能识别和关联到你的个人信息(PII, personal identity information)在加密世界中的痕迹。比如,你在加密资产社区中的ID和发言、你的电脑IP地址和智能手机设备信息、你在中心化交易平台的用户信息、你在各种社交媒体无意中提到所拥有的加密资产种类和数量、某个钱包地址背后的拥有者是你、你所使用的加密服务商(交易平台或钱包)、甚至你在某次非公开加密资产会议中的出席等等。

保护你的个人隐私是保护加密资产资产安全的一部分,但可能不仅如此,它还是你免于加密虚拟世界与现实世界摩擦困扰的不二法门。

10、生活在加密世界,你还需要一位安全专家朋友

“我的充值去了别人地址,交易平台客服说我中了剪贴板劫持恶意软件、需要立即查杀病毒和检查浏览器插件,剪贴板劫持是什么鬼?我该怎么做?”

加密世界用户的幸福都是相似的,烦恼的人各有各的烦恼,尤其是当遇到安全问题时。日常生活中拥有一位安全专家朋友,是一项常见忠告,就像多一些公务员或医生朋友。

结语

按照Marko Milijic的统计文章【3】,截止2019年,全球加密资产持有者数量约在1300万~2500万之间,并且这个数字还在快速增长中。面对加密资产这种迄今为止仍是全新而复杂的、前所未有的、安全风险大的技术(产品),我们这些持有者主要的角色就不能只是用户,而需要成为一位积极学习者,才能享受安全而无困扰的加密资产生活。

附录:

【1】2019 Phishing Statistics and Email Fraud Statistics,

【2】Jacob Franek:How Many Cryptocurrencies Are Permanently Lost?

【3】Marko Milijic: “37+ Cryptocurrency Statistics [Updated January 2020]”