۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتالReviewed by بهاره رضاجو on Apr 5Rating: 5.0
چاپ این مطلب
دارایی‌های دیجیتال‌تان را از آتش‌سوزی، سیل، کلاهبرداری (فیشینگ)، فراموشی و سایر بلایای طبیعی محافظت کنید.

نیک دادسن می‌گوید:

اگر هوشیارانه عمل کنید، پیشرفت خواهید کرد.

در روستای اتینگهاوزن در سوئیس، کوهستانی از سنگ‌های گرانیتی وجود دارد که در حال حاضر یکی از محرمانه‌ترین مراکز اطلاعاتی جهان به شمار می‌رود. حدود ۳۰۰ متر درون این کوهستان، یک پناهگاه نظامی قدیمی وجود داشته است که پس از بازسازی به صورت یک فضای سرد در آمده و با دیواره‌های فولادی پوشانده شده است. درون این فضای سرد، سخت‌افزارهای ایمن در برابر جاسوسی قرار دارد که کلیدهای خصوصی افرادی که دارایی‌های رمزنگاری‌شده‌ی بسیار ارزشمندی دارند و به دنبال آرامش ذهن‌شان هستند نگهداری می‌کند. سیستم امنیتی بسیار قدرتمندی از این پایگاه حفاظت می‌کند.

شاید به نظر شما این اقدامات امنیتی تا حدودی افراطی به نظر برسد، اما واقعیت این است که بردارهای حمله در فضای رمزنگاری بسیار زیاد هستند: حساب‌های کاربری جعلی، کلاهبرداران، اخاذی‌کنندگان، دوست‌نماها و دوستان حقه‌باز همه نمونه‌هایی از این بردارهای حمله هستند. مسلما کاربران نمی‌توانند به سرعت حساب‌های کاربری جعلی را تشخیص دهند.

ویتالیک بوترین (خالق اتریوم) می‌گوید:

یک کلاهبردار فقط ۱۰ دقیقه زمان نیاز دارد تا تصویر حساب‌کاربری فرد دیگری را کپی کند. بنابراین هرگز به کسی که در توئیتر از شما درخواست پول می‌کند یا حتی به شما پیشنهاد پول می‌دهد اعتماد نکنید.

در رسانه‌های اجتماعی ویتالیک‌های ساختگی، جوزف لوبین‌های (یکی از بنیانگذاران اتریوم و Consensys) دروغین و نظایر آن بسیار زیاد هستند. واقعا چه کسی با یک نگاه می‌تواند به صحیح بودن این اسامی در رسانه‌ها پی ببرد؟ فردی که در توییتر به سرعت در حال گشت‌وگذار است، ممکن است به محض دیدن etlhereumJoseph @ به اشتباه بیفتد و اصلا متوجه نشود که در این حساب‌کاربری بین دو حرف t و h حرف l وجود دارد که نشانه‌ی جعلی بودن آن است.

بسیاری از کاربران هنوز هم بخش عمده‌ای از دارایی‌های رمزنگاری‌شده‌ی خودشان را به صورت آنلاین در کیف‌پول‌های آنلاین در صرافی‌های متمرکز نگهداری می‌کنند که همه می‌دانیم بسیاری از آنها در طی این سال‌ها از مخاطرات این مسیر بی‌نصیب نمانده‌اند: از مهم‌ترین آنها می‌توان به هک مفتضحانه‌ی Mt. Gox در ۲۰۱۴ اشاره کرد که در آن هکرها با حدود ۷۴۰,۰۰۰ بیت‌کوین ناپدید شدند و البته بیت‌فینکس که به تازگی هک شد و تقریبا ۱۲۰,۰۰۰ بیت‌کوین از دست رفت.

علاوه بر این‌ها، تهدیدات قدیمی نیز هنوز به قوت خودشان باقی هستند: آتش‌سوزی و فراموشی دو مورد از این تهدیدات هستند. شاید باور نکنید، فردی به صورت کاملا تصادفی ۹ میلیون دلار بیت‌کوین را دور ریخته بود. همان‌طور که می‌بینید بردارهای حمله می‌توانند بسیار ساده و غیر قابل پیش‌بینی باشند.

