نیک دادسن میگوید:
اگر هوشیارانه عمل کنید، پیشرفت خواهید کرد.
در روستای اتینگهاوزن در سوئیس، کوهستانی از سنگهای گرانیتی وجود دارد که در حال حاضر یکی از محرمانهترین مراکز اطلاعاتی جهان به شمار میرود. حدود ۳۰۰ متر درون این کوهستان، یک پناهگاه نظامی قدیمی وجود داشته است که پس از بازسازی به صورت یک فضای سرد در آمده و با دیوارههای فولادی پوشانده شده است. درون این فضای سرد، سختافزارهای ایمن در برابر جاسوسی قرار دارد که کلیدهای خصوصی افرادی که داراییهای رمزنگاریشدهی بسیار ارزشمندی دارند و به دنبال آرامش ذهنشان هستند نگهداری میکند. سیستم امنیتی بسیار قدرتمندی از این پایگاه حفاظت میکند.
شاید به نظر شما این اقدامات امنیتی تا حدودی افراطی به نظر برسد، اما واقعیت این است که بردارهای حمله در فضای رمزنگاری بسیار زیاد هستند: حسابهای کاربری جعلی، کلاهبرداران، اخاذیکنندگان، دوستنماها و دوستان حقهباز همه نمونههایی از این بردارهای حمله هستند. مسلما کاربران نمیتوانند به سرعت حسابهای کاربری جعلی را تشخیص دهند.
ویتالیک بوترین (خالق اتریوم) میگوید:
یک کلاهبردار فقط ۱۰ دقیقه زمان نیاز دارد تا تصویر حسابکاربری فرد دیگری را کپی کند. بنابراین هرگز به کسی که در توئیتر از شما درخواست پول میکند یا حتی به شما پیشنهاد پول میدهد اعتماد نکنید.
در رسانههای اجتماعی ویتالیکهای ساختگی، جوزف لوبینهای (یکی از بنیانگذاران اتریوم و Consensys) دروغین و نظایر آن بسیار زیاد هستند. واقعا چه کسی با یک نگاه میتواند به صحیح بودن این اسامی در رسانهها پی ببرد؟ فردی که در توییتر به سرعت در حال گشتوگذار است، ممکن است به محض دیدن etlhereumJoseph @ به اشتباه بیفتد و اصلا متوجه نشود که در این حسابکاربری بین دو حرف t و h حرف l وجود دارد که نشانهی جعلی بودن آن است.
بسیاری از کاربران هنوز هم بخش عمدهای از داراییهای رمزنگاریشدهی خودشان را به صورت آنلاین در کیفپولهای آنلاین در صرافیهای متمرکز نگهداری میکنند که همه میدانیم بسیاری از آنها در طی این سالها از مخاطرات این مسیر بینصیب نماندهاند: از مهمترین آنها میتوان به هک مفتضحانهی Mt. Gox در ۲۰۱۴ اشاره کرد که در آن هکرها با حدود ۷۴۰,۰۰۰ بیتکوین ناپدید شدند و البته بیتفینکس که به تازگی هک شد و تقریبا ۱۲۰,۰۰۰ بیتکوین از دست رفت.
علاوه بر اینها، تهدیدات قدیمی نیز هنوز به قوت خودشان باقی هستند: آتشسوزی و فراموشی دو مورد از این تهدیدات هستند. شاید باور نکنید، فردی به صورت کاملا تصادفی ۹ میلیون دلار بیتکوین را دور ریخته بود. همانطور که میبینید بردارهای حمله میتوانند بسیار ساده و غیر قابل پیشبینی باشند.
مشکل اینجاست که روشهای نگهداری رمزارزها در بسیاری موارد امن نیست. ممکن است به هر روش سادهای رمزارزها از دست بروند. به عنوان مثال در سال ۲۰۱۱ مقدار ۲۶۰۹ بیتکوین در Mt. Gox فقط به دلیل یک خطای اسکریپتی ناپدید شد. بلاکچین به ما آزادی عمل میدهد تا هر یک از ما بانکِ خودمان باشیم. البته از آنجا که ما در شرایطی زندگی کردهایم که تمایل داریم نهادهای متمرکز همهی مسائل ما را برایمان مدیریت کنند شاید این موضوع کمی نگرانکننده باشد. اما دیگر وقت آن رسیده است که با شیوههای امنیتی بیشتری برای ذخیرهی رمزارزها آشنا شویم.
