文章來源:SophonLabs
原文標題:《加密投資者必備 Opsec 指南》
在這篇文章中,我們將討論如何修改日常在線的操作細節以提高 opsec(操作安全性)。在深入研究之前,請考慮一開始可能會讓人不知所措。您不必立即采用最佳網絡安全實踐。這個想法是列出不同的選項,并鼓勵您采取一些小步驟,這將有助于逐步改進您通常的在線和鏈上活動。
如果加密資產被黑客入侵過,那么你很可能以前從未費心考慮過 opsec。大家可能認為自己是完全安全的,因為您按照大多數人的建議使用硬件錢包。但是你有沒有仔細檢查過你的在線例行程序?你有沒有發現過當前系統中的缺陷?
因為這些問題的答案很可能是「否」,所以我想展示如何安全地處理每個加密投資者必須定期處理的 3 個不同領域:錢包、密碼和電子郵件。
由于錢包持有訪問用戶資金的密鑰,因此它是應該保護的第一個區域。最終,任何最終導致被盜資金的黑客攻擊都設法通過訪問用戶的私鑰來實現。
如果您正在閱讀本文,您可能已經聽到了「不是您的鑰匙,不是您的硬幣」這句名言的次數,次數數不清。因此,我將假設您可以控制您的私鑰,在本文中,我不會考慮由第三方(例如中心化交易所)保護的錢包。
那么,用戶在以自我托管的方式保護他們的資金時有哪些選擇?
第一級安全在于所謂的「熱錢包」。軟件錢包始終連接到互聯網,因此是最方便和易于管理的。這種類型的錢包允許用戶持有他們的私鑰,釋放抗審查資產的全部潛力。然而,這些類型的錢包具有如此便利性的缺點是以犧牲安全性為代價的,因為如果持有錢包的設備被黑客入侵,攻擊者可以輕松訪問其私鑰并竊取錢包的資金。
加密投資基金SevenX Ventures向跨鏈DID .bit成功申領sevenx.bit:9月15日,加密投資基金SevenX Ventures通過其官方社交媒體向跨鏈DID.bit成功申領了保留賬戶sevenx.bit。據悉,.bit通過引用第三方數據源保留的賬戶,在規定時間內成功發起申領就可以按注冊費獲得該賬戶。
此前報道,8月15日,跨鏈DID.bit宣布完成1300萬美元A輪融資,,CMB International領投,HashKey Capital, SevenX Ventures, QingSong Fund, GSR Ventures, GGV Capital與SNZ參投。9月14日,加密投資基金SevenX Ventures完成第三期基金首次募集,共募集8000萬美元。[2022/9/15 6:59:14]
如果您想堅持使用此選項,您應該將資金分散在不同的錢包之間,以最大程度地減少潛在漏洞的影響。
記住:你不想把所有的雞蛋放在一個籃子里。
第二級安全屬于冷錢包。這些類型的錢包允許用戶將私鑰存儲在離線設備(硬件)中。使用這些設備可確保除非攻擊者設法物理獲取設備或恢復階段(應僅脫機存儲),否則他們將無法獲取私鑰。
盡管冷錢包更安全,因為它們還迫使用戶在簽署交易時擁有硬件設備,但與熱錢包相比,它們不太方便。
最常見的硬件錢包是由 Ledger,Trezor 和 Grid+ 制造的錢包。盡管冷錢包已經具有更高的安全性,但通過將資金分散在不同品牌的錢包之間來最小化風險并不是一個壞主意。通過這樣做,您將在這些公司之一受到損害的不太可能的情況下受到保護。
韓國加密投資者將需申報海外交易所投資情況:1月4日消息,韓國政府將試圖更好地了解其目標加密貨幣投資者的人口結構。這方面的最新舉措是要求公民申報他們在海外交易所進行的加密貨幣投資。
韓國經濟和財政部出版的新一年指南提到,公民和國內企業在今年任何一天在海外賬戶中存入的價值超過5億韓元的存款必須在2023年6月1日至6月30日期間向轄區稅務局局長報告。
