Па-за паролем: абарона вашага крипта-багатства з дапамогай шматфактарнай аўтэнтыфікацыі (MFA)

Давайце будзем шчырымі на момант. Той пароль, які вы выкарыстоўваеце для вашага рахунку на біржы криптовалют? Той, што ўключае імя вашага сабакі і год вашага нараджэння? Гэта не ўмацаваная брама, якая абараняе вашу лічбавую залату. Гэта экранная дзверка. Вызначаны зламыснік, узброены нічым больш, чым клавіятурным логерам, фішынгавым электронным лістом або спісам пароляў, якія былі ўцечка з якога-небудзь іншага сайта, можа лёгка прайсці праз яе. порушэнне можа прасвістнуць праз гэта.

У традыцыйных фінансах у вас ёсць страхаванне, аддзелы па барацьбе з махлярствам і магчымасць адклікаць транзакцыі. У крыптавалюце вы з'яўляецеся банкам, кіраўніком бяспекі і страхавой кампаніяй. Маніфест "не вашы ключы, не ваша крыпта" дае сілу, але ён мае жахлівы наступствы: "Вашы ключы, ваша адказнасць."

Гэта дзе надзея сустракаецца з дзеяннем. Тут вы пераходзіце за межы пароля і прымаеце адно з самых эфектыўных удасканаленняў бяспекі, даступных кожнаму з лічбавымі актывамі: Мультыфактарная аўтэнтыфікацыя (MFA).

Што такое Мультыфактарная аўтэнтыфікацыя?
Падумайце пра гэта як пра ўваход у будынак з высокай бяспекай.

Што-небудзь, што вы ведаеце (пароль): вы кажаце ахоўніку сваё імя (ваш лагін) і сакрэтны код (ваш пароль). Гэта Фактар 1.

Што-небудзь, што ў вас ёсць (MFA код): Ахоўнік затым просіць паказаць ваш ідэнтыфікацыйны значок або тэлефануе вам для праверкі. Гэта Фактар 2.

MFA патрабуе два або больш з гэтых адрозных “фактараў” для атрымання доступу. Нават калі хакер скрадзе ваш пароль (што-небудзь, што вы ведаеце), яны будуць цалкам спынены, бо не маюць вашага тэлефон або ключ бяспекі (нешта, што ў вас ёсць).

Фактары падзяляюцца на тры катэгорыі:

Веданне: Нешта, што вы ведаеце (паролі, PIN-коды, пытанні бяспекі).

Уладанне: Нешта, што ў вас ёсць (ваш смартфон, фізічны ключ бяспекі).

Інхерэнтнасць: Нешта, чым вы з'яўляецеся (адбітак пальца, распазнаванне асобы, сканаванне сятчаткі).

Для абароны вашага рахунку на криптобіржы мы... асноўным чынам засяроджваючыся на спалучэнні Ведаў (ваш пароль) з Уласнасцю (прыкладанне аўтэнтыфікацыі або ключ бяспекі).

Чаму MFA з'яўляецца неад'емнай часткай для крипта
Выкарыстанне біржы без MFA падобна на тое, каб пакінуць свае жыццёвыя зберажэнні ў кардоннай скрыні на вашым парозе. Матывацыя для нападаў надзвычай высокая.

Невяртальныя транзакцыі: Як толькі крипта адпраўляецца з вашага біржавога кашалька на адрас атакуючага, ён знік. Назаўсёды. Няма генеральнага дырэктара, да якога вы можаце звярнуцца, каб вярнуць яго.

Глабальная, псевданімная мэта: Вы не проста супрацьстаяце хлопчыку з вашага роднага горада; вы можаце стаць мішэнню для складаных міжнародных злачынных груп, якія дзейнічаюць з любой кропкі свету.

Ілюзія складанасці: Многія лічаць, што іх пароль “моцны досыць” або што яны “не з'яўляюцца дастаткова вялікай мэтай.” Гэта небяспечны міф. Зламыснікі выкарыстоўваюць аўтаматызаваныя боты, якія безупынна спрабуюць увайсці ў тысячы акаўнтаў кожную секунду. Вы з'яўляецеся мэтай проста таму, што маеце акаўнт.

Уключэнне MFA на вашым акаўнце абмену стварае навакольнае поле вакол яго. Гэта розніца паміж тым, каб спадзявацца, што вас не зламяць, і ведаючы, што вы зрабілі ўсё магчымае, каб гэтага пазбегнуць.

Інструменты MFA: ад добрай да непрабіўнай
Не ўсе MFA створаны аднолькава. Давайце ацэнім распаўсюджаныя метады ад менш бяспечных да больш бяспечных для крыпта.

1. Аўтэнтыфікацыя на аснове SMS (варыянт "лепш, чым нічога")
Як гэта працуе: Пасля ўвядзення вашага пароля біржа адпраўляе SMS з адзіным кодам на ваш зарэгістраваны нумар тэлефона.