خوشبختانه نیک دادسن (بنیانگذار BoardRoom که در حال حاضر GovernX نامیده میشود) به تازگی یک گیتبوک با عنوان «نکات حرفهای برای مدیریت کیفپول اتریوم» منتشر کرد که نوعی راهنمای جامع هم برای افراد بیتجربه و هم برای افراد دارای کلاه آلومینیومی به شمار میرود. (افرادی که کلاه آلومینیومی بر سر میگذاشتند بر این باور بودند این کلاه میتواند ذهن آنها را از تهدیدات خارجی مانند کنترل ذهن، خواندن افکار و امواج مغناطیسی حفظ کند).
معیارهای امنیتی شخصیِ دادسن دقیقا شبیه «الگوی لباس اسنودن» است.
ادوارد اسنودن کارمند سابق سیا و اناسای بود که اسنادی مبنی بر شنود و نقض حریم خصوصی افراد توسط آژانس امنیت ملی آمریکا را فاش کرد. الگوی لباس اسنودن نوعی لباس است که مانند پتو تمام مونیتور کامپیوتر و هر چیز دیگر مربوط به آن را میپوشاند و در تصویر زیر نشان داده شده است. این الگو میگوید فقط در این حالت میتوانید از هر لحاظ امنیت داراییهای رمزنگاریشدهتان را حفظ کنید. اما هدف دادسن توانمندسازی کاربران است و قصد ترساندن آنها را ندارد. او میخواهد نوعی تعادل بین سهولت و امنیت ایجاد کند. دادسن بر این باور است که لایههای امنیتی زیاد نمیتواند چندان کارامد باشد، زیرا در نهایت خودتان را هم هنگام تلاش برای دسترسی به رمزارزتان گیج میکند. دادسن منابعی را به شما میدهد که خودتان در نهایت تصمیم بگیرید سیستم امنیتیتان تا چه اندازه پیچیده باشد.
نکتهی احتیاطی: گردآوری این نکات حرفهای ممکن است این نگرانی را به همراه داشته باشد که حالا هکرها و کلاهبرداران نیز روی هر ابزار یا اقدامات امنیتی که در اینجا توصیه میشود تمرکز میکنند. این درست است، اما شما باید هشیار باشید. بلاکچین دستمان را برای انتخابهای مختلف باز میگذارد. همانطور که دادسن مینویسد: «اگر هوشیارانه عمل کنید، پیشرفت خواهید کرد.»
هفت نکتهی امنیتی ارزهای دیجیتال ۱- بردارهای حمله را بشناسیددشمن را شناسایی کنید. مراقب «حمله مرد میانی» یا در واقع کسانی که سعی دارند بین شما و مقصدتان قرار گیرند باشید.
سایتهای کلاهبردار یا وبسایتهای جعلی که خود را به شکل سایتهای معتبر جا میزنند، این روزها یاد گرفتهاند چطور کاملا ایمن و عادی به نظر بیایند. URLها را دوبار بررسی کنید. با این حال بهتر است سایتهای رمزنگاریشدهی خودتان را بوکمارک کنید و همیشه از همان بوکمارکها استفاده کنید تا نیاز نباشد دوباره آدرسها را بررسی کنید. MetaMask میتواند کلونها یا آدرسهای شبیهسازی شدهی MyEtherWallet را برایتان در لیستسیاه قرار دهد.
