به گزارش سایت خبری ساعدنیوز، با وجود واضح بودن اهمیت بالای امنیت، افراد بسیاری هستند که در زندگی روزمره خود این موضوع را جدی نمی گیرند. از طرف دیگر، می بینیم که متخصصان حوزه امنیت فکر می کنند افراد عادی هم به درک عمیقی از مسائل امنیتی رسیده اند و با تکیه بر همین طرز تفکر، سیستم هایی را طراحی می کنند که کار کردن با آنها بسیار دشوار است و پیچیدگی های زیادی دارد. امنیت بحث بسیار گسترده ای است و من (مدیرعامل بایننس) هم در بسیاری از بخش های وابسته به امنیت تخصص ندارم، اما شاهد مشکلات زیاد مردم درباره این مقوله بوده ام. با توجه به هیاهویی که ارزهای دیجیتال و بازار آنها در این مدت ایجاد کرده اند، شاهد ورود تعداد زیادی تازه وارد به این حوزه هستیم. در این مقاله، قصد دارم با زبانی ساده مفاهیم امنیتیِ مرتبط با حوزه ارزهای دیجیتال را شرح بدهم. در ادامه در چهار فصل اصلیِ زیر، موضوع امنیت را پی خواهیم گرفت:
- مفاهیم پایه ای از امنیت
- چرا و چگونه باید ارزهای خود را نزد خود نگه دارید؟ بایدها و نبایدها در انجام این کار
- چرا و چگونه باید ارزهای خود را نزد صرافی های متمرکز نگه دارید؟ بایدها و نبایدها در انجام این کار
- سایر موارد
اول از همه باید بگویم که هیچ چیزی ۱۰۰٪ امن نیست. مثلاً اگر یک شهاب سنگ با سیاره کوچک ما برخورد کند، اهمیتی ندارد که چطور سرمایه های خود را نگهداری می کنید. شاید بگویید که می توان آنها را در فضا نگهداری کرد، اما مگر چقدر دوام می آورند؟ یا اصلاً زمانی که دیگر زمینی وجود نداشته باشد، این سرمایه ها ارزش خواهند داشت؟ قطعاً در آن زمان این مسئله اهمیت چندانی نخواهد داشت. تمام اینها را گفتم تا به جواب این سؤال برسیم که مفهومی به اسم «امنیت کافی» وجود دارد یا نه.
بیایید ابتدا عبارت «امنیت کافی» را تعریف کنیم. برای هر کس، نسبت به نوع استفاده و اهدافش، مفهوم امنیت کافی متفاوت خواهد بود. اگر در کیف پول خود فقط ۱۰۰ دلار برای خریدهای روزمره داشته باشید، قطعاً نیازی نیست تدابیر شدید امنیتی برای کیف پول اتخاذ کنید. ولی اگر چند میلیون دلار یا تمام پس انداز زندگی تان را در یک کیف پول ذخیره می کنید، پس اقدامات امنیتی هم باید سخت گیرانه تر باشد. در ادامه این مقاله، ما فرض را بر این می گیریم که مبلغ قابل توجهی ارز دیجیتال دارید و می خواهید امنیت آن را حفظ کنید.
برای تأمین امنیت ارزهای دیجیتالتان، به یاد داشتن سه نکته زیر حائز اهمیت است:
- باید جلوی دزدیده شدن سرمایه ها را بگیرید.
- نباید آنها را گم کنید.
- وقتی که فوت کردید، راهی باشد که سرمایه ها به دست کسانی که دوستشان دارید، برسد.
اگرچه شاید ساده به نظر برسد، اما انجام هر سه این موارد نیازمند دانش، تلاش و پشتکاری است که یا بیشتر مردم از آن برخوردار نیستند یا اغلب آن را جدی نمی گیرند. بیایید به سراغ اصل مطلب برویم.
چرا و چگونه باید ارزهای خود را نزد خود نگه دارید؟ بایدها و نبایدها
بسیاری از خوره های ارزهای دیجیتال معتقدند که تنها زمانی ارزهای شما جایشان امن است که پیش خودتان باشد، اما این را در نظر نمی گیرند که از نظر فنی نگهداریِ این چنینی دارایی ها تا چه اندازه می تواند سخت و گیج کننده باشد. آیا نگهداری ارز دیجیتال پیش خودتان، بهترین گزینه ی پیش روی شماست؟ بگذارید نگاهی عمیق تر به آن داشته باشیم.
در ابتدای کار از شما می پرسم که آیا می دانید کلید خصوصی بیت کوین چه شکلی است؟ اگر مطمئن نیستید، پس به خواندن مقاله ادامه بدهید.
کلید خصوصی بیت کوین چیزی شبیه به این عبارت است:
KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p
بله، درست است، همین رشته از کاراکترها کلید خصوصی بیت کوین را شکل می دهد؛ هر کسی که این رشته متنی را داشته باشد، می تواند هر چه بیت کوین در داخل یک آدرس ذخیره شده باشد را جابه جا کند.
مفهوم دیگری که باید با آن آشنا باشید، عبارت بازیابی یا «سید فریز» (Seed Phrase) است. سید یک رشته ۱۲ الی ۲۴تایی از کلمات انگلیسی است که به ترتیب خاصی در کنار یکدیگر قرار گرفته اند. از سیدها برای تولید مجموعه های کلید خصوصی استفاده می شود. بسیاری از کیف پول های ارزهای دیجیتال از سیدها استفاده می کنند. در ادامه از عبارت «کلید خصوصی» استفاده می کنم، اما باید بدانید که بیشتر سازوکارها و اطلاعاتی که در اختیار شما قرار می دهم، در ارتباط با سیدها نیز باید رعایت شوند.
به بحث اصلی خودمان برگردیم؛ برای نگهداری امن ارزهای دیجیتال در نزد خود، اجرای نکات زیر ضروری است:
- نگذارید بقیه به کلیدهای خصوصی شما دسترسی داشته باشند؛ جلوگیری از ورود هکرها، محافظت از رایانه در مقابل ویروس ها، محافظت در فضای اینترنت و …
- کلیدهای خصوصی خود را گم نکنید؛ شامل تهیه نسخه پشتیبانی برای مواقعی که دستگاه های شما آسیب می بیند و نگهداری این نسخه ها در مکانی امن.
