Книга 101 - Часть 3. Рекомендации по использованию аппаратного кошелька

Предыдущие выпуски серии Ledger 101 показали необходимость использования аппаратного кошелька, а также важность использования безопасных чипов для их создания.

Аппаратные кошельки позволяют вам владеть и контролировать свои крипто активы. Но с великими силами налагаются большие обязанности: быть вашим собственным банком, конечно, не тривиально и требует дисциплины. Использование аппаратного кошелька не делает вас непобедимым против социальной инженерии, физических угроз или человеческих ошибок. Вы всегда должны руководствоваться здравым смыслом и применять основные принципы безопасности.

Есть пять основных золотых правил

  • Никогда и никому не сообщайте свою фразу из 24 слов в любой форме.
  • Никогда не храните свою фразу восстановления на компьютере или смартфоне.
  • Сохраняйте свой лист восстановления физически в безопасности, чтобы не потерять и не уничтожить его случайно.
  • Доверяйте только тому, что видите на экране своего аппаратного кошелька. Проверьте ваш адрес получения и информацию об оплате на вашем устройстве.
  • Обращайтесь с информацией, отображаемой на экране компьютера или смартфона, с осторожностью. Предположим, что программное обеспечение может быть взломано в любое время.

Фраза восстановления из 24 слов

При первоначальной инициализации вашего аппаратного кошелька вам будет предложено записать 24 слова на листе восстановления. Эти 24 слова называются фразой восстановления и представляют собой удобочитаемую резервную копию, из которой получены все ваши личные ключи. Они используются для восстановления доступа к вашим крипто активам на другом устройстве Ledger или любом другом совместимом кошельке.

Лист восстановления ГК, содержащий фразу из 24 слов

Общие принципы безопасности

Есть две основные причины, по которым вам нужен доступ к фразе восстановления:

  • Потеря или разрушение вашего аппаратного кошелька: вы можете ввести фразу восстановления на новом устройстве, чтобы восстановить полный доступ к вашим крипто-активам;
  • Клонирование на новое устройство: введя свои 24 слова на другом устройстве, вы получите два аппаратных кошелька, которые вы можете использовать независимо. Например, один в офисе и один в вашем доме, не позволяя вам все время перевозить его. Еще одна причина клонировать устройство может быть при обновлении до более новой модели.

Как вы можете легко вывести из этого, любой, кто получит доступ к этим 24 словам, получит немедленный доступ к вашим крипто активам. PIN-код на вашем аппаратном кошельке является защитой, относящейся только к вашему устройству, и совершенно не нужен для восстановления личных ключей.

Поэтому крайне важно, чтобы ваша фаза восстановления была правильно обеспечена. Любой компромисс в любое время может привести к катастрофическим потерям;

  • Никогда не фотографируйте свой лист восстановления. Ваш смартфон небезопасен и, что еще хуже, он может автоматически загружаться в облачное хранилище;
  • Никогда не вводите фразу восстановления на любом компьютере или смартфоне: у вас могут быть клавиатурные шпионы, и хранение этой информации в сети (даже в зашифрованном виде) полностью противоречит цели использования аппаратного кошелька;
  • Никогда не показывайте и не делитесь своими 24 словами ни с кем (включая друзей и семью). Если вы решите поделиться, помните, что у них есть потенциальный доступ ко всем вашим крипто активам в любое время и без простого способа аннулирования доступа;
  • Храните свой лист восстановления в безопасном месте, защищенном от солнечного света, влажности и огня. Если по какой-либо причине он был уничтожен, вы должны немедленно переместить свой криптограф на новый аппаратный кошелек;

Кроме того, важно убедиться, что вы сгенерировали фразу восстановления из 24 слов самостоятельно. Никогда, никогда не используйте предварительно настроенное устройство. Никогда, никогда не используйте набор из 24 слов, предоставленных где-либо еще, кроме самого устройства. Вы должны убедиться, что вы единственный в мире, кто знает эту конкретную фразу восстановления.

Поскольку доступность вашей фразы восстановления имеет решающее значение, вы можете убедиться, что вы действительно записали ее правильно и что вы действительно можете прочитать ее без ошибок. Для Ledger Nano S вы можете проверить это с помощью приложения Recovery Check. Это приложение позволяет вам ввести 24-словосочетание для восстановления и проверить, совпадает ли оно с закрытыми ключами вашего устройства. Пожалуйста, обратитесь к выделенному видео для получения дополнительной информации.

