加密货币:加密投资者必备操作安全性指南_Save Your Assets

文章来源：SophonLabs

原文标题：《加密投资者必备Opsec指南》

在这篇文章中，我们将讨论如何修改日常在线的操作细节以提高opsec。在深入研究之前，请考虑一开始可能会让人不知所措。您不必立即采用最佳网络安全实践。这个想法是列出不同的选项，并鼓励您采取一些小步骤，这将有助于逐步改进您通常的在线和链上活动。

如果加密资产被黑客入侵过，那么你很可能以前从未费心考虑过opsec。大家可能认为自己是完全安全的，因为您按照大多数人的建议使用硬件钱包。但是你有没有仔细检查过你的在线例行程序？你有没有发现过当前系统中的缺陷？

因为这些问题的答案很可能是「否」，所以我想展示如何安全地处理每个加密投资者必须定期处理的3个不同领域：钱包、密码和电子邮件。

钱包

由于钱包持有访问用户资金的密钥，因此它是应该保护的第一个区域。最终，任何最终导致被盗资金的黑客攻击都设法通过访问用户的私钥来实现。

如果您正在阅读本文，您可能已经听到了「不是您的钥匙，不是您的硬币」这句名言的次数，次数数不清。因此，我将假设您可以控制您的私钥，在本文中，我不会考虑由第三方保护的钱包。

那么，用户在以自我托管的方式保护他们的资金时有哪些选择？

软件钱包

第一级安全在于所谓的「热钱包」。软件钱包始终连接到互联网，因此是最方便和易于管理的。这种类型的钱包允许用户持有他们的私钥，释放抗审查资产的全部潜力。然而，这些类型的钱包具有如此便利性的缺点是以牺牲安全性为代价的，因为如果持有钱包的设备被黑客入侵，攻击者可以轻松访问其私钥并窃取钱包的资金。

报告：51%的沙特阿拉伯加密投资者认为加密货币是金融的未来:7月13日消息，KuCoin发布Into The Cryptoverse报告，该报告旨在探索数字货币在沙特阿拉伯的渗透和采用。

报告显示，截至2022年5月，约300万沙特阿拉伯人已成为加密投资者，占18至60岁成年人口的14%；约17%的成年人对加密货币有好奇心。

在2022年第一季度，49%的加密投资者打算在未来六个月内增加对加密货币的投资。从2022年第二季度市场下跌开始，31%的加密投资者表示将维持目前持有的加密货币，而不是增加投资。同一时期，收入较低的投资者倾向于出售部分投资组合。

76%的加密投资者在加密投资方面的经验不到一年，51%的加密货币投资者认为加密货币是金融的未来，44%的投资者认为加密货币从长远来看可以给他们带来更高的回报。（Businesswire）[2022/7/13 2:10:47]

如果您想坚持使用此选项，您应该将资金分散在不同的钱包之间，以最大程度地减少潜在漏洞的影响。

记住：你不想把所有的鸡蛋放在一个篮子里。

硬件钱包

第二级安全属于冷钱包。这些类型的钱包允许用户将私钥存储在离线设备中。使用这些设备可确保除非攻击者设法物理获取设备或恢复阶段，否则他们将无法获取私钥。

尽管冷钱包更安全，因为它们还迫使用户在签署交易时拥有硬件设备，但与热钱包相比，它们不太方便。

最常见的硬件钱包是由Ledger，Trezor和Grid+制造的钱包。尽管冷钱包已经具有更高的安全性，但通过将资金分散在不同品牌的钱包之间来最小化风险并不是一个坏主意。通过这样做，您将在这些公司之一受到损害的不太可能的情况下受到保护。

韩国加密投资者将需申报海外交易所投资情况:1月4日消息，韩国政府将试图更好地了解其目标加密货币投资者的人口结构。这方面的最新举措是要求公民申报他们在海外交易所进行的加密货币投资。

韩国经济和财政部出版的新一年指南提到，公民和国内企业在今年任何一天在海外账户中存入的价值超过5亿韩元的存款必须在2023年6月1日至6月30日期间向辖区税务局局长报告。

值得注意的是，海外加密货币账户也被列为这一类别，大概是为了更好地制定关于加密货币资本收益的税法，该税法将于2023年开始实施。（AMBCrypto）[2022/1/5 8:25:26]

注意：您还应该考虑到为潜在的钱包恢复过程做好准备很重要。如果您最终无法访问持有私钥的设备，您需要确保拥有私钥的备份并知道如何恢复钱包。Grid+的一个很酷的功能是能够使用SafeCards，这是受密码保护的私钥备份。

智能合约钱包

顾名思义，智能合约钱包是一种由智能合约而不是私钥管理的钱包。此功能由于其灵活性，使这些类型的钱包最安全。使用自定义逻辑的能力增加了额外的验证层，甚至可以添加每日传输限制等约束。最重要的是，他们还有帐户恢复机制。

在所有提到的功能中，最有趣的是多重签名交易。这些属性需要多个钱包的签名才能确认任何交易。如果您决定使用智能合约钱包，您应该设置一个NofM多重签名，其中包含N>1。这些配置将确保始终需要至少2个签名来签署交易，从而最大限度地降低利用风险并确保不会因单点故障而成功攻击。