- ایجاد راهی برای انتقال کلیدهای خصوصی در هنگام مرگ؛ این مورد چندان خوشایند نیست، اما از آنجا که ما افرادی بالغ هستیم و نسبت به کسانی که دوست شان داریم مسئولیم، پس باید این احتمال را نیز در نظر گرفته و خود را برای آن آماده کنیم.
در ادامه هر یک از بخش ها را به تفصیل توضیح خواهم داد.
جلوگیری از دسترسی دیگران به کلیدهای خصوصی
حتماً تا به حال در مورد هکرها، ویروس های رایانه ای، تروجان ها و امثال اینها شنیده اید. حقیقت اینجاست که اصلاً دلتان نمی خواهد سروکار یکی از آنها به دستگاهی بیفتد که ارزهای خود را در آن نگهداری می کنید.
اگر دوست دارید مطمئن شوید که دستگاه تان گرفتار چنین مشکلاتی نمی شود، هیچ وقت نباید آن را به اینترنت متصل و فایلی را با استفاده از آن دانلود کنید. حالا این سؤال مطرح می شود که چطور با استفاده از یک دستگاهی مثل این، به شکلی امن ارزهای دیجیتال خود را دریافت و ارسال کنیم؟
بیایید به دستگاه های مختلفی بپردازیم که می توانید از آنها استفاده کنید.
رایانه شخصی
کامپیوتر شخصی محتمل ترین گزینه برای استفاده است. اگر از یک رایانه برای نگهداری ارزهای خود استفاده می کنید، بهتر است آن را به اینترنت یا هر شبکه دیگری متصل نکنید. اگر کامپیوتر شما به اینترنت متصل باشد، این احتمال وجود دارد که هکرها بتوانند با استفاده از باگ سیستم عامل یا برخی از نرم افزارهایی که روی دستگاه شما وجود دارد، به رایانه نفوذ کنند. نرم افزارها هیچ وقت بدون باگ نیستند.
پس حالا که نمی توان دستگاه را به اینترنت وصل کرد، چطور نرم افزارهای مورد نیاز را روی آن نصب کنیم؟ از سی دی یا فلش مموری استفاده کنید، اما قبل از آن، مطمئن شوید که محتویات آنها دارای فایل های مخرب نباشد. حداقل از ۳ آنتی ویروس مختلف برای اسکن کردن محتویات سی دی یا حافظه جانبی خود استفاده کنید تا مطمئن شوید که هیچ فایل مخربی در داخل آنها نباشد. نرم افزار (سیستم عامل یا کیف پول) مورد نظر خود را دانلود کرده و آن را به فلش مموری خود منتقل کنید. قبل از زدن حافظه به کامپیوتر، برای اطمینان بیشتر در اخبار جستجو کنید تا مطمئن شوید که هیچ نگرانی امنیتی در ارتباط با نرم افزاری که دانلود کرده یا وب سایتی که از آن اقدام به دانلود کرده اید، وجود ندارد. به یاد داشته باشید که بارها وب سایت های رسمی هک شده و فایل های آنها با فایل هایی حاوی تروجان جایگزین شده اند. با این حال، تنها باید فایل های خود را از طریق وب سایت های رسمی دریافت کنید. به علاوه، برای کاهش شانس وجود در پشتی یا بک دور (Back-door) در ارتباط با این نرم افزارها، مطمئن شوید که نرم افزار مورد نظر، متن باز (Open Source) باشد. در این صورت، حتی اگر شما خودتان هم به کدنویسی آشنا نباشید، برنامه نویسان دیگر این نرم افزارها را بررسی می کنند و از همین رو احتمال آلوده بودن آنها کمتر می شود. به عبارت دیگر، برای امنیت کامل، باید از یک نسخه پایدار لینوکس (نه ویندوز یا مک) و یک نرم افزار متن باز کیف پول استفاده کنید. ویندوز و مک متن باز نیستند و این خطر را افزایش می دهد.
پس از آنکه همه چیز را نصب کردید، از یک فلش مموریِ بدون ویروس برای امضای آفلاین تراکنش ها استفاده کنید. این گزینه به نوعِ کیف پول شما بستگی دارد که در این مقاله فرصتی برای تشریح هر یک از آنها نیست. به جز بیت کوین، بسیاری از ارزهای دیجیتال کیف پول هایی که امکان امضای آفلاین در آنها وجود داشته باشد، ندارند. روش امضای آنلاین به این شکل است که شما در کامپیوتر خود به شکل آفلاین و بدون اتصال به اینترنت تراکنش را امضا می کنید و سپس تراکنش امضا شده را با استفاده از یک کامپیوتر متصل به اینترنت، برای شبکه می فرستید.
علاوه بر همه اینها، باید امنیت فیزیکی دستگاه خود را نیز تأمین کنید. اگر کسی آن را از شما بدزدد، آن گاه به آن دسترسی خواهد داشت. از همین رو، مطمئن شوید که دیسک شما به شکل قابل قبول رمزگذاری شده باشد، در این صورت اگر کسی به هارد شما دسترسی داشته باشد، باز هم قادر نیست تا اطلاعات آن را بازیابی کند. سیستم های مختلف، ابزارهای رمزگذاری مختلفی را در اختیار کاربران قرار می دهند. با جستجویی ساده در اینترنت ده ها نرم افزار رمزگذاری مختلف در اختیار شما خواهد بود.
اگر به کارگیری نکات بالا برای شما امکان پذیر است، احتمالاً نیازی به خواندن ادامه مقاله نخواهید داشت. اگر انجام آنها برایتان سخت است، پس گزینه های دیگری نیز برای شما وجود دارد.
