۱- بردارهای حمله را بشناسید

دشمن را شناسایی کنید. مراقب «حمله مرد میانی» یا در واقع کسانی که سعی دارند بین شما و مقصدتان قرار گیرند باشید.

سایت‌های کلاهبردار یا وبسایت‌های جعلی که خود را به شکل سایت‌های معتبر جا می‌زنند، این روزها یاد گرفته‌اند چطور کاملا ایمن و عادی به نظر بیایند. URL‌ها را دوبار بررسی کنید. با این حال بهتر است سایت‌های رمزنگاری‌شده‌ی خودتان را بوکمارک کنید و همیشه از همان بوکمارک‌ها استفاده کنید تا نیاز نباشد دوباره آدرس‌ها را بررسی کنید. MetaMask می‌تواند کلون‌ها یا آدرس‌های شبیه‌سازی شده‌ی MyEtherWallet را برای‌تان در لیست‌سیاه قرار دهد.

دانلود نرم‌افزارها را تأیید کنید و اجازه ندهید هر نرم‌افزاری در سیستم‌تان نصب شود. نسخه‌های قدیمی سیستم‌عامل Tails دیگر مناسب نیستند، از نسخه‌های جدید آن استفاده کنید. حمله‌ی مرد میانی حتی ممکن است واقعی باشد: فردی به خاطر اینکه گذرواژه‌ی بازیابی رمزارزش را به یک فروشنده کلاهبردار در ای‌بی (ebay) داد، همه‌ی پس‌انداز زندگی اش را از دست داد. بنابراین همیشه کیف‌پول را مستقیما از سازنده‌ی آن بخرید. حال فرض کنیم URLها را بررسی کرده‌اید و همه‌ی آنها درست و معتبر هستند. اما از کجا می‌دانید کسی وای‌فای شما را هک نکرده است و با جعل‌کردن DNS تان، شما را به IPهای متفاوت هدایت نکرده است؟ محاسبات ایمنی دقیقا مانند شطرنج است. همیشه باید فرض کنید حریف‌تان از شما باهوش‌تر است.

۲- رمز عبورهای قدرتمند انتخاب کنید

هرگز برای رمز عبور از تاریخ تولد، آدرس خیابان، متن ترانه‌ی موردعلاقه و مشابه آنها استفاده نکنید. حتی اگر از حروف درهم و برهم در صفحه کلید استفاده کنید، باز هم ممکن است لو برود؛ چرا که ابزارهای قفل‌شکن می‌توانند در هر ثانیه ۳۵۰ میلیارد رمز را حدس بزنند. از یک تولیدکننده‌ی رمز عبور تصادفی برای ایجاد یک عبارت رمزی قوی استفاده کنید یا یک کیف‌پول سخت‌افزاری خریداری کنید که کلیدها و امضاهای قدرتمند برای شما ایجاد کند. بهتر است از رمزعبورهای چندگانه استفاده کنید. کیف‌پول‌های با چندامضا مانند Gnosis’ به کلیدهای متعددی برای تأیید و اعتبارسنجی معاملات نیاز دارند. از کد احراز هویت دو مرحله‌ای نیز برای ایمیل، مبادلات و نظایر آنها استفاده کنید. منتظر ماندن برای دریافت پیامک ممکن است آزاردهنده باشد، اما این شیوه تأیید دو مرحله‌ای از امنیت بالاتری نسبت به سایر شیوه‌ها برخوردار است

۳- ار فضای ذخیره‌سازی آفلاین (سرد) استفاده کنید

یکی از مهم‌ترین اقدامات امنیتی که باید به آن توجه کنید این است که بخش اعظم دارایی رمز‌نگاری‌شده‌تان را به صورت سرد (یعنی به صورت ایرگپ و آفلاین) نگهداری کنید. فقط مقداری از آن را در صرافی و کیف‌پول‌های آنلاین نگه‌دارید که از دست رفتن آن زیان چندانی برای‌تان نداشته باشد. همچنین با خارج کردن کارت شبکه از کامپیوتر شخصی یا لپ‌تاپ‌تان می‌توانید یک کامپیوتر ایرگپ ایجاد کنید و سیستم‌عامل Tails را که به صورت آفلاین است روی آن اجرا کنید. می‌توانید یک کیف‌پول سخت‌افزاری بخرید. هنگامی که در حال تولید عبارت seed (عبارت رمز عبور) هستید، کیف‌پول سخت‌افزاری‌تان را به یک پریز در دیوار وصل کنید تا حتی‌الامکان سرد (آفلاین) بماند. اگر باز هم آرامش ندارید، میکروفن و دوربین لپ‌تاپ‌تان را هم بپوشانید و هر گونه دستگاه الکترونیکی را از اتاق خارج کنید!