尽管智能合约钱包在签署交易时需要付出更多的努力，但它们在帐户恢复方面也非常方便。具有N<M的NofM多重签名设置允许仍然可以访问钱包资金，即使无法访问其中一个私钥。

动态 | 加密投资平台eToroX宣布支持ETC:2月2日，加密投资平台eToro加密部门eToroX宣布支持ETC，并添加ETC和USDT交易对。此前2019年11月，eToroX刚宣布添加Dash和5个新的稳定币。[2020/2/3]

EOA和智能合约钱包之间的比较。

例如，一个强大的设置是使用GnosisSafe，它需要来自以下2种钱包的4个签名：

个人1：计算机中的软件钱包，仅用于与加密相关的东西。

个人2：存放在家中的硬件钱包，因此易于访问。

备份1：由受信任的人保护的第二个硬件钱包。

备份2：由另一个信任的人保护的纸质助记词。

尽管可以使用如上所述的非常强大的钱包配置，但是最终仍然可以采取一些措施进一步提高其安全性。例如还可以用不易损坏的东西代替纸钱包，例如CryptoSteel钱包。还可以设置地址白名单，每日交易限额，甚至转移资金时的冻结时间。

关于钱包的最终想法

上述的每种钱包类型都提供不同级别的安全性，但重要的是要了解它们也具有不同级别的便利性和易用性。正因为如此，即使您在安全阶梯上向上移动，组合不同的选项也是有意义的。

密码

大多数加密投资者将他们的安全措施限制在钱包中，但忘记了黑客可以通过访问他们的帐户窃取财产。所以也应该防止帐户被黑客入侵？

动态 | 24％加密投资者认为目前的BTC黄金交叉是陷阱:据bitcoinexchangeguide报道，根据Fundstrat联合创始人Tom Lee最近进行的一项新调查，推特上的加密社区中仅24％的人认为目前的“BTC黄金交叉”是一个“陷阱”，现在是时候让人们抛售一些比特币资产了。只有43％认为，“黄金交叉”是购买比特币的信号。[2019/4/27]

密码安全

密码「熵」或随机性是衡量密码不可预测程度的指标。此度量基于使用的字符以及长度。密码熵预测通过猜测、暴力破解或其他常见方法破解给定密码的难度。

由于缺乏随机性，弱密码存在缺陷。例如，您是否曾经在密码中使用过亲戚或宠物的名字？也许是一个特殊的日子？不是很随机，是吗？请记住，如果黑客可以访问个人的私人信息，那么就可以轻松破解非随机生成的密码。

尽管字符的类型增加了密码的熵，但影响最大的变量是长度。因此，您应该摆脱旧的密码标准，并开始优先考虑长度而不是特殊字符。总之，您应该摆脱人类难以记住但易于破解的密码，并开始采用难以破解的易于记忆的密码。

如果你想像图片中的那个人一样，我建议使用diceware来创建强大的随机密码。通过这样做，您只需要记住几个单词，这些单词将产生高熵和安全密码。最重要的是，您可以定期添加额外的单词，因为您确定您已经内化了当前的单词。

系统稳健性

特朗普新经济顾问的税收政策 暗示对加密投资者友好:据CNN报道，本周早些时候，特朗普宣布已经让拉里库德洛成为新的白宫经济顾问，以填补即将卸任的顾问加里科恩留下的空缺。特朗普总统的新经济顾问的目标是降低资本利得税税率，这对加密货币投资者来说将是一个巨大的福音。由于美国国内税务局（IRS）将加密货币分类为税收用途的“ 财产 ”，因此较低的资本收益率可能会受到加密货币投资者和交易商的欢迎。[2018/3/17]

系统的整体安全性由其最薄弱的组件决定。因此，在构建安全系统时应考虑一个关键原则：分区化。

如果一个系统是用彼此隔离的组件构建的，那么该系统将更能抵抗外部攻击。即使某个组件遭到入侵，攻击者也无法访问其他组件。

因此，重要的是要关注所有帐户的安全性，并为每个帐户设置不同的密码。请注密码派生不算作独立密码。

如何处理每个帐户的完全随机凭据？?通过使用密码管理器。

密码管理器生成随机、强且唯一的密码，这些密码存储在保管库中，并使用一个主密码进行加密。它们确保高安全性，用户只需记住一个强密码即可访问其所有凭据。

第三方密码管理器

第三方密码管理器是用户友好的，并提供多设备同步等功能和具有密码自动填充等功能的漂亮用户界面。它们中的大多数是免费增值，付费可以获得更高级的功能。

值得一提的一个关键区别是，虽然LastPass和1Password是闭源的，但Bitwarden是开源的。正因为如此，信任任何人都可以审核其代码的公开可用软件总是更容易。