تلفن همراه
می توانید از تلفن همراه خود نیز برای ذخیره ارزهای دیجیتال استفاده کنید. امروزه تلفن های همراهی که جیل بریک (Jailbreak) یا روت نشده باشند، از بیشتر رایانه ها امن تر هستند؛ چراکه روی سیستم عامل های موبایل هکرها خیلی نمی توانند مانور بدهند. نسخه های مختلفی از اندروید وجود دارد که می توانید از آنها استفاده کنید، اما شخصاً پیشنهاد می کنم که از تلفن های هوشمند آیفون استفاده کنید. بار دیگر تأکید می کنم که بهتر است از یک تلفن همراه جداگانه برای ذخیره ارزهای دیجیتال خود استفاده کنید. کار را با بازگرداندن تلفن همراه به تنظیمات کارخانه آغاز کنید و مطمئن شوید که گزینه «پاکسازی تمام داده ها و تنظیمات» را انتخاب کرده باشید. پس از آن فقط و فقط کیف پول مورد نظر را دانلود کنید. اگر امنیت کامل می خواهید، تلفن همراه شما در تمام مدت باید در حالت پرواز باشد و فقط در صورتی آن را از حالت پرواز خارج کنید که قصد انجام تراکنش را داشته باشید. پیشنهاد می کنم که از سیمکارت جداگانه برای این تلفن همراه استفاده کنید. به علاوه، فقط از سیمکارت های نسل چهارم (4G) برای اتصال استفاده کنید. برای امنیت بیشتر، هیچ وقت تلفن همراه را به شبکه های وای فای متصل نکنید. تنها زمانی به اینترنت متصل شوید که قصد انجام تراکنش یا به روزرسانی نرم افزارتان را دارید. البته اگر مبلغ خیلی زیادی در کیف پول تان نیست، رعایت این نکات اهمیت چندانی ندارد.
برخی از کیف پول ها امکان امضای آفلاین تراکنش ها را با استفاده از کیوآر کد فراهم می کنند، از همین رو می توانید پس از اتمام نصب کیف پول و قبل از تولید کلیدهای خصوصی، کاملاً آفلاین باشید. به این ترتیب مطمئن خواهید شد که کلیدهای خصوصی هیچ گاه بر روی تلفنی که به اینترنت متصل است، قرار نمی گیرد. این قابلیت هنگامی ارزشمند است که کیف پول، اطلاعات را به صورت مخفی برای توسعه دهنده ارسال می کند. در گذشته چندین بار و حتی در مورد نسخه های رسمی نیز شاهد بروز چنین اتفاقی بوده ایم. در این صورت نمی توانید نرم افزار کیف پول یا سیستم عامل تان را به روزرسانی کنید. برای به روزرسانی باید از یک تلفن همراه دیگر استفاده کنید؛ نسخه جدیدتر کیف پول را روی آن نصب کنید، آن را روی حالت پرواز قرار دهید، آدرس جدید ایجاد کنید، از آن نسخه پشتیبانی تهیه و سپس ارزها را به تلفن جدید ارسال کنید. صد البته که این روش چندان باب میل شما نخواهد بود و بسیار وقت گیر است و تعداد کمی از ارزها/بلاک چین ها دارای کیف پول هایی با این قابلیت هستند.
حفظ امنیت فیزیکی تلفن همراه تان مهم است. با وجود اینکه گفته می شود هارد دیسک های جدید آیفون کاملا رمزگذاری شده هستند، اما گزارش ها حاکی از آن است که در صورت وجود دسترسی فیزیکی به تلفن همراه، دستگاه های خاصی می توانند رمزنگاری هارد دیسک این تلفن همراه را بشکنند.
کیف پول های سخت افزاری
این دستگاه ها به این منظور طراحی شده اند که کلیدهای خصوصی شما هیچ گاه از دستگاه خارج نشوند. به همین دلیل، با اتصال آنها به رایانه، هیچ نسخه ای (چه به صورت رمزگذاری شده و چه به صورت معمول) از آن روی رایانه نیز ذخیره نمی شود. امضای تراکنش در داخل دستگاه صورت می گیرد. اما هیچ چیز ۱۰۰٪ مصون نیست. چنین کیف پول هایی می توانند دارای باگ هایی در فریمور (Frameware)، نرم افزار یا دیگر بخش های خود باشند. کیف پول های سخت افزاری بسیاری در بازار وجود دارد و پیشنهاد می شود از کیف پول هایی که برندی ثابت شده دارند و امتحان شان را پس داده اند، استفاده کنید. گزارش هایی وجود دارد که نشان می دهد یکی از هر دو برند مشهور در کیف پول های سخت افزاری، دارای یک باگ است که در صورت دسترسی فیزیکی به آنها، می توان سرمایه های کاربر را سرقت کرد. از همین رو، باید مطمئن شوید که به شکلی امن از آن نگه داری می کنید. به علاوه، تقریباً تمام کیف پول های سخت افزاری نیازمند تعامل با رایانه یا تلفن همراه شما هستند. در اینجا باید مطمئن شوید که رایانه یا تلفن همراه شما دارای نقص امنیتی یا ویروس نیست. برخی از ویروس ها، در آخرین لحظه، جای آدرس مورد نظر شما را با آدرس هکر تغییر می دهند، پس در هنگام تأیید تراکنش، حتما مراقب این قبیل ویروس ها باشید و آدرس های ورودی را پیش از تایید تراکنش نیز چک کنید. وقتی از کیف پول سخت افزاری استفاده می کنید نیز موظفید تا امنیت رایانه خود را تأمین کنید. صد البته چنین کیف پول هایی جلوی بسیاری از حملات معمول برای دزدیدن کلیدهای خصوصی را می گیرند، اما باز هم چیزی از اهمیت محافظت از رایانه کم نمی شود. همیشه مطمئن شوید که فایروال شما در سخت گیرانه ترین حالت قرار گرفته باشد. اگر تمایل دارید تا ارزهایتان پیش خودتان باشد، این قبیل کیف پول ها گزینه مناسبی هستند.
کلیدهای خصوصی خود را گم نکنید
ممکن است دستگاهی که ارزهای خود را در آن نگه می دارید گم شود یا آسیب ببیند. برای غلبه بر این مشکلات، در ادامه به راهکارهای مناسب خواهیم پرداخت:
نسخه های پشتیبان
روش های فراوانی برای این کار وجود دارد و هر یک نقاط قوت و ضعف مختص خود را دارند. اساساً [تنها] کاری که باید بکنید این است که چندین نسخه پشتیبان، در چندین نقطه مختلف که امکان مشاهده آنها توسط افراد دیگر نباشد (رمزگذاری شده باشد)، تهیه کنید.