Добрае: Яно распаўсюджанае, лёгка наладжваецца і, безумоўна, лепшае, чым адсутнасць MFA наогул. Яно дадае той крытычны другі ўзровень.

Дрэннае (і гэта сапраўды дрэнна): Гэта самая слабая форма MFA для мэтаў высокай каштоўнасці. Яна ўразлівая да SIM Swap, разбуральнай атакі, дзе махляр сацыяльна маніпулюе вашым мабільным аператарам, каб перадаць ваш тэлефон нумар на SIM-карту, якую яны кантралююць. Як толькі яны гэта зробяць, усе вашы верыфікацыйныя паведамленні будуць адпраўляцца ім, а не вам. Для ўладальніка крыптавалюты гэта катастрафічны рызыка.

Вынік: Ухіляйцеся ад гэтага для вашага асноўнага рахунку на біржы. Калі гэта ваш адзіны варыянт, карыстайцеся ім часова, але неадкладна імкніцеся да абнаўлення. Не спадзявайцеся на SMS-аўтэнтыфікацыю для вашых асноўных крыптаактываў.

2. Праграмы аўтэнтыфікацыі (The Залатны стандарт для большасці)
Як гэта працуе: вы ўсталёўваеце прыкладанне, такое як Google Authenticator, Authy або Microsoft Authenticator, на свой смартфон. Калі вы актывуеце яго на сваёй біржы, сайт адлюстроўвае QR-код. Вы скануеце яго з дапамогай прыкладання, якое затым дзеліць сакрэтны ключ з біржай. Прыкладанне потым генеруе новы, часовы, шасцізначны код кожныя 30 секунд. Каб увайсці, вам патрэбны ваш пароль і тэктуальны код з прыкладання.

Плюсы:

Адсутнасць сеткавых уразлівасцяў: Ён не залежыць ад сігналу вашай мабільнай сувязі або SMS, таму ён імкнецца быць устойлівым да SIM-замены.

Афлайн-функцыянальнасць: Коды генеруюцца лакальна на вашым прыладзе з выкарыстаннем сакрэтнага ключа і бягучага часу. Ён працуе нават калі ваш тэлефон знаходзіцца ў рэжыме палёту.

Шырока падтрымліваецца: Практычна кожная буйная криптобіржа і вэб-сэрвіс падтрымлівае прыкладанні аўтэнтыфікатара.

Недахоп: Калі вы страціце свой тэлефон або ён выйдзе з ладу без рэзервовай копіі, вы можаце апынуцца заблакаванымі ў сваім акаўнце. Аднак большасць прыкладанняў і біржаў маюць надзейныя працэсы аднаўлення (якія мы абмяркуем пазней).

Вярдыкт: Гэта мінімум, які вы павінны выкарыстоўваць. Гэта ідэальнае спалучэнне высокай бяспекі і зручнасці для карыстальнікаў.

3. Фізичні ключі безпеки (Опція Форт-Нокс)
Як це працює: Ви купуєте невеликий апаратний пристрій, наприклад, YubiKey або Google Titan Key. Ви реєструєте його у своєму обміні. Під час входу, після введення пароля, вам пропонується фізично торкнутися ключа (який підключений до вашого USB-порту або з'єднаний через NFC з вашим телефоном).

Переваги:

Захист від фішингу: Це його суперсіла. Калі вы выпадкова ўвядзеце свой пароль на падробленым фішынгавым сайце, атака не ўдасцяцца. Ключ криптаграфічна правярае дамен сайта; калі гэта не сапраўдная біржа, ён адмовіцца ад аўтэнтыфікацыі. Ён фізічна не можа быць падмануты.

Максімальная бяспека: Гэта спецыялізаванае прылада без іншай праграмнага забеспячэння, што робіць яго імунным да шкоднасных праграм або аддаленых атакаў, якія могуць накіраваць на мабільны дадатак.

Недахопы:

Кошт: Вам трэба купіць ключ (звычайна ад $25 да $70).

Партатыўнасць: Вам неабходна мець ключ з сабой для ўваходу. Лепш за ўсё выкарыстоўваць яго на прыладзе, якую вы галоўным чынам выкарыстоўваеце дома (настольны камп'ютар) або захоўваць у бяспецы для мабільнага доступу.

Наладка: Троху больш тэхнічная для наладкі, але ўсё яшчэ вельмі простая.

Вярдыкт: Гэта самы высокі узровень бяспекі для рознічных криптаінвестараў. Калі вы ўтрымліваеце значную колькасць крипта, кошт YubiKey — гэта лепшая страхоўка, якую вы калі-небудзь купіце.