值得注意的是,海外加密貨幣賬戶也被列為這一類別,大概是為了更好地制定關于加密貨幣資本收益的稅法,該稅法將于2023年開始實施。(AMBCrypto)[2022/1/5 8:25:26]
注意:您還應該考慮到為潛在的錢包恢復過程做好準備很重要。如果您最終無法訪問持有私鑰的設備(即損壞的硬件錢包),您需要確保擁有私鑰的備份并知道如何恢復錢包。Grid+ 的一個很酷的功能是能夠使用 SafeCards,這是受密碼保護的私鑰備份。
顧名思義,智能合約錢包是一種由智能合約而不是私鑰管理的錢包。此功能由于其靈活性,使這些類型的錢包最安全。使用自定義邏輯的能力增加了額外的驗證層(多重簽名事務),甚至可以添加每日傳輸限制等約束。最重要的是,他們還有帳戶恢復機制。
在所有提到的功能中,最有趣的是多重簽名交易。這些屬性需要多個錢包(監護人)的簽名才能確認任何交易。如果您決定使用智能合約錢包,您應該設置一個 N of M 多重簽名,其中包含 N > 1。這些配置將確保始終需要至少 2 個簽名來簽署交易,從而最大限度地降低利用風險并確保不會因單點故障而成功攻擊。
盡管智能合約錢包在簽署交易時需要付出更多的努力(單個用戶必須訪問多個設備或多個用戶必須協調),但它們在帳戶恢復方面也非常方便。具有 N
菲律賓證券交易委員會禁止個人和團體參與未經授權的加密投資計劃:7月6日消息,菲律賓證券交易委員會(SEC)在7月1日的一份聲明中警告公眾,禁止個人和團體參與未經授權的加密貨幣投資計劃。其警告稱,參與加密計劃的人可能面臨罰款或21年監禁,或者兩者兼而有之。它解釋說:“從事未經授權投資計劃的實體的推銷員、經紀人、交易商或代理人,最高可被罰款五百五十萬美元或監禁21年,或兩者并處。”(Cointelegraph)[2020/7/6]
EOA(由常規錢包控制的賬戶)和智能合約錢包之間的比較。
例如,一個強大的設置是使用 Gnosis Safe,它需要來自以下 2 種錢包的 4 個簽名:
個人 1:計算機中的軟件錢包(小狐貍錢包),僅用于與加密相關的東西。
個人 2:存放在家中的硬件錢包,因此易于訪問。
備份 1:由受信任的人保護的第二個硬件錢包。
備份 2:由另一個信任的人(另一個)保護的紙質助記詞。
盡管可以使用如上所述的非常強大的錢包配置,但是最終仍然可以采取一些措施進一步提高其安全性。例如還可以用不易損壞的東西代替紙錢包,例如 CryptoSteel 錢包。還可以設置地址白名單,每日交易限額,甚至轉移資金時的凍結時間。
上述的每種錢包類型都提供不同級別的安全性,但重要的是要了解它們也具有不同級別的便利性和易用性。正因為如此,即使您在安全階梯上向上移動,組合不同的選項也是有意義的(例如,將大部分資金放在保險箱中,但也有一個熱錢包來鑄造 NFT)。
加密投資者Michael Terpin回擊AT&T提出的撤銷懲罰性賠償動議:美國電信巨頭AT&T提出了一項動議,要求撤銷加密貨幣投資者Michael Terpin在曠日持久的SIM卡掉期案中提出的2億美元懲罰性賠償要求。Michael Terpin表示,他對AT&T不斷試圖在法庭上浪費時間和金錢以“延緩清算的日子”感到失望。AT&T稱這些攻擊是“不幸的”,但表示它決心繼續打這場官司。4月13日,Michael Terpin對AT&T提出的駁回動議表示反對,認為AT&T的“代表對安全系統的健壯性做出了具體的虛假陳述”。 他還聲稱,自2018年提起訴訟以來,AT&T一直試圖通過多次要求撤銷此案來混淆相關事實。(Cointelegraph)[2020/4/16]
大多數加密投資者將他們的安全措施限制在錢包中,但忘記了黑客可以通過訪問他們的帳戶竊取財產。所以也應該防止帳戶被黑客入侵?