می توانید نسخه پشتیبان خود را روی یک تکه کاغذ بنویسید. نوشتن ۱۲ الی ۱۴ کلمه انگلیسی روی کاغذ کار بسیار راحتی است. اما در ارتباط با ذخیره مستقیم کلیدهای خصوصی، این احتمال وجود دارد که به دلیل وجود حروف های کوچک و بزرگ زیاد در کلید خصوصی یا دستخط بد، نتوان حروف را به درستی خواند. مثلاً شاید عدد 0 با حرف O اشتباه گرفته شود. مشکلات دیگر کاغذ عبارتند از:
- گم شدن؛ مثلا در میان کاغذهای دیگر
- آسیب دیدن؛ مثلا آتش گرفتن یا خیس شدن
- افراد دیگر می توانند آن را بخوانند و قابلیت رمزگذاری ندارد.
برخی از افراد از صندوق های بانکی برای نگه داری کاغذی که روی آن کلیدهای خصوصی شان را نوشته اند، استفاده می کنند. به دلایلی که بالاتر به آنها اشاره کردم، این روش را پیشنهاد نمی کنم.
از این کاغذ (دیجیتالی یا فیزیکی)، عکس یا اسکرین شات نگیرید، آنها را در فضای ذخیره ابری اینترنت (مانند تلگرام) خود قرار ندهید و اصلاً این فکر را به سرتان راه ندهید که با این کار، پشتیبان امنی از کلیدهای خصوصی خود تهیه کرده اید. اگر یک هکر حساب ایمیل شما یا رایانه تان را هک کند، به سادگی آنها را پیدا خواهد کرد. این نکته را نیز در نظر بگیرید که شاید ارائه دهنده خدمات ذخیره ابری، از داده های شما چندین کپی، در چندین نقطه مختلف داشته باشد و کارمندان یا حداقل برخی از کارمندان آنها بتوانند این فایل ها را ببینند.
برخی از برچسب های فلزی نیز مخصوص ذخیره و تهیه پشتیبان از سیدها تولید شده است. این قبیل برچسب ها طوری طراحی شده اند که از آسیب فیزیکی در امان باشند و همین مسئله خطراتی را که از بلایایی نظیر سیل و آتش سوزی ناشی می شود، از بین می برد. اما همچنان اگر کسی به آنها دسترسی داشته باشد، خطر دزدیده شدن سیدها وجود دارد. در اینجا نیز برخی از افراد، حتی برچسب های فلزی شان را در داخل صندوق های امانت بانکی و در کنار طلاها و فلزات گرانبهای خود قرار می دهند. فکر می کنم برای کسانی که طرفداران فلزات [گرانبها] باشند، قرار دادن دارایی ها در صندوق های امانت گزینه راحتی باشد. اگر از این روش برای تأمین امنیت سیدها و دارایی های خود استفاده می کنید، محدودیت ها و خطرات مرتبط با آن را نیز بشناسید.
انتقال سرمایه ها در هنگام مرگ
از آنجا که عمر ما محدود است، برنامه ریزی برای اموال و نحوه رساندن آن به وراث ضروری است. حقیقت اینجاست که ارزهای دیجیتال این امکان را برای شما فراهم می کنند که با دخالت هر چه کمتر واسطه ها، ثروت تان را به وراث منتقل کنید.
مثل بخش های قبلی برای این کار نیز چندین روش مختلف وجود دارد.
اگر از رویکردِ نه چندان امن کیف پول های کاغذی یا برچسب های فلزی استفاده می کنید، تنها کافی است آنها را به افرادی که دوست شان دارید اعطا کنید. صد البته در این مورد نیز نقاط ضعفی وجود دارد. شاید آنها وسایل مورد نیاز برای تأمین امنیت یک کپی از نسخه پشتیبان را نداشته باشند، مثلاً شاید آنها چندان از نحوه عملکرد این فناوری آگاه نباشند یا سن زیادی نداشته باشند. اگر آنها در ارتباط با مسائل امنیتی کم کاری کرده باشند، یک هکر به راحتی می تواند با استفاده از این نقطه ضعف، سرمایه ها و ثروت شما را بدزدد. این مسئله را نیز به یاد داشته باشید که آنها می توانند هر لحظه که بخواهند، سرمایه های شما را از آن خود کنند! بسته به نوع روابط شما با آنها، این مسئله می تواند برخلاف خواسته تان باشد.
به شدت توصیه می کنم که صرف نظر از میزان نزدیکی روابط، کلیدهای خصوصی خود را در میان افراد مختلف به اشتراک نگذارید؛ چرا که اگر این سرمایه ها دزدیده شوند یا به حساب دیگری منتقل شوند، هیچ ردی از آنها باقی نخواهد ماند که بخواهید با استفاده از آن سرمایه های خود را ره گیری کنید.
این گزینه نیز برای شما وجود دارد که کاغذ یا برچسب حاوی کلیدهای خصوصی خود را در اختیار یک وکیل یا صندوق امانات بانک قرار دهید. اما، همانطور که پیش تر اشاره کردیم، اگر هر کسی در طول این مدت، دستش به کلیدهای شما برسد، بدون رد خاصی می تواند اقدام به انتقال سرمایه ها کند. انجام این کار با حالتی که وکیل شما پس از مراجعه به بانک، موجودی حساب تان را به حساب وراث انتقال می دهد، متفاوت است.
اگر بخواهید از روش فلش مموری استفاده کنید، روش های انتقال امن ثروت به افرادی که دوست شان دارید، وجود دارد. اما این روش ها نیاز به مهیاسازی شرایط خاصی دارد.