Ваш пакрокавы кіраўніцтва па ўмацаванні вашага рахунку на біржы
Крок 1: Спампуйце прыкладанне аўтэнтыфікатара
Перайдзіце ў краму прыкладанняў на вашым тэлефоне і спампуйце Google Authenticator (простае, належыць Google) або Authy (функцыянальнае з хмарным захоўваннем). backup). Для большинства функция резервного копирования Authy делает его победителем, уменьшая риск “потерянного телефона”.

Шаг 2: Погрузитесь в настройки безопасности вашей биржи
Войдите в свою биржу (например, Binance, Coinbase, Kraken). Перейдите в Настройки > Безопасность > Двухфакторная аутентификация (2FA). Формулировка может немного отличаться, но местоположение всегда находится в разделе безопасности.

Крок 3: Уключыце MFA з дапамогай Authenticator App
Вы, напэўна, убачыце варыянты для SMS і “Authenticator App” або “TOTP.” Выберыце варыянт аўтэнтыфікатара. Сайт адлюструе QR-код.

Крок 4: Скануйце і забяспечце
Адкрыйце свой аўтэнтыфікатар, націсніце кнопку “+” і адскануйце QR-код. Дадатак адразу пачне генераваць коды для вашай біржы.

**Крок 5: Резервова копія ваших кодів відновлення!!!
** Це найважливіший крок, який усі пропускають. Біржа тепер покаже вам список 16-значних резервних або відновлювальних кодів. ЗАПИШІТЬ ЇХ НА ПАПЕРІ. Зберігайте їх у безпечному місці, наприклад, у вогнестійкому сейфі або в сейфі в банку. Ці коди - ваша рятівна соломинка, якщо ви коли-небудь втратите доступ до свого додатку аутентифікації. Ставтеся до них як до ключа до вашого vault.

Крок 6: Пацвердзіце і праверце
Біржа папросіць вас увести адзін з кодаў з вашага прыкладання, каб пацвердзіць, што наладка працуе. Зрабіце гэта. Віншуем! Ваш рахунак цяпер значна больш бяспечны.

(Для ключоў бяспекі) Процэс падобны: вам трэба будзе перайсці ў налады бяспекі, выбраць "Ключ бяспекі" або "U2F", падключыць ваш ключ і сачыць за падказкі для рэгістрацыі.

Што калі…? Як справіцца з распаўсюджанымі праблемамі MFA
Я страціў свой тэлефон / ён зламаўся! Менавіта таму ў вас ёсць гэтыя папяровыя рэзервовыя коды! Выкарыстайце адзін з гэтых кодаў, каб увайсці ў сістэму і неадкладна адключыць стары MFA. Потым наладзьце новы. Калі вы карыстаецеся Authy, вы можаце загадзя наладзіць рэзервовы пароль і лёгка аднаўляць свае коды на новым прыладзе.

Мае коды не працуюць! Гэта амаль заўсёды таму, што гадзіннік на вашым тэлефоне не сінхранізаваны. Зайдзіце ў налады вашага аўтэнтыфікатара і ўключыце "Карэкцыя часу для кодаў" або праверце налады вашага тэлефона, каб упэўніцца, што ён настроены на аўтаматычнае абнаўленне часу.

Я падарожнічаю і не маю свайго ключа. Таму разумна мець некалькі метадаў. Вы можаце выкарыстоўваць аўтэнтыфікатар додатак як запасны ключ для вашай бяспекі, або пераканайцеся, што ў вас захаваны запасныя коды ў бяспечным менеджэры пароляў (хоць папера - гэта лепшы варыянт).

Па-за абменам: Культура бяспекі
MFA не толькі для вашага абмену. Ужывайце гэты менталітэт усюды:

Ваш рахунак электроннай пошты: Гэта галоўны ключ да вашага лічбавага жыцця. Калі хакер атрымае доступ да вашай электроннай пошты, ён можа скідаць паролі амаль на ўсіх кожны другі рахунак. Ахоўвайце яго з дапамогай прыкладання аўтэнтыфікацыі або ключа бяспекі.

Ваш менеджар пароляў: Сейф, які ўтрымлівае ўсе вашы ключы, заслугоўвае наймоцнага замка.

Сацыяльныя сеткі: Асабліва любыя рахункі, звязаныя з вашай публічнай асобай у крыпта.

Апошняе слова: Ваша Сувярэннасць, Ваша Адказнасць
Крыпта-рэвалюцыя заключаецца ў вяртанні фінансавай сувярэннасці. Але з вялікай сілай прыходзіць вялікая адказнасць. Патраціць пяць хвілін на ўключэнне моцнай шматфактарнай аўтэнтыфікацыі — гэта самы просты і эфектыўны спосаб паважаць гэтую адказнасць. Гэта базавы ўзровень для таго, каб быць сур'ёзным удзельнікам у гэтым новым фінансавым свеце.

Не стань статыстыкай. Не дазволь, каб папярэджальнае памылка знішчыла гады інвестыцый і веры. Перайдзі за межы пароля. Заблакуйце гэта.