Аппаратные кошельки позволяют вам владеть и контролировать ваши криптоактивы. Но с большими полномочиями приходит большая ответственность: быть вашим собственным банком, конечно, не тривиально и требует дисциплины. Использование аппаратного кошелька не делает вас непобедимым против социальной инженерии, физических угроз или человеческих ошибок. Вы должны всегда использовать здравый смысл и применять основные принципы безопасности.
-
Никогда и ни с кем не делитесь своей фразой восстановления из 24 слов, в любой форме.
-
Никогда не храните фразу восстановления на компьютере или смартфоне.
-
Держите лист восстановления в безопасном месте так, чтобы вы не могли потерять или уничтожить его случайно.
-
Доверяйте только тому, что вы видите на экране аппаратного кошелька. Проверьте адрес получения и платёжную информацию на устройстве.
-
Всегда с осторожностью относитесь к информации, отображаемой на экране компьютера или смартфона. Помните, что программное обеспечение может быть скомпрометировано в любое время.
При первой инициализации аппаратного кошелька вам будет предложено записать 24 слова на листе восстановления. Эти 24 слова называются фразой восстановления и представляют собой читаемую человеком резервную копию, из которой выведены все ваши личные ключи. Они используются для восстановления доступа к вашим криптоактивам на другом аппаратном устройстве или любом другом совместимом кошельке.
Есть две основные причины, когда нужен доступ к вашей фразе восстановления:
-
Потеря или уничтожение вашего аппаратного кошелька: вы можете ввести фразу восстановления на новом устройстве, чтобы восстановить полный доступ к вашим криптоактивам.
-
Клонирование на новое устройство: введя 24 слова на другом устройстве, вы получите два аппаратных кошелька, которые можно использовать независимо. Например, одно в офисе и одно дома, чтобы не транспортировать его всё время. Другой причиной для клонирования устройства может быть обновление до более новой модели.
Таким образом, любой, кто получит доступ к этим 24 словам, получит немедленный доступ к вашим криптоактивам. PIN-код на вашем аппаратном кошельке является защитой, связанной только с вашим устройством, и совершенно не нужен для восстановления закрытых ключей. Поэтому крайне важно, чтобы ваша фаза восстановления была правильно обеспечена. Любой компромисс в любое время может привести к катастрофическим потерям.
-
Никогда не фотографируйте лист восстановления. Ваш смартфон небезопасен и, что еще хуже, он может автоматически загружать фотографии в ваше облачное хранилище.
-
Никогда не вводите фразу восстановления на любом компьютере или смартфоне: у вас могут быть кейлоггеры, и хранение этой информации в интернете (даже зашифрованное) полностью разрушает цель использования аппаратного кошелька.
-
Никогда никому не показывайте и не делитесь своей фразой ни с кем (включая друзей и семью). Если вы решите поделиться, будьте полностью осведомлены, что у них есть потенциальный доступ ко всем вашим криптоактивам в любое время и без простого способа отзыва доступа.
-
Держите ваш «лист спасения» в безопасном месте, защищённом от солнечного света, влажности и огня. Если он будет уничтожен по какой-либо причине, вы должны немедленно его восстановить с недавно настроенного аппаратного кошелька.
Кроме того, важно убедиться, что вы сами создали фразу восстановления. Никогда, никогда не используйте предварительно сконфигурированное устройство. Никогда, никогда не используйте набор из 24 слов, предоставленных где-либо, кроме самого устройства. Вы должны убедиться, что вы единственный в мире, кто знает эту конкретную фразу восстановления. Поскольку доступность вашей фразы восстановления имеет решающее значение, вы можете проверить, что вы действительно записали её правильно и что вы можете прочитать её без ошибок. Для устройства Nano S Вы можете проверить это с помощью приложения проверки восстановления. Это приложение позволяет ввести 24-словную фразу восстановления и проверяет, соответствует ли она закрытым ключам на вашем устройстве. Пожалуйста, обратитесь к видео для получения дополнительной информации.