خدمات آنلاینی وجود دارند که از آنها با عنوان «سوئیچ مرد مرده» (Deadman’s Switch) یاد می شود. در این روش، سرویس دهنده، در مدت زمان های مختلف (مثلاً یک ماه یکبار)، ایمیل یا هشداری برای تان ارسال می کند. شما باید روی این ایمیل/هشدار کلیک کنید و به آن پاسخ دهید. اگر در بازه ای خاص، پاسخی از شما دریافت نشود، شما مرده تلقی می شوید. در این صورت، تعداد مشخصی از ایمیل (که خودتان تعیین کرده اید) به افرادی مشخص ارسال می شود. شخصاً این روش را توصیه نمی کنم، اما با جستجوی عبارت «سوئیچ مرد مرده» می توانید خودتان نسبت به آزمایش آنها اقدام کنید. خود گوگل نیز چنین قابلیتی را دارد. در بخشی از تنظیمات گوگل این امکان وجود دارد که تعیین کنید اگر برای مدت مشخصی به حساب خود سر نزنید، فرد خاصی به آن دسترسی داشته باشد. شخصاً نمی توانم این روش را هم پیشنهاد کنم. اگر دوست دارید آن را امتحان کنید، کافی است به بخش تنظیمات حساب گوگل خود بروید.
شاید این فکر به ذهن شما خطور کند که رمز عبورِ فلش مموری را بر روی ایمیل خود قرار دهید تا فرزندان شما بتوانند آنها را ببینند. این راهکار بهتر است، اما باز هم چندان خوب نیست. به یاد داشته باشید که نباید رمز عبورِ نسخه های پشتیبان خود را در اینترنت قرار دهید. این کار به شدت از امنیت نسخه پشتیبان دارایی های شما می کاهد.
اگر بخواهید ایمیل هایی را که کلمه های عبور فلش مموری ها روی آن است رمزگذاری کنید و سپس یک کلمه عبور دیگر را با فرزندان تان به اشتراک بگذارید، به رویکرد بهتری رسیده اید. در واقع اصلا نیازی به رمز عبور دوم نیست. یک ابزار قدیمی برای رمزگذاری ایمیل ها با نام «PGP» (یا GPG) وجود دارد که می توانید از آن استفاده کنید. این نرم افزار جزو اولین نرم افزارهایی بود که از رمزنگاری نامتقارن (همانند نمونه ای که در بیت کوین وجود دارد) استفاده می کند. در اینجا قرار نیست که آموزش استفاده از PGP را قرار دهیم. اگر دوست دارید که از نحوه کارکرد آن مطلع شوید، آموزش های بسیاری در اینترنت برای آن وجود دارد. به صورت خلاصه، باید کلیدهای خصوصی PGP مخصوصی را به همسر یا فرزندان خود بدهید و از طریق کلید عمومی آنها، پیامِ «سوئیچ مرد مرده» خود را رمزنگاری کنید. در این صورت تنها آنها هستند که می توانند این پیام را بخوانند. این روش از امنیت بالایی برخوردار است، اما همسر یا فرزندان شما باید بتوانند امنیت کلید خصوصی PGP را حفظ کنند و آن را گم نکنند. به علاوه، آنها مجبورند تا نحوه استفاده از ایمیل PGP را بدانند که خود گاهی کاری تخصصی به حساب می آید.
استفاده از یک صرافی
وقتی که از کلمه «صرافی» (exchange) استفاده می کنیم، منظورمان استفاده از یک صرافی متمرکز است که به صورت امانی (کاستودی)، ارز دیجیتال شما را نگه داری می کنند.
از همین رو، پس از خواندن بخش های قبلی، ممکن است بگویید «وای، چقدر دردسر. تنها کافی است ارزهایم را در یک صرافی ذخیره کنم». باید گفت که استفاده از یک صرافی عاری از خطر نیست. از آنجا که صرافی مسئولیت نگه داری امن از دارایی های شما را بر عهده دارد، باید در زمینه تأمین امنیت حساب کاربری خود، تلاش کنید.
تنها از صرافی های معتبر استفاده کنید
بله، برای من کار بسیار راحتی است که از بایننس نام ببرم، چرا که این صرافی یکی از بزرگترین صرافی های ارزهای دیجیتال است. صد البته این صحبت بی دلیل هم نیست. تمام صرافی ها مثل هم نیستند.
صرافی های بزرگ، سرمایه گذاری زیادی روی ساختارهای امنیتی می کنند. بایننس صدها میلیون دلار را در این بخش سرمایه گذاری کرده است. امنیت، بخش های بسیاری را شامل می شود؛ از تجهیزات گرفته تا شبکه، پروتکل ها، کارکنان، بررسی خطرات، کلان داده، هوش مصنوعی، آموزش، تحقیق، آزمایش، شرکای شخص ثالث و حتی روابط با مراجع قضایی بین المللی، همه و همه از زیرشاخه های امنیت به حساب می آیند. برقراری صحیح امنیت مستلزم صرف پول، نیروی انسانی و تلاش زیادی است.
بسیاری از صرافی های کوچک تر و آن دسته از صرافی هایی که تازه تأسیس شده اند، از همان ابتدا می توانند کلاهبردار باشند و یک اگزیت اسکم (Exit Scam) انجام دهند. اگزیت اسکم یعنی آنها سپرده های شما را دریافت و سپس با تمام سرمایه ها فرار می کنند؛ به همین دلیل، از صرافی هایی که بسیار کوچک هستند، تا حد امکان دوری کنید. صرافی های بدون کارمزد و صرافی هایی که برنامه های تخفیفی زیادی دارند یا هر گونه برنامه ای که در نهایت به سود منفی آنها ختم می شود، جزو همین دسته بندی قرار می گیرند. در اینجا اگر هدف [آنها] ایجاد یک درآمد از کسب وکارشان نباشد، پس سرمایه های شما هدف آنهاست. تأمین امنیت مناسب، هزینه به همراه دارد و این هزینه باید از یک مدل کسب وکار قابل قبول تأمین شود. وقتی که صحبت از تأمین امنیت سرمایه هایتان در میان باشد، اصلاً نباید خساست به خرج داد. صرافی هایی بزرگ و با سودآوری بالا، انگیزه ای برای انجام کلاهبرداری ندارند. وقتی که یک کسب وکار چند میلیارد دلاری داشته باشید، چرا باید چند میلیون دلار را بدزدید و با ترس و در حالی که به دنبال مکانی برای مخفی شدن می گردید، زندگی کنید؟
صرافی های بزرگ در جبهه امنیت در معرض آزمون های بیشتری قرار دارند. صد البته این مورد یک خطر هم به حساب می آید. برای مقابله با هکرها و کلاهبرداران، سرمایه گذاری هنگفتی در بخش کلان داده و هوش مصنوعی انجام می دهیم. توانستیم جلوی از دست رفتن سرمایه کاربران بسیاری را بگیریم که قربانی هک تعویض سیمکارت (SIM Swap) شدند. برخی از کاربران ما که از چندین صرافی استفاده می کنند، گزارش کرده اند که ایمیل آنها هک شده است، در این شرایط، سرمایه های آنها در دیگر صرافی ها سرقت شده است، اما در بایننس، هوش مصنوعی ما جلوی هکرها را گرفت و آنها نتوانستند سرمایه ها را از صرافی خارج کنند. از آنجا که صرافی های کوچکتر داده های کلانی ندارند تا از آنها استفاده کنند، در نتیجه وقتی هم که بخواهند نمی توانند سازوکارهایی مشابه ما داشته باشند.