请注意，Bitwarden可以自托管在您自己的服务器上，让您完全控制数据及其存储位置。但是自托管需要技术专业知识和服务器资源，并且可能并不适合所有人。

本地密码管理器

KeePass，KeePassXC和其他KeePass分支是免费的开源软件，自2000年代初以来一直存在活跃的开发社区。

第三方密码管理器和本地密码管理器之间的主要区别在于数据的存储位置。第三方软件将数据存储在云服务器上，而KeePass等本地密码管理器则在本地进行。

尽管第三方管理器确保数据在云中同步之前已完全加密，但此方法不如在本地严格存储信息安全。最重要的是，有些人可能会争辩说，尽管拥有安全专家团队，但这些公司是黑客的蜜罐，更有可能受到攻击。

另一个重要的区别是，本地密码管理器比第三方密码管理器更简单，用户体验更差。要添加额外功能并改进用户体验，必须安装第三方插件。尽管此功能使其高度可定制，但它也需要更高的技术知识。

额外提示：如果可能，应该始终在所有帐户中启用2FA。处理2FA时，切勿使用SMS，因为攻击者可能会获得SIM卡的副本或者通过伪基站拦截到短信验证码。最好使用Authy等应用程序或YubiKey等硬件设备。

电子邮件

密码是解锁帐户的密钥，但电子邮件最终将您的真实身份与您的在线活动联系起来。可以将电子邮件视为第二个密码。如果攻击者无法找出您的电子邮件，他们就无法访问您。

电子邮件提供商

处理电子邮件时，应该担心的第一件事是决定使用哪个电子邮件提供商。电子邮件提供商实现电子邮件服务器以代表其用户发送、接收、接受和存储电子邮件。

我建议使用Protonmail，一个专注于隐私的开源电子邮件服务提供商。由于该公司总部位于瑞士，因此他们不必遵守欧盟/美国法律，并且可以实施端到端加密。E2EE是一种通信系统，可防止第三方访问传输的数据。它能够通过使用接收方的公钥加密消息来做到这一点。此机制可确保只有接收方才能读取消息的内容。

Protonmail的E2EE如何工作的图表。

最重要的是，Protonmail是开源的邮件服务。拥有整洁的UI界面并且提供慷慨的免费套餐服务。

如前所述，区隔化在系统的稳健性中起着关键作用。正因为如此，前面描述的相同原则也适用于这里。为了最大程度地减少漏洞利用的影响，理想情况下，您应该为每个帐户提供单独的电子邮件。

由于为每个帐户创建全新的电子邮件可能既耗时又难以处理，因此您应该考虑以下几种选择：

聚合

帐户集群聚合旨在帮助在为每种目的创建新帐户的负担与对所有用途重复使用同一帐户的负担之间找到最佳平衡点。它的主要原则包括将在线生活中的不同活动彼此隔离开来。如果您的某个帐户被泄露或泄露，我不会影响在线生活的其他领域。

别名混淆

电子邮件别名是一种特殊类型的地址，可将发送给他们的所有电子邮件转发给您的主帐户。

尽管电子邮件别名无法完全阻止网络钓鱼攻击，但它们充当代理，因此增加了额外的安全层。使用电子邮件别名可以让您对泄露的信息产生代理权，并保护您的主电子邮件地址免受第三方侵害。这对于防止数据泄露以及收集和/或出售您的数据的公司特别方便。

SimpleLogin或AnonAddy等服务是出色的开源别名工具，可轻松帮助您停用受损或丢失的别名。它们还提供子域等附加功能，甚至允许多个主电子邮件。最重要的是，SimpleLogon最近被注重隐私的Swish公司Proton收购，这成为了他们是伟大产品的保证。

尽管强密码可以保护您免受暴力破解攻击，但它们不会保护您免受钓鱼。别名提供的一个被低估的功能是，它们不仅可以减少垃圾邮件，还可以帮助您识别不应在给定帐户中接收的可疑电子邮件。

假设您收到一封电子邮件，希望您单击链接以重新安排无法在您的位置交付的订单，但目标地址是您的新闻通讯别名帐户。如果这种情况即将发生，您可以确定该链接是恶意的。

提示：广告拦截器也是防止浏览时恶意攻击的好工具。uBlockOrigin和AdBlockPlus是免费的，强大的开源项目。

最后

安全性和便利性之间通常存在负相关关系。最终，只有您始终坚持最佳实践，系统才会安全，因此最好慢慢爬上安全阶梯并慢慢养成新习惯。这篇文章的目的是解释不同的选择，并鼓励你找到你的个人甜蜜点。

我只是想让你考虑到，随着你的投资组合的增长，更多的资金面临风险，你应该确保更强大的opsec。如果您以前从未采取过任何措施，那么突然实施重大更改可能会非常具有挑战性，因此最好从一开始就考虑所讨论的原则。

在生活中，有些教训值得从别人的经历中学习。在我个人看来，因为你有糟糕的opsec实践而遭受漏洞利用并不是你想直接学习的教训。正因为如此，每个加密投资者，以及任何关心隐私的人，都应该能够通过使用他们的密码管理器来控制他们的数字痕迹。

标签：加密货币PASPASSASS加密货币到底有什么用VESPASHIBAPASS币Save Your Assets

抹茶交易所热门资讯