Наличие аппаратного кошелька с проверенной резервной копией в безопасном месте может защитить вас от цифровой атаки, но вы все еще уязвимы для потенциальных физических угроз, таких как кража со взломом или ситуация с заложниками.
Вот почему вы должны следовать этим основным правилам:
-
Никогда никому не говорите, что вы владеете криптовалютами. Если вы это сделаете, не забудьте сохранить в тайне реальную стоимость ваших активов. Если люди спрашивают вас, сколько биткойнов у вас есть, просто верните вопрос, спросив, сколько евро/долларов у них есть.
-
Если вы активны в онлайн-сообществе криптовалюты, защитите свою реальную личность и всегда помните об информации, которой Вы делитесь. Вы же не хотите стать целью ограбления?
-
Не храните лист восстановления в сейфе дома. Банковское хранилище гораздо безопаснее. Отсутствие непосредственного доступа к резервной копии повышает устойчивость к физическим угрозам.
-
Если у вас есть большое количество криптовалют, к которым вам не нужен частый доступ, держите свой аппаратный кошелек в банковском сейфе. Вы можете использовать другой аппаратный кошелек с меньшими суммами для частого использования.
Доверяйте только своему аппаратному кошельку.
Ваш аппаратный кошелек требует приложения-компаньона для взаимодействия с вами и доступа в интернет, чтобы вы могли проверить свой баланс на своем компьютере, получить историю транзакций и транслировать новые транзакции. Ledger Live — это собственное приложение Ledger, доступное для ПК, Mac и Linux. Устройства Ledger также работают и со сторонними приложениями, которые не создаются Ledger. В принципе, очень сложно проверить целостность программного обеспечения на вашем компьютере. Поэтому вы должны предположить, что ваш компьютер скомпрометирован и что то, что вы видите на экране, нужно проверять на устройстве.
Когда вам нужно поделиться своим адресом получения, чтобы вы могли быть получателем платежа, вы должны принять дополнительные меры предосторожности, чтобы вы не стали жертвой атаки. Злоумышленник, контролирующий экран вашего компьютера может показать вам неправильный адрес, который сделает его бенефициаром любой транзакции, отправленной на него.
Необходимо сравнить адрес получения, отображаемый на экране, с его отображением на устройстве.
При запросе адреса получения в Ledger Live вам будет предложено подключить аппаратный кошелек и открыть соответствующее приложение. Затем адрес будет показан на защищенном дисплее устройства, и вы сможете проверить, что он совпадает с тем, что на экране.
Если вы используете QR-код для передачи адреса, не забудьте проверить адрес после его сканирования.
Если вы используете программный кошелек без этой функции (многие сторонние приложения совместимы с устройствами Ledger), мы рекомендуем сначала отправить небольшую сумму, чтобы убедиться, что вы правильно её получили. В идеале этот тест должен быть выполнен на другом компьютере. Вы можете повторно использовать адрес, который вы только что проверили для теста.
Когда вы хотите отправить транзакцию, вы обычно получаете адрес получателя на веб-странице или по электронной почте. Тривиальной атакой для вредоносного ПО было бы заменить этот адрес одним из своих собственных. Некоторые вредоносные программы просто отслеживают буфер обмена, чтобы заменить скопированный вами адрес адресом, принадлежащим злоумышленнику.
Чтобы предотвратить попадание в эту атаку, всегда проверяйте адрес получателя на устройстве перед утверждением транзакции, а также всегда перепроверяйте его с помощью второго канала связи. Например, запросите адрес, который будет отправлен по SMS, или другое приложение для обмена сообщениями, чтобы вы могли его проверить. Если вы вносите депозит на биржу, сначала отправьте небольшую сумму и убедитесь, что она поступила правильно, прежде чем отправлять большие суммы.
Публикация подготовлена на основе материалов сайта medium.com.
Если Вам понравилась эта страничка, расскажите о ней своим друзьям (кнопки социальных сетей — внизу страницы). Также вы можете оставить отзыв или поддержать материально.