تأمین امنیت حساب کاربری
زمانی که از صرافی ها استفاده می کنید، بدیهی است که حفظ امنیت حساب کاربری از اهمیت ویژه ای برخوردار است.
حفظ امنیت کامپیوتر
بار دیگر باید گفت که رایانه شما معمولاً ضعیف ترین بخش در زنجیره امنیتی شماست. اگر می توانید، از یک رایانه مخصوص تنها برای دسترسی به حساب کاربری خود در صرافی استفاده کنید. یک آنتی ویروس مشهور نصب کنید (بله، روی امنیت سرمایه گذاری کنید) و تعداد نرم افزارهای دیگری را که به دردتان نمی خورد به حداقل برسانید. دیوار آتش (فایروال) خود را در سخت گیرانه ترین حالت خود قرار دهید.
بازی ها، وب گردی، دانلودها و کارهای دیگرتان را با یک رایانه دیگر انجام دهید. حتی روی این رایانه هم آنتی ویروس نصب کنید و فایروال خود را در حالت مشابه قبلی قرار دهید. یک ویروس روی این رایانه، کار را برای هکرها راحت می کند و اگر در یک شبکه قرار داشته باشند، هکر می تواند وارد رایانه دیگر شود. در نتیجه، حواس تان به رایانه دیگر هم باشد.
از دانلود فایل های غیررسمی روی کامپیوتر خودداری کنید
توصیه می کنم با استفاده از رایانه و تلفن همراه خود فایلی را دانلود نکنید. اگر فردی می خواهد برای شما فایلی به صورت ورد بفرستد، از او بخواهید که آن را در گوگل داکیومنت (Google Doc) آپلود کند و لینک آن را برای شما بفرستد. اگر برای شما فایل پی دی اف ارسال شده است، آن را در گوگل درایو و به وسیله یک مرورگر باز کنید و این کار را با رایانه خود انجام ندهید. اگر می خواهند برای شما ویدیویی بامزه بفرستند، از آنها بخواهید این کار را با استفاده از یکی از پلتفرم های مخصوص این کار انجام بدهند. بله، دردسرهای خاص خودش دارد، اما امنیت ارزان نیست. از دست دادن سرمایه ها هم همین طور! همه چیز را تا حد امکان به صورت آنلاین ببینید و هیچ چیز را روی رایانه خود دانلود نکنید.
به علاوه، گزینه «ذخیره خودکار عکس ها و فیلم ها» در نرم افزارهای پیام رسان را نیز غیرفعال کنید. بسیاری از این نرم افزارها به صورت پیش فرض گیف ها، تصاویر و فیلم ها را دانلود می کنند و این کار چندان به نفع امنیت شما نیست.
نرم افزارهای خود را به روز نگه دارید
می دانم که به روزرسانی سیستم عامل چقدر خسته کننده است، اما این به روزرسانی ها گاهاً باعث رفع اشکلاتی امنیتی می شوند که به تازگی یافت شده اند. هکرها نیز این به روزرسانی ها را دنبال می کنند تا ببینند، دقیقاً چه اشکلاتی رفع شده اند و به وسیله آنها بتوانند به رایانه های افراد تنبلی که هنوز به روزرسانی نکرده اند، حمله کنند. نرم افزارهای کیف پول و صرافی ها نیز از این قاعده مستثنی نیستند. از این رو، مطمئن شوید که همیشه نرم افزارها و سیستم عامل شما به آخرین نسخه به روزرسانی شده باشد.
تأمین امنیت حساب ایمیل
توصیه می کنم که از سرویس های ایمیل جیمیل و پروتون میل (Protonmail) استفاده کنید. امنیت در این دو ارائه دهنده خدمات ایمیل، از دیگران بیشتر است. تا به اینجا شاهد تعداد بسیاری بالایی از رخنه های امنیتی در دیگر پلتفرم های ایمیل بودیم.
شدیداً توصیه می کنم که برای هر حساب کاربری در هر صرافی، از یک ایمیل منحصربه فرد استفاده کنید و آنها را طوری ایجاد کنید که نتوان حدس شان زد. در این صورت، اگر یک صرافی دیگر مورد حمله قرار بگیرد، حساب کاربری شما در بایننس آسیبی نخواهد دید. با استفاده از این تکنیک، حملات فیشینگ و کلاهبرداری های ایمیلی نیز کمتر خواهد شد.
تایید هویت دو عاملی (2FA) را برای حساب ایمیل خود فعال کنید. توصیه می کنم برای حساب ایمیل خود از ابزار یوبیکی (Yubikey) استفاده کنید. با این روش، از بسیاری از حملات سایبری، مانند فیشنگ و … در امان خواهید ماند.