密碼「熵」或隨機性是衡量密碼不可預測程度的指標。此度量基于使用的字符(小寫、大寫、數字和符號)以及長度。密碼熵預測通過猜測、暴力破解或其他常見方法破解給定密碼的難度。
由于缺乏隨機性,弱密碼存在缺陷。例如,您是否曾經在密碼中使用過親戚或寵物的名字?也許是一個特殊的日子?不是很隨機,是嗎?請記住,如果黑客可以訪問個人的私人信息,那么就可以輕松破解非隨機生成的密碼。
盡管字符的類型增加了密碼的熵,但影響最大的變量是長度。因此,您應該擺脫舊的密碼標準,并開始優先考慮長度而不是特殊字符。總之,您應該擺脫人類難以記住但易于破解的密碼,并開始采用難以破解的易于記憶的密碼。
動態 | 加密投資平臺Relex與MTIP請求白俄羅斯投資越南My Thuy國際港口:近日,加密貨幣投資平臺Relex創始人Keith Hilden與My Thuy國際港口合資公司(MTIP)在越南胡志明市正式簽署了請求白俄羅斯投資My Thuy國際港口的信函。據悉,My Thuy國際港口開發項目由越南總理阮春福(Nguyen Xuan Phuc)親自批準,價值6.37億美元。 Relex與My Thuy國際港口合作,正式請求白俄羅斯國家銀行、白俄羅斯共和國財政部和維捷布斯克總督以2.2億美元促進投資的形式提供額外支持。 MTIP贊賞了Relex發揮的作用,使其成為白俄羅斯共和國首個考慮通過新數字經濟進行投資的項目,特別是通過Relex加密模型。白俄羅斯Relex首席執行官Oksana Lozytskaya將在白俄羅斯率先提出數字投資方案。[2019/6/3]
如果你想像圖片中的那個人一樣,我建議使用 diceware 來創建強大的隨機密碼。通過這樣做,您只需要記住幾個單詞,這些單詞將產生高熵和安全密碼。最重要的是,您可以定期添加額外的單詞,因為您確定您已經內化了當前的單詞。
系統的整體安全性由其最薄弱的組件決定。因此,在構建安全系統時應考慮一個關鍵原則:分區化。
如果一個系統是用彼此隔離的組件構建的,那么該系統將更能抵抗外部攻擊。即使某個組件遭到入侵,攻擊者也無法訪問其他組件。
因此,重要的是要關注所有帳戶的安全性,并為每個帳戶設置不同的密碼。請注密碼派生不算作獨立密碼。
如何處理每個帳戶的完全隨機憑據? 通過使用密碼管理器。
密碼管理器生成隨機、強且唯一的密碼,這些密碼存儲在保管庫中,并使用一個主密碼進行加密(通常使用 AES 或 SHA 256 加密)。它們確保高安全性,用戶只需記住一個強密碼即可訪問其所有憑據。
第三方密碼管理器(LastPass,Bitwarden,1Password 等)是用戶友好的,并提供多設備同步等功能和具有密碼自動填充等功能的漂亮用戶界面。它們中的大多數是免費增值,付費可以獲得更高級的功能。
值得一提的一個關鍵區別是,雖然 LastPass 和 1Password 是閉源的,但 Bitwarden 是開源的。正因為如此,信任任何人都可以審核其代碼的公開可用軟件總是更容易。
請注意,Bitwarden 可以自托管在您自己的服務器上,讓您完全控制數據及其存儲位置。但是自托管需要技術專業知識和服務器資源,并且可能并不適合所有人。
KeePass,KeePassXC 和其他 KeePass 分支是免費的開源軟件,自 2000 年代初以來一直存在活躍的開發社區。
第三方密碼管理器和本地密碼管理器之間的主要區別在于數據的存儲位置。第三方軟件將數據存儲在云服務器上,而 KeePass 等本地密碼管理器則在本地進行。
盡管第三方管理器確保數據在云中同步之前已完全加密(以確保隱私和安全),但此方法不如在本地嚴格存儲信息安全。最重要的是,有些人可能會爭辯說,盡管擁有安全專家團隊,但這些公司是黑客的蜜罐,更有可能受到攻擊。
另一個重要的區別是,本地密碼管理器比第三方密碼管理器更簡單,用戶體驗更差。要添加額外功能并改進用戶體驗,必須安裝第三方插件。盡管此功能使其高度可定制,但它也需要更高的技術知識。
密碼是解鎖帳戶的密鑰,但電子郵件最終將您的真實身份與您的在線活動聯系起來。可以將電子郵件視為第二個密碼。如果攻擊者無法找出您的電子郵件,他們就無法訪問您。
處理電子郵件時,應該擔心的第一件事是決定使用哪個電子郵件提供商。電子郵件提供商實現電子郵件服務器以代表其用戶發送、接收、接受和存儲電子郵件。
我建議使用Protonmail,一個專注于隱私的開源電子郵件服務提供商。由于該公司總部位于瑞士,因此他們不必遵守歐盟 / 美國法律,并且可以實施端到端加密。E2EE 是一種通信系統,可防止第三方訪問傳輸的數據。它能夠通過使用接收方的公鑰加密消息來做到這一點。此機制可確保只有接收方才能讀取消息的內容。