مشکل اینجاست که روش‌های نگهداری رمزارزها در بسیاری موارد امن نیست. ممکن است به هر روش ساده‌ای رمزارزها از دست بروند. به عنوان مثال در سال ۲۰۱۱ مقدار ۲۶۰۹ بیت‌کوین در Mt. Gox فقط به دلیل یک خطای اسکریپتی ناپدید شد. بلاکچین به ما آزادی عمل می‌دهد تا هر یک از ما بانکِ خودمان باشیم. البته از آنجا که ما در شرایطی زندگی کرده‌ایم که تمایل داریم نهادهای متمرکز همه‌ی مسائل ما را برایمان مدیریت کنند شاید این موضوع کمی نگران‌کننده باشد. اما دیگر وقت آن رسیده است که با شیوه‌های امنیتی بیشتری برای ذخیره‌ی رمزارزها آشنا شویم.

خوشبختانه نیک دادسن (بنیانگذار BoardRoom که در حال حاضر GovernX نامیده می‌شود) به تازگی یک گیت‌بوک با عنوان «نکات حرفه‌ای برای مدیریت کیف‌پول اتریوم» منتشر کرد که نوعی راهنمای جامع هم برای افراد بی‌تجربه و هم برای افراد دارای کلاه آلومینیومی به شمار می‌رود. (افرادی که کلاه آلومینیومی بر سر می‌گذاشتند بر این باور بودند این کلاه می‌تواند ذهن آنها را از تهدیدات خارجی مانند کنترل ذهن، خواندن افکار و امواج مغناطیسی حفظ کند).

معیارهای امنیتی شخصیِ دادسن دقیقا شبیه «الگوی لباس اسنودن» است.۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال ادوارد اسنودن کارمند سابق سیا و ان‌اس‌ای بود که اسنادی مبنی بر شنود و نقض حریم خصوصی افراد توسط آژانس امنیت ملی آمریکا را فاش کرد. الگوی لباس اسنودن نوعی لباس است که مانند پتو تمام مونیتور کامپیوتر و هر چیز دیگر مربوط به آن را می‌پوشاند و در تصویر زیر نشان داده شده است. این الگو می‌گوید فقط در این حالت می‌توانید از هر لحاظ امنیت دارایی‌های رمزنگاری‌شده‌تان را حفظ کنید. اما هدف دادسن توانمندسازی کاربران است و قصد ترساندن آنها را ندارد. او می‌خواهد نوعی تعادل بین سهولت و امنیت ایجاد کند. دادسن بر این باور است که لایه‌های امنیتی زیاد نمی‌تواند چندان کارامد باشد، زیرا در نهایت خودتان را هم هنگام تلاش برای دسترسی به رمزارزتان گیج می‌کند. دادسن منابعی را به شما می‌دهد که خودتان در نهایت تصمیم بگیرید سیستم امنیتی‌تان تا چه اندازه پیچیده باشد.

نکته‌ی احتیاطی: گردآوری این نکات حرفه‌ای ممکن است این نگرانی را به همراه داشته باشد که حالا هکرها و کلاهبرداران نیز روی هر ابزار یا اقدامات امنیتی که در این‌جا توصیه می‌شود تمرکز می‌کنند. این درست است، اما شما باید هشیار باشید. بلاکچین دست‌مان را برای انتخاب‌های مختلف باز می‌گذارد. همان‌طور که دادسن می‌نویسد: «اگر هوشیارانه عمل کنید، پیشرفت خواهید کرد.»

هفت نکته‌ی امنیتی ارزهای دیجیتال ۱- بردارهای حمله را بشناسید

دشمن را شناسایی کنید. مراقب «حمله مرد میانی» یا در واقع کسانی که سعی دارند بین شما و مقصدتان قرار گیرند باشید.

سایت‌های کلاهبردار یا وبسایت‌های جعلی که خود را به شکل سایت‌های معتبر جا می‌زنند، این روزها یاد گرفته‌اند چطور کاملا ایمن و عادی به نظر بیایند. URL‌ها را دوبار بررسی کنید. با این حال بهتر است سایت‌های رمزنگاری‌شده‌ی خودتان را بوکمارک کنید و همیشه از همان بوکمارک‌ها استفاده کنید تا نیاز نباشد دوباره آدرس‌ها را بررسی کنید. MetaMask می‌تواند کلون‌ها یا آدرس‌های شبیه‌سازی شده‌ی MyEtherWallet را برای‌تان در لیست‌سیاه قرار دهد.