دانلود نرمافزارها را تأیید کنید و اجازه ندهید هر نرمافزاری در سیستمتان نصب شود. نسخههای قدیمی سیستمعامل Tails دیگر مناسب نیستند، از نسخههای جدید آن استفاده کنید. حملهی مرد میانی حتی ممکن است واقعی باشد: فردی به خاطر اینکه گذرواژهی بازیابی رمزارزش را به یک فروشنده کلاهبردار در ایبی (ebay) داد، همهی پسانداز زندگی اش را از دست داد. بنابراین همیشه کیفپول را مستقیما از سازندهی آن بخرید. حال فرض کنیم URLها را بررسی کردهاید و همهی آنها درست و معتبر هستند. اما از کجا میدانید کسی وایفای شما را هک نکرده است و با جعلکردن DNS تان، شما را به IPهای متفاوت هدایت نکرده است؟ محاسبات ایمنی دقیقا مانند شطرنج است. همیشه باید فرض کنید حریفتان از شما باهوشتر است.
۲- رمز عبورهای قدرتمند انتخاب کنید
هرگز برای رمز عبور از تاریخ تولد، آدرس خیابان، متن ترانهی موردعلاقه و مشابه آنها استفاده نکنید. حتی اگر از حروف درهم و برهم در صفحه کلید استفاده کنید، باز هم ممکن است لو برود؛ چرا که ابزارهای قفلشکن میتوانند در هر ثانیه ۳۵۰ میلیارد رمز را حدس بزنند. از یک تولیدکنندهی رمز عبور تصادفی برای ایجاد یک عبارت رمزی قوی استفاده کنید یا یک کیفپول سختافزاری خریداری کنید که کلیدها و امضاهای قدرتمند برای شما ایجاد کند. بهتر است از رمزعبورهای چندگانه استفاده کنید. کیفپولهای با چندامضا مانند Gnosis’ به کلیدهای متعددی برای تأیید و اعتبارسنجی معاملات نیاز دارند. از کد احراز هویت دو مرحلهای نیز برای ایمیل، مبادلات و نظایر آنها استفاده کنید. منتظر ماندن برای دریافت پیامک ممکن است آزاردهنده باشد، اما این شیوه تأیید دو مرحلهای از امنیت بالاتری نسبت به سایر شیوهها برخوردار است
۳- ار فضای ذخیرهسازی آفلاین (سرد) استفاده کنید
یکی از مهمترین اقدامات امنیتی که باید به آن توجه کنید این است که بخش اعظم دارایی رمزنگاریشدهتان را به صورت سرد (یعنی به صورت ایرگپ و آفلاین) نگهداری کنید. فقط مقداری از آن را در صرافی و کیفپولهای آنلاین نگهدارید که از دست رفتن آن زیان چندانی برایتان نداشته باشد. همچنین با خارج کردن کارت شبکه از کامپیوتر شخصی یا لپتاپتان میتوانید یک کامپیوتر ایرگپ ایجاد کنید و سیستمعامل Tails را که به صورت آفلاین است روی آن اجرا کنید. میتوانید یک کیفپول سختافزاری بخرید. هنگامی که در حال تولید عبارت seed (عبارت رمز عبور) هستید، کیفپول سختافزاریتان را به یک پریز در دیوار وصل کنید تا حتیالامکان سرد (آفلاین) بماند. اگر باز هم آرامش ندارید، میکروفن و دوربین لپتاپتان را هم بپوشانید و هر گونه دستگاه الکترونیکی را از اتاق خارج کنید!
۴- همه چیز را آزمایش کنید
برای تمرین بهتر است ابتدا با بخش کوچکی از داراییتان در یک شبکهی آزمایشی شروع کنید. هرگز آدرسها را به صورت دستی تایپ نکنید. اگر فکر میکنید خیلی افراطی است، بد نیست بدانید تا کنون بیش از ۱۲۰۰۰ اتریوم فقط به دلیل اشتباهات تایپی برای همیشه از دست رفته است. به جای تایپ دستی از روشهایی مانند کپی و چسباندن، سرویس Ethereum Name Service یا اسکن کد QR استفاده کنید. مطمئن شوید اپلیکیشن اسکنتان ایمن است. identicon آدرس مقصد را دوبار بررسی کنید تا آواتار اشتباهی را انتخاب نکرده باشید. قبل از انتقال هر دارایی دیجیتال به کیفپول سختافزاریتان، عبارت seed را آزمایش کنید. اگر در حال ایجاد یک کامپیوتر ایرگپ هستید قبل و بعد از بارگیری دادهها روی کارت حافظه، چکسام کدگذاریشده با الگوریتم MD5 (MD5 checksum) را ثبت و دوباره بررسی کنید. (چکسامهای کدگذاریشده برای بررسی صحت و سقم اطلاعات در مقصد به کار میروند.)