۴- همه چیز را آزمایش کنید

برای تمرین بهتر است ابتدا با بخش کوچکی از دارایی‌تان در یک شبکه‌ی آزمایشی شروع کنید. هرگز آدرس‌ها را به صورت دستی تایپ نکنید. اگر فکر می‌کنید خیلی افراطی است، بد نیست بدانید تا کنون بیش از ۱۲۰۰۰ اتریوم فقط به دلیل اشتباهات تایپی برای همیشه از دست رفته است. به جای تایپ دستی از روش‌هایی مانند  کپی و چسباندن، سرویس Ethereum Name Service یا اسکن کد QR استفاده کنید. مطمئن شوید اپلیکیشن اسکن‌تان ایمن است. identicon آدرس مقصد را دوبار بررسی کنید تا آواتار اشتباهی را انتخاب نکرده باشید. قبل از انتقال هر دارایی دیجیتال به کیف‌پول سخت‌افزاری‌تان، عبارت seed را آزمایش کنید. اگر در حال ایجاد یک کامپیوتر ایرگپ هستید قبل و بعد از بارگیری داده‌ها روی کارت حافظه، چک‌سام کدگذاری‌شده با الگوریتم MD5 (MD5 checksum) را ثبت و دوباره بررسی کنید. (چک‌سام‌های کدگذاری‌شده برای بررسی صحت و سقم اطلاعات در مقصد به کار می‌روند.)

۵- رمز عبورهای‌تان را در دستگاه‌ها و مکان‌های مختلفی ذخیره کنید

یک عبارت seed استاندارد Bip39 یک رشته‌ی ۲۴ کلمه‌ای نادر است که می‌توانید از آن یک کلید خصوصی ایجاد کنید. از این seed تا جایی که می‌توانید مراقبت کنید. اگر آن را روی کاغذ می‌نویسید دوتا از آن بنویسید و در مکان‌های جداگانه نگهداری کنید. کارت حافظه نیز گزینه‌ی خوبی است، اما به ندرت تا ۵ سال دوام می‌آورد و ممکن است به راحتی با پالس الکترومغناطیسی پاک شود. برای اطمینان از هر دو روش آنالوگ و دیجیتال استفاده کنید. دیده شده است که برخی افراد عبارت seed را روی فولاد می‌کوبند. هر قطعه از seed را در یک جای مطمئن و جداگانه ذخیره کنید. یادتان باشد مراحل را به دقت ثبت کنید تا بعدا خودتان یا وارث‌تان بتوانید seed را دوباره بسازید.

۶- به «انکار موجه» پایبند بمانید

انکار موجه (plausible deniability) در حوزه‌ی رمزنگاری به معنای توانایی پنهان داشتن اطلاعات خاص است. هرگز درباره‌ی دارایی‌های‌تان با کسی صحبت نکنید و در رسانه‌های اجتماعی درباره‌ی صرافی‌هایی که در آن همه‌ی دارایی‌های رمزنگاری‌تان را نگهداری می‌کنید چیزی نگویید. دارایی‌های رمزنگاری را فقط به صورت آنلاین نگهداری نکنید. شما می‌توانید حساب‌های کاربری‌تان را تحت مسیرهای HD متفاوتی در کیف‌پول‌های سخت‌افزاری خودتان پنهان کنید تا کسی نتواند به آنها دسترسی یابد. همچنین، از طریق توزیع دارایی‌های‌تان در کیف‌پول‌های مختلف خطر افشا شدن آنها را به حداقل برسانید.

۷- با ارتقای سطح دقت‌تان به اکوسیستم کمک کنید

دادسن این گیت‌بوک را با معرفی چهار سطح متفاوت از تنظیمات کیف‌پول به پایان می‌رساند. کسی که به سطح چهارم رسیده است دقیق‌ترین کاربر است. این تصمیم شماست که تا چه حد می‌خواهید دقیق باشید. اما به یاد داشته باشید: انتخاب‌های امنیتی شما نه تنها بر خودتان، که بر اکوسیستم هم تأثیر می‌گذارد. اگر از سیستم احراز هویت دو مرحله‌ای استفاده نکنید و کسی به ایمیل‌تان دسترسی پیدا کند (به عنوان مثال اگر از کامپیوتر کافی‌نت یا هر جای دیگری استفاده کرده باشید و فراموش کرده باشید جیمیل‌تان را ببندید)، اگر کسی به شبکه‌ی خصوصی شما دسترسی پیدا کنید خودتان مقصر هستید. بنابراین سعی کنید سطح‌تان را ارتقا دهید. کیف‌پول‌های سخت‌افزاری، سیستم‌عامل آفلاین Tails و امضای چندگانه را امتحان کنید. درباره‌ی فضای ذخیره‌سازی آفلاین مانند کیف‌پول سخت‌افزاری با دوستان خود صحبت کنید. با شناسایی و نشانه‌گذاری سایت‌های کلاهبردار و حساب‌های جعلی به جامعه کمک کنید. نکات حرفه‌ای دادسن هدیه‌ای به اکوسیستم هستند و ما نیز با انتشار آنها می‌توانیم سهمی در کمک به اکوسیستم داشته باشیم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما باید با قوانین موافقت کنید.

فهرست