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

دانلود نرم‌افزارها را تأیید کنید و اجازه ندهید هر نرم‌افزاری در سیستم‌تان نصب شود. نسخه‌های قدیمی سیستم‌عامل Tails دیگر مناسب نیستند، از نسخه‌های جدید آن استفاده کنید. حمله‌ی مرد میانی حتی ممکن است واقعی باشد: فردی به خاطر اینکه گذرواژه‌ی بازیابی رمزارزش را به یک فروشنده کلاهبردار در ای‌بی (ebay) داد، همه‌ی پس‌انداز زندگی اش را از دست داد. بنابراین همیشه کیف‌پول را مستقیما از سازنده‌ی آن بخرید. حال فرض کنیم URLها را بررسی کرده‌اید و همه‌ی آنها درست و معتبر هستند. اما از کجا می‌دانید کسی وای‌فای شما را هک نکرده است و با جعل‌کردن DNS تان، شما را به IPهای متفاوت هدایت نکرده است؟ محاسبات ایمنی دقیقا مانند شطرنج است. همیشه باید فرض کنید حریف‌تان از شما باهوش‌تر است.

۲- رمز عبورهای قدرتمند انتخاب کنید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

هرگز برای رمز عبور از تاریخ تولد، آدرس خیابان، متن ترانه‌ی موردعلاقه و مشابه آنها استفاده نکنید. حتی اگر از حروف درهم و برهم در صفحه کلید استفاده کنید، باز هم ممکن است لو برود؛ چرا که ابزارهای قفل‌شکن می‌توانند در هر ثانیه ۳۵۰ میلیارد رمز را حدس بزنند. از یک تولیدکننده‌ی رمز عبور تصادفی برای ایجاد یک عبارت رمزی قوی استفاده کنید یا یک کیف‌پول سخت‌افزاری خریداری کنید که کلیدها و امضاهای قدرتمند برای شما ایجاد کند. بهتر است از رمزعبورهای چندگانه استفاده کنید. کیف‌پول‌های با چندامضا مانند Gnosis’ به کلیدهای متعددی برای تأیید و اعتبارسنجی معاملات نیاز دارند. از کد احراز هویت دو مرحله‌ای نیز برای ایمیل، مبادلات و نظایر آنها استفاده کنید. منتظر ماندن برای دریافت پیامک ممکن است آزاردهنده باشد، اما این شیوه تأیید دو مرحله‌ای از امنیت بالاتری نسبت به سایر شیوه‌ها برخوردار است

۳- ار فضای ذخیره‌سازی آفلاین (سرد) استفاده کنید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

یکی از مهم‌ترین اقدامات امنیتی که باید به آن توجه کنید این است که بخش اعظم دارایی رمز‌نگاری‌شده‌تان را به صورت سرد (یعنی به صورت ایرگپ و آفلاین) نگهداری کنید. فقط مقداری از آن را در صرافی و کیف‌پول‌های آنلاین نگه‌دارید که از دست رفتن آن زیان چندانی برای‌تان نداشته باشد. همچنین با خارج کردن کارت شبکه از کامپیوتر شخصی یا لپ‌تاپ‌تان می‌توانید یک کامپیوتر ایرگپ ایجاد کنید و سیستم‌عامل Tails را که به صورت آفلاین است روی آن اجرا کنید. می‌توانید یک کیف‌پول سخت‌افزاری بخرید. هنگامی که در حال تولید عبارت seed (عبارت رمز عبور) هستید، کیف‌پول سخت‌افزاری‌تان را به یک پریز در دیوار وصل کنید تا حتی‌الامکان سرد (آفلاین) بماند. اگر باز هم آرامش ندارید، میکروفن و دوربین لپ‌تاپ‌تان را هم بپوشانید و هر گونه دستگاه الکترونیکی را از اتاق خارج کنید!

۴- همه چیز را آزمایش کنید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

برای تمرین بهتر است ابتدا با بخش کوچکی از دارایی‌تان در یک شبکه‌ی آزمایشی شروع کنید. هرگز آدرس‌ها را به صورت دستی تایپ نکنید. اگر فکر می‌کنید خیلی افراطی است، بد نیست بدانید تا کنون بیش از ۱۲۰۰۰ اتریوم فقط به دلیل اشتباهات تایپی برای همیشه از دست رفته است. به جای تایپ دستی از روش‌هایی مانند  کپی و چسباندن، سرویس Ethereum Name Service یا اسکن کد QR استفاده کنید. مطمئن شوید اپلیکیشن اسکن‌تان ایمن است. identicon آدرس مقصد را دوبار بررسی کنید تا آواتار اشتباهی را انتخاب نکرده باشید. قبل از انتقال هر دارایی دیجیتال به کیف‌پول سخت‌افزاری‌تان، عبارت seed را آزمایش کنید. اگر در حال ایجاد یک کامپیوتر ایرگپ هستید قبل و بعد از بارگیری داده‌ها روی کارت حافظه، چک‌سام کدگذاری‌شده با الگوریتم MD5 (MD5 checksum) را ثبت و دوباره بررسی کنید. (چک‌سام‌های کدگذاری‌شده برای بررسی صحت و سقم اطلاعات در مقصد به کار می‌روند.)