۵- رمز عبورهایتان را در دستگاهها و مکانهای مختلفی ذخیره کنید
یک عبارت seed استاندارد Bip39 یک رشتهی ۲۴ کلمهای نادر است که میتوانید از آن یک کلید خصوصی ایجاد کنید. از این seed تا جایی که میتوانید مراقبت کنید. اگر آن را روی کاغذ مینویسید دوتا از آن بنویسید و در مکانهای جداگانه نگهداری کنید. کارت حافظه نیز گزینهی خوبی است، اما به ندرت تا ۵ سال دوام میآورد و ممکن است به راحتی با پالس الکترومغناطیسی پاک شود. برای اطمینان از هر دو روش آنالوگ و دیجیتال استفاده کنید. دیده شده است که برخی افراد عبارت seed را روی فولاد میکوبند. هر قطعه از seed را در یک جای مطمئن و جداگانه ذخیره کنید. یادتان باشد مراحل را به دقت ثبت کنید تا بعدا خودتان یا وارثتان بتوانید seed را دوباره بسازید.
۶- به «انکار موجه» پایبند بمانید
انکار موجه (plausible deniability) در حوزهی رمزنگاری به معنای توانایی پنهان داشتن اطلاعات خاص است. هرگز دربارهی داراییهایتان با کسی صحبت نکنید و در رسانههای اجتماعی دربارهی صرافیهایی که در آن همهی داراییهای رمزنگاریتان را نگهداری میکنید چیزی نگویید. داراییهای رمزنگاری را فقط به صورت آنلاین نگهداری نکنید. شما میتوانید حسابهای کاربریتان را تحت مسیرهای HD متفاوتی در کیفپولهای سختافزاری خودتان پنهان کنید تا کسی نتواند به آنها دسترسی یابد. همچنین، از طریق توزیع داراییهایتان در کیفپولهای مختلف خطر افشا شدن آنها را به حداقل برسانید.
۷- با ارتقای سطح دقتتان به اکوسیستم کمک کنید
دادسن این گیتبوک را با معرفی چهار سطح متفاوت از تنظیمات کیفپول به پایان میرساند. کسی که به سطح چهارم رسیده است دقیقترین کاربر است. این تصمیم شماست که تا چه حد میخواهید دقیق باشید. اما به یاد داشته باشید: انتخابهای امنیتی شما نه تنها بر خودتان، که بر اکوسیستم هم تأثیر میگذارد. اگر از سیستم احراز هویت دو مرحلهای استفاده نکنید و کسی به ایمیلتان دسترسی پیدا کند (به عنوان مثال اگر از کامپیوتر کافینت یا هر جای دیگری استفاده کرده باشید و فراموش کرده باشید جیمیلتان را ببندید)، اگر کسی به شبکهی خصوصی شما دسترسی پیدا کنید خودتان مقصر هستید. بنابراین سعی کنید سطحتان را ارتقا دهید. کیفپولهای سختافزاری، سیستمعامل آفلاین Tails و امضای چندگانه را امتحان کنید. دربارهی فضای ذخیرهسازی آفلاین مانند کیفپول سختافزاری با دوستان خود صحبت کنید. با شناسایی و نشانهگذاری سایتهای کلاهبردار و حسابهای جعلی به جامعه کمک کنید. نکات حرفهای دادسن هدیهای به اکوسیستم هستند و ما نیز با انتشار آنها میتوانیم سهمی در کمک به اکوسیستم داشته باشیم.
منبع: consensys
دیدگاه تان را بنویسید