اگر در کشوری زندگی می کنید که قابلیت تعویض سیمکارت به صورت آنلاین از سوی ارائه دهنده خدمات موبایلی وجود دارد، از شماره تلفن همراه خود به عنوان یک روش بازیابی ایمیل استفاده نکنید. تعداد بسیاری از قربانیان هک از طریق تعویض سیمکارت داشتیم که از شماره تلفن همراه شان به عنوان یک روش بازیابی رمز عبور استفاده می کردند. به طور کلی، پیشنهاد نمی کنم شماره تلفن همراه خود را به ایمیل تان متصل کنید.
تأمین امنیت رمز عبور
برای هر سایت یک رمز عبور خاص و قدرتمند استفاده کنید. به خودتان زحمت به خاطرسپردن رمزهای خود را ندهید و از یک نرم افزار مدیریت رمز عبور استفاده کنید. برای بسیاری از افراد نرم افزارهای لست پس (LastPass) و وان پسوورد (1Password) کارشان را راه می اندازد. هر دوی این نرم افزارها دارای نسخه هایی مخصوص مرورگر، تلفن های همراه و … هستند. هر دو نیز ادعا می کنند که رمزهای عبور را تنها در دستگاه ذخیره می کنند و برای همگام سازی آنها در دستگاه های مختلف نیز از نسخه رمزگذاری شده رمز عبور استفاده می کنند. اگر حفظ رمزهای عبورتان اهمیت بیشتری دارد، از کی پس (KeePass) یا نسخه های دیگری که برای سیستم عامل iOS وجود دارد، استفاده کنید. کی پس رمزهای عبور شما را در دستگاه ذخیره می کند، میان دستگاه های دیگر نیز همگام سازی انجام نمی دهد و از سیستم عامل های کمتری نیز پشتیبانی می کند. این برنامه متن باز است و از همین رو نباید نگران بک دور باشید. تحقیقات خودتان را انجام دهید و در نهایت بهترین نرم افزار را انتخاب کنید. فقط به یاد داشته باشید که با استفاده از یک رمز عبور ساده یا تکراری، در زمان تان صرفه جویی نکنید. مطمئن شوید که از یک رمز عبور قدرتمند استفاده می کنید، در غیر این صورت، زمانی که در آن صرفه جویی کردید ممکن است به قیمت بخش بزرگی از سرمایه تان تمام شود.
اگر همه این ابزارها را هم درست انتخاب کرده باشید و رایانه شما ویروسی باشد، فایده ندارد! به همین دلیل، از کیفیت آنتی ویروس خود نیز اطمینان حاصل کنید.
فعال سازی تأیید هویت دو عاملی
توصیه می کنم بلافاصله پس از ثبت نام در بایننس، نسبت به فعال کردن تأیید هویت دو عاملی خود اقدام کنید. از آنجا که کد تایید هویت دو عاملی شما همواره در تلفن همراه تان قرار دارد، تا حدی از به خطرافتادنِ رمز عبور و ایمیل تان جلوگیری می کند.
با این حال، تأیید هویت دو عاملی از شما در مقابل همه چیز محافظت نمی کند. ممکن است ویروسی در رایانه داشته باشید که ایمیل ها و رمزهای عبور شما را بدزدد یا کلیدهای کیبوردتان را شنود کند و این امکان نیز برایش فراهم است که کدهای تایید هویت دو عاملی تان را هم داشته باشد. ممکن است گرفتار یک سایت فیشینگ شوید و ایمیل، رمز عبور و کد تایید هویت دو عاملی را در سایت تقلبی آنها وارد کنید. در این صورت، هکرها می توانند در همان زمان که شما وارد سایت قلابی شده اید، وارد حساب کاربری اصلی شما در بایننس شوند. احتمالات زیادی وجود دارد که نمی توانم همه آنها را در اینجا شرح دهم. همچنان باید رایانه خود را سالم نگه دارید و مراقب سایت های فیشینگ باشید.
استفاده از U2F
U2F یک دستگاه است که کدی منحصر به فرد، مبتنی بر زمان و مخصوص یک دامنه خاص تولید می کند. یوبیکی یکی از همین دستگاه هاست. صد البته، برخی از کیف پول های سخت افزاری نیز مانند یک دستگاه U2F عمل می کنند، اما رابط کاربری کاربر پسندی ندارند، برای استفاده از آنها باید نرم افزارهای متعددی نصب کرد و رسیدن به بخش مربوطه نیازمند طی کردن مراحل مختلفی است.
به دلایلی که به شما گفتم، توصیه می کنم که دستگاه یوبیکی خود را به حساب تان در بایننس متصل کنید. استفاده از این دستگاه باعث می شود لایه های امنیتی شما در مقابل هکرها افزایش یابد.
باید یوبیکی خود را به حساب هایتان در جیمیل، لست پس و دیگر حساب های پشتیبانی شده نیز متصل کرده و از ایجاد امنیت در آنها اطمینان حاصل کنید.
دست از تأییدیه های پیامکی بکشید
زمانی بود که استفاده از تاییدیه های پیامکی تبلیغ می شد، اما آن دوران گذشته است. با توجه به افزایش حملات تعویض سیمکارت، توصیه می شود که از پیامک برای تأییدیه های خود استفاده نکنید و بیشتر به سمت استفاده از تأیید هویت دو عاملی و U2F بروید.
ایجاد لیست سفید تراکنش ها
توصیه می کنم که از قابلیت لیست سفید تراکنش ها در بایننس استفاده کنید. در این صورت، مشخص می کنید که برداشت فقط به یک سری از کیف پول های خاص انجام شود. این امکان انتقال سریع سرمایه ها به حساب های تأییدشده شما را مهیا می کند. از سوی دیگر امکان انتقال سرمایه توسط هکرها به آدرس های جدید نیز به شدت محدود خواهد شد.
امنیت APIها
بسیاری از کاربران از APIها برای معامله و برداشت سرمایه از حساب هایشان استفاده می کنند. بایننس چندین نسخه از APIها را ارائه می کند که از آخرین نسخه رمزگذاری نامتقارن بهره می برند. این بدان معناست که ما تنها به کلید عمومی شما نیاز داریم. در این حالت، کلید خصوصی شما در اختیار خودتان قرار دارد و تنها کلید عمومی تان را در اختیار ما قرار می دهید. برای تأیید اینکه سفارشات متعلق به شماست، تنها به کلید عمومی نیاز داریم و هیچ گاه درخواست کلید خصوصی تان را نخواهیم کرد. شما ملزم هستید که کلید خصوصی را در جایی امن نگه داری کنید.