۵- رمز عبورهای‌تان را در دستگاه‌ها و مکان‌های مختلفی ذخیره کنید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

یک عبارت seed استاندارد Bip39 یک رشته‌ی ۲۴ کلمه‌ای نادر است که می‌توانید از آن یک کلید خصوصی ایجاد کنید. از این seed تا جایی که می‌توانید مراقبت کنید. اگر آن را روی کاغذ می‌نویسید دوتا از آن بنویسید و در مکان‌های جداگانه نگهداری کنید. کارت حافظه نیز گزینه‌ی خوبی است، اما به ندرت تا ۵ سال دوام می‌آورد و ممکن است به راحتی با پالس الکترومغناطیسی پاک شود. برای اطمینان از هر دو روش آنالوگ و دیجیتال استفاده کنید. دیده شده است که برخی افراد عبارت seed را روی فولاد می‌کوبند. هر قطعه از seed را در یک جای مطمئن و جداگانه ذخیره کنید. یادتان باشد مراحل را به دقت ثبت کنید تا بعدا خودتان یا وارث‌تان بتوانید seed را دوباره بسازید.

۶- به «انکار موجه» پایبند بمانید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

انکار موجه (plausible deniability) در حوزه‌ی رمزنگاری به معنای توانایی پنهان داشتن اطلاعات خاص است. هرگز درباره‌ی دارایی‌های‌تان با کسی صحبت نکنید و در رسانه‌های اجتماعی درباره‌ی صرافی‌هایی که در آن همه‌ی دارایی‌های رمزنگاری‌تان را نگهداری می‌کنید چیزی نگویید. دارایی‌های رمزنگاری را فقط به صورت آنلاین نگهداری نکنید. شما می‌توانید حساب‌های کاربری‌تان را تحت مسیرهای HD متفاوتی در کیف‌پول‌های سخت‌افزاری خودتان پنهان کنید تا کسی نتواند به آنها دسترسی یابد. همچنین، از طریق توزیع دارایی‌های‌تان در کیف‌پول‌های مختلف خطر افشا شدن آنها را به حداقل برسانید.

۷- با ارتقای سطح دقت‌تان به اکوسیستم کمک کنید

۷ نکته‌ی حرفه‌ای برای ایمن نگه‌داشتن ارزهای دیجیتال

دادسن این گیت‌بوک را با معرفی چهار سطح متفاوت از تنظیمات کیف‌پول به پایان می‌رساند. کسی که به سطح چهارم رسیده است دقیق‌ترین کاربر است. این تصمیم شماست که تا چه حد می‌خواهید دقیق باشید. اما به یاد داشته باشید: انتخاب‌های امنیتی شما نه تنها بر خودتان، که بر اکوسیستم هم تأثیر می‌گذارد. اگر از سیستم احراز هویت دو مرحله‌ای استفاده نکنید و کسی به ایمیل‌تان دسترسی پیدا کند (به عنوان مثال اگر از کامپیوتر کافی‌نت یا هر جای دیگری استفاده کرده باشید و فراموش کرده باشید جیمیل‌تان را ببندید)، اگر کسی به شبکه‌ی خصوصی شما دسترسی پیدا کنید خودتان مقصر هستید. بنابراین سعی کنید سطح‌تان را ارتقا دهید. کیف‌پول‌های سخت‌افزاری، سیستم‌عامل آفلاین Tails و امضای چندگانه را امتحان کنید. درباره‌ی فضای ذخیره‌سازی آفلاین مانند کیف‌پول سخت‌افزاری با دوستان خود صحبت کنید. با شناسایی و نشانه‌گذاری سایت‌های کلاهبردار و حساب‌های جعلی به جامعه کمک کنید. نکات حرفه‌ای دادسن هدیه‌ای به اکوسیستم هستند و ما نیز با انتشار آنها می‌توانیم سهمی در کمک به اکوسیستم داشته باشیم.

منبع: consensys

دیدگاه تان را بنویسید