Protonmail 的 E2EE 如何工作的圖表。
最重要的是,Protonmail 是開源的郵件服務。擁有整潔的 UI 界面并且提供慷慨的免費套餐服務。
如前所述,區隔化在系統的穩健性中起著關鍵作用。正因為如此,前面描述的相同原則也適用于這里。為了最大程度地減少漏洞利用的影響,理想情況下,您應該為每個帳戶提供單獨的電子郵件。
由于為每個帳戶創建全新的電子郵件可能既耗時又難以處理,因此您應該考慮以下幾種選擇:
聚合
帳戶集群聚合旨在幫助在為每種目的創建新帳戶的負擔與對所有用途重復使用同一帳戶的負擔之間找到最佳平衡點。它的主要原則包括將在線生活中的不同活動彼此隔離開來。如果您的某個帳戶被泄露或泄露,我不會影響在線生活的其他領域。
別名混淆
電子郵件別名是一種特殊類型的地址,可將發送給他們的所有電子郵件轉發給您的主帳戶。
盡管電子郵件別名無法完全阻止網絡釣魚攻擊,但它們充當代理,因此增加了額外的安全層。使用電子郵件別名可以讓您對泄露的信息產生代理權,并保護您的主電子郵件地址免受第三方侵害。這對于防止數據泄露以及收集和 / 或出售您的數據的公司特別方便。
SimpleLogin 或 AnonAddy 等服務是出色的開源別名工具,可輕松幫助您停用受損或丟失的別名。它們還提供子域等附加功能,甚至允許多個主電子郵件。最重要的是,SimpleLogon 最近被注重隱私的 Swish 公司 Proton 收購,這成為了他們是偉大產品的保證。
盡管強密碼可以保護您免受暴力破解攻擊,但它們不會保護您免受釣魚。別名(和電子郵件分隔)提供的一個被低估的功能是,它們不僅可以減少垃圾郵件,還可以幫助您識別不應在給定帳戶中接收的可疑電子郵件。
假設您收到一封電子郵件,希望您單擊鏈接以重新安排無法在您的位置交付的訂單,但目標地址是您的新聞通訊別名帳戶。如果這種情況即將發生,您可以確定該鏈接是惡意的。
安全性和便利性之間通常存在負相關關系。最終,只有您始終堅持最佳實踐,系統才會安全,因此最好慢慢爬上安全階梯并慢慢養成新習慣。這篇文章的目的是解釋不同的選擇,并鼓勵你找到你的個人甜蜜點。
我只是想讓你考慮到,隨著你的投資組合的增長,更多的資金面臨風險,你應該確保更強大的 opsec。如果您以前從未采取過任何措施,那么突然實施重大更改可能會非常具有挑戰性,因此最好從一開始就考慮所討論的原則。
在生活中,有些教訓值得從別人的經歷中學習。在我個人看來,因為你有糟糕的 opsec 實踐而遭受漏洞利用并不是你想直接學習的教訓。正因為如此,每個加密投資者,以及任何關心隱私的人,都應該能夠通過使用他們的密碼管理器來控制他們的數字痕跡。
DeFi之道
個人專欄
閱讀更多
金色早8點
金色財經
Odaily星球日報
歐科云鏈
Arcane Labs
深潮TechFlow
MarsBit
澎湃新聞
BTCStudy
鏈得得
Tags:VENBITASSPASApeHavenbybit官網截圖Recycle Impact World AssociationVESPASHIBA幣
DeFi數據 1、DeFi代幣總市值:518.55億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量26.
1900/1/1 0:00:00摘要:人工智能聊天機器人 ChatGPT 一經推出就引發廣泛關注,其為社會帶來巨大便利的同時,也存在諸多法律風險,主要包括知識產權歸屬爭議,數據來源合法性與用以訓練的數據質量問題.
1900/1/1 0:00:00作者:flowie,ChainCatcher網傳 “6月1日香港居民自由買賣加密貨幣將完全合法”后,香港概念幣開始起飛了.
1900/1/1 0:00:00談論 Web3 產品時,你首先會聯想到什么?熱點敘事、新技術、經濟模型、去中心化或數據歸屬權....當這些詞語高頻出現時,一個更接近商業本質的詞語似乎被忽略了:收入.
1900/1/1 0:00:00來源:bankless 長期以來,比特幣持有者的口號之一是將 BTC 作為貨幣的唯一用途。隨著比特幣NFT的興起,這種觀點似乎正在改變,本文將介紹如何在比特幣網絡上鑄造屬于你自己的 NFT.
1900/1/1 0:00:00這個國際婦女節,Coinlive推出國際婦女節特別訪談節目,為了更深入了解加密領域的女性工作環境及狀況,Coinlive走上街頭,對多位在加密領域的代表性的女性進行采訪.
1900/1/1 0:00:00