لزوماً نیازی نیست که از کلید API خود به همان شکلی محافظت کنید که از ارزهای تان محافظت می کنید. اگر کلید API خود را گم کنید، به راحتی می توانید یک کلید دیگر تولید کنید. فقط باید اطمینان حاصل کنید که فرد دیگری این کلید را در اختیار نداشته باشد.
تامین امنیت فیزیکی دستگاه ها و تلفن همراه
باید امنیت تلفن همراه خود را تأمین کنید. احتمالاً یک نرم افزار ایمیل، نرم افزار بایننس و کدهای تایید هویت دو عاملی خود را بر روی این تلفن همراه دارید. تلفن همراه تان را روت (Root) یا جیل بریک نکنید. این کار به شدت امنیت دستگاه را پایین می آورد. تأمین امنیت فیزیکی دستگاه نیز از اهمیت ویژه ای برخوردار است و از قفل های صفحه مناسب استفاده کنید. در ارتباط با دستگاه هایی غیر از تلفن همراه نیز این موارد صدق می کند. اطمینان حاصل کنید که دستگاه ها به دست افراد دیگر نمی افتد یا اگر افتاد دسترسی به منو بسیار مشکل باشد.
مراقبت حملات فیشینگ باشید
مراقب این گونه حملات باشید. حملات فیشینگ معمولا با ایمیل یا لینک هایی روی شبکه های اجتماعی آغاز می شوند. تنها از طریق آدرس صفحه رسمی بایننس یا استفاده از بوکمارک ها (نشان دار کردن صفحه) وارد سایت صرافی شوید. ایمیل خود را با دیگران به اشتراک نگذارید. از ایمیل مشابه خود بر روی دیگر وب سایت ها استفاده نکنید. مراقب افراد غریبه (مخصوصا افرادی با نام CZ یا نام های مشابه) که به ناگهان بر روی تلگرام، اینستاگرام یا دیگر شبکه های اجتماعی به شما پیام می دهند، باشید.
به طور کلی باید گفت که اگر اقدامات گفته شده را رعایت کنید، حساب کاربری شما در بایننس در امنیت خواهد بود.
در نهایت کدام بهتر است؟
معمولاً به افراد پیشنهاد می کنم که هم از صرافی های متمرکز و هم از کیف پول های خودشان استفاده کنند. می توانید بخشی از از سرمایه خود را در صرافی قرار دهید و آن بخشی از ارزها را در کیف پولی مثل تراست والت قرار دهید. اگر با فناوری آشنایی قابل قبولی دارید، می توانید نسبت های عنوان شده را تغییر دهید.
صرافی های متمرکز هر چند مدت یکبار به دلایل فنی از دسترسی خارج می شوند، از همین رو وقتی این اتفاق می افتد و شما نیاز به انجام یک تراکنش دارید، این کیف پول ها به کارتان خواهد آمد.
چند بخش دیگر
چندین مدل مختلف از کلاهبرداری وجود دارد. برخی از افراد با ایجاد حساب های تقلبی در فضای مجازی و با اسم هایی شبیه به حساب هایی مثل «cz_binance_»، سعی می کنند شما را متقاعد کنند که سرمایه هایتان را برای شان بفرستید. یک قانون را همواره به یاد داشته باشید، فقط زمانی به افراد پول ارسال کنید که می خواهید یک تبادل مالی با آنها داشته باشید. همیشه از دو کانال مختلف، برای تأیید صلاحیت فردی که قصد انتقال پول به وی را دارید، استفاده کنید.
اگر فردی با نام چانگ پنگ ژائو، ناگهان به سراغ شما آمد و با سرهم کردن داستانی متقاعدکننده، از شما خواست تا ارزهای خود را برایش ارسال کنید، این حساب را سریعاً به مراجع مربوطه گزارش کنید.
اگر دوست تان ناگهان پیامی برای شما ارسال کرد و از شما خواست تا خیلی فوری برایش پول منتقل کنید، برای اطمینان از صحبت درخواستش، با او تماس بگیرید یا از او بخواهید برای تأیید این خواسته، ویدیویی کوتاه برای تان ارسال کند. این طور فرض کنید که تلفن همراه یا حساب پیامکی اش هک شده است یا فردی تلفن همراه او را دزدیده است.
کلاهبرداری از طریق یوتیوب
کلاهبرداران یوتیوب با دستکاری ویدیوهای قلابی، فیلمی از چانگ پنگ ژائو می سازند که در حال اهدای رایگان ارزها و … است. با دیدن این افراد آنها را گزارش کنید.
کلاهبرداری در شبکه های اجتماعی
گرفتار طرح هایی نشوید که به شما وعده ارزهای دیجیتال رایگان می دهد و ابتدا از شما می خواهند مقداری ارز را به آدرسی مشخص ارسال کنید و سپس مقدار بیشتری ارز بگیرید. هیچ وقت این مقدار ارز را نخواهید گرفت.
این قانون ساده را به یاد داشته باشید: هنگام انتقال ارزهای دیجیتال مراقب باشید!
روی لینک های داخل ایمیل های ناشناس کلیک نکنید
هیچ وقت روی لینکی که داخل یک ایمیل ناشناس وجود دارد کلیک نکنید و نام کاربری و رمز عبور خود را در اختیار سایت قرار ندهید. این قبیل درخواست ها معمولا برای گول زدن شماست. به علاوه، هیچ وقت لینک های مشکوک روی شبکه های اجتماعی را دنبال نکنید و اطلاعات خواسته شده آنها را وارد نکنید.
به صورت پیش فرض آنها را سایت های فیشینگ در نظر بگیرید و از آنها استفاده نکنید.
آدرس صرافی مورد نظر خود را به صورت دستی وارد کنید. نحوه صحیح نگارش وب سایت بایننس (Binance.org) را به خوبی یاد بگیرید یا آن را در فهرست آدرس های مورد علاقه خود، بوکمارک کنید.