Общие принципы безопасности

Установка аппаратного кошелька с проверенной резервной копией в безопасном месте может защитить вас от цифровой атаки, но вы по-прежнему подвержены потенциальным физическим угрозам, таким как кража со взломом или ситуация с заложниками. Вот почему вы должны следовать этим основным правилам:

  • Никогда никому не говорите, что у вас есть криптовалюты. Если вы это сделаете, убедитесь, что реальная стоимость ваших активов для себя. Если люди спрашивают вас, сколько у вас биткойнов, просто верните вопрос, спросив, сколько у них евро / долларов;
  • Если вы активно участвуете в онлайн-сообществе криптовалют, защищайте свою настоящую личность и всегда помните о своей информации. Вы не хотите стать целью ограбления;
  • Не храните свой лист восстановления в сейфе дома. Банковское хранилище намного безопаснее. Отсутствие немедленного доступа к вашей резервной копии повышает вашу устойчивость к физическим угрозам;
  • Если у вас есть большое количество криптовалют, к которым вам не требуется частый доступ, храните свой аппаратный кошелек также в надежном банковском хранилище. Вы можете использовать другой аппаратный кошелек с меньшим количеством для частого использования;

Доверяйте только своему аппаратному кошельку

Вашему аппаратному кошельку требуется сопутствующее приложение для взаимодействия с вами и доступа в Интернет, чтобы вы могли проверить свой баланс на компьютере, получить историю транзакций и транслировать новые транзакции. Ledger Live - это собственное приложение Ledger для ПК, Mac и Linux. Устройства Ledger также работают с приложениями, которые не созданы Ledger.

В принципе, очень сложно проверить целостность программного обеспечения на вашем компьютере. Поэтому вы должны предположить, что ваш компьютер скомпрометирован и что то, что вы видите на экране, можно манипулировать.

Вы можете доверять только своему аппаратному кошельку.

Меры безопасности для проверки вашего получающего адреса

Когда вам нужно сообщить свой адрес получения, чтобы вы могли быть получателем платежа, вы должны принять дополнительные меры предосторожности, чтобы не стать жертвой человека в средней атаке. Злоумышленник, контролирующий экран вашего компьютера, может показать вам неправильный адрес, что сделает его получателем любой транзакции, отправленной на него.

Вы должны проверить адрес получения, отображаемый на экране, отображая его на вашем устройстве.

При запросе адреса получения в Ledger Live вам предлагается подключить аппаратный кошелек и открыть соответствующее приложение. Адрес будет показан на безопасном дисплее устройства, и вы сможете убедиться, что он совпадает с адресом на вашем экране.

Если вы используете QR-код для передачи адреса, обязательно проверьте его после сканирования.

Если вы используете программный кошелек без этой функции (многие сторонние приложения совместимы с устройствами Ledger), мы рекомендуем сначала отправить небольшую сумму, чтобы убедиться, что вы ее правильно получили. Этот тест в идеале должен быть сделан на другом компьютере. Вы можете повторно использовать адрес, который вы только что подтвердили для теста.

Шаги безопасности для проверки адреса получателя

Когда вы хотите отправить транзакцию, вы обычно получаете адрес получателя на веб-странице или через службу связи. Тривиальная атака для вредоносной программы заключается в замене этого адреса на свой собственный. Некоторые вредоносные программы просто отслеживают буфер обмена, чтобы заменить только что скопированный адрес адресом, принадлежащим злоумышленнику.

Чтобы не стать жертвой этой атаки, всегда проверяйте адрес получателя на устройстве, прежде чем одобрить транзакцию, а также всегда проверяйте его по второму каналу связи. Например, запросите адрес для отправки с помощью SMS или другого приложения для обмена сообщениями, чтобы вы могли проверить его. Если вы вносите депозит на обмен, сначала отправьте небольшую сумму и убедитесь, что она поступила правильно, прежде чем отправлять большие суммы.

Быть вашим собственным банком не тривиально и требует дисциплины. Наличие аппаратного кошелька не делает вас непобедимым. Но мы надеемся, что эти советы по безопасности помогут вам защитить себя при их использовании.

Как всегда, используйте здравый смысл. Не верь, проверяй.