فراتر از رمز عبور: محافظت از ثروت رمزارزی شما با احراز هویت چندعاملی (MFA)

بگذارید برای یک لحظه کاملاً صادق باشیم. آن رمز عبوری که برای حساب صرافی ارز دیجیتال خود استفاده می‌کنید؟ آن که شامل نام سگ شما و سال تولدتان است؟ این یک دروازه محکم نیست که از طلای دیجیتال شما محافظت کند. این یک درب مشبک است. یک حمله‌کننده مصمم، که تنها با یک کی‌لاگر، یک ایمیل فیشینگ، یا یک لیست از رمزهای عبور لو رفته از سایت دیگری مسلح است، می‌تواند به راحتی به آن دسترسی پیدا کند. نقص، می‌تواند به راحتی از آن عبور کند.

در مالی سنتی، شما بیمه، دپارتمان‌های مبارزه با تقلب و قابلیت معکوس کردن تراکنش‌ها را دارید. در کریپتو، شما بانک، رئیس امنیت و شرکت بیمه هستید. شعار "کلیدهای شما، کریپتوی شما نیست" قدرت‌بخش است، اما با یک نتیجه ترسناک همراه است: "کلیدهای شما، مسئولیت شما."

این موضوع جایی که امید با عمل ملاقات می‌کند. اینجا جایی است که شما فراتر از رمز عبور حرکت می‌کنید و به تنها ارتقاء امنیتی که برای هر کسی با دارایی دیجیتال در دسترس است، یعنی احراز هویت چندعاملی (MFA) روی می‌آورید.

احراز هویت چندعاملی دقیقاً چیست؟
به آن مانند ورود به یک ساختمان با امنیت بالا فکر کنید.

چیزی که شما می‌دانید (رمز عبور): شما به نگهبان نام خود را (نام کاربری‌تان) می‌گویید و یک کد مخفی (رمز عبور شما). این عامل 1 است.

چیزی که دارید (کد MFA): سپس نگهبان از شما می‌خواهد که نشان شناسایی خود را نشان دهید یا برای تأیید هویت با تلفن شما تماس می‌گیرد. این عامل 2 است.

MFA نیاز به دو یا بیشتر از این "عوامل" متمایز دارد تا دسترسی را مجاز کند. حتی اگر یک هکر رمز عبور شما را بدزدد (چیزی که می‌دانید)، به طور کامل متوقف می‌شود زیرا آن‌ها دسترسی به شما را ندارند. تلفن یا کلید امنیتی (چیزی که دارید).

عوامل به سه دسته تقسیم می‌شوند:

دانش: چیزی که می‌دانید (رمزهای عبور، PIN ها، سوالات امنیتی).

مالکیت: چیزی که دارید (اسمارت‌فون شما، یک کلید امنیتی فیزیکی).

هویت: چیزی که هستید (اثر انگشت، شناسایی چهره، اسکن شبکیه).

برای ایمن‌سازی حساب تبادل ارز دیجیتال خود، ما عمدتاً بر ترکیب دانش (رمز عبور شما) با مالکیت (یک برنامه تأیید هویت یا کلید امنیتی) تمرکز دارد.

چرا MFA برای ارزهای دیجیتال غیرقابل مذاکره است
استفاده از یک صرافی بدون MFA مانند این است که پس‌انداز زندگی‌تان را در یک جعبه مقوایی روی درب منزلتان بگذارید. انگیزه‌های حمله‌کنندگان به طرز نجومی بالاست.

تراکنش‌های غیرقابل برگشت: هنگامی که ارز دیجیتال از کیف پول صرافی شما ارسال می‌شود به آدرس یک مهاجم، دیگر وجود ندارد. برای همیشه. هیچ مدیرعاملی نیست که بتوانید با او تماس بگیرید تا آن را پس بگیرید.

هدف جهانی و مستعار: شما تنها با یک بچه در شهر خودتان مواجه نیستید؛ شما یک هدف بالقوه برای باندهای جرم بین‌المللی پیچیده هستید که از هر نقطه‌ای از جهان فعالیت می‌کنند.

توهم پیچیدگی: بسیاری بر این باورند که رمز عبورشان "قوی" است. کافی” یا اینکه آن‌ها “هدف بزرگی نیستند.” این یک اشتباه خطرناک است. مهاجمان از ربات‌های خودکار استفاده می‌کنند که به‌طور مداوم سعی در ورود به هزاران حساب در هر ثانیه دارند. شما به‌سادگی با داشتن یک حساب، هدف هستید.

فعال‌سازی MFA در حساب تبادل شما یک میدان نیرویی در اطراف آن ایجاد می‌کند. این تفاوت بین امیدواری به اینکه هک نشوید و دانستن اینکه همه کارهای ممکن را برای جلوگیری از آن انجام داده‌اید.

ابزار MFA: از خوب تا ضد گلوله
همه MFA ها به یک اندازه ایجاد نشده‌اند. بیایید روش‌های رایج را از کم‌امنیت‌ترین تا امن‌ترین برای ارزهای دیجیتال رتبه‌بندی کنیم.

1. احراز هویت مبتنی بر SMS (گزینه "بهتر از هیچ")
نحوه کار: پس از وارد کردن رمز عبور خود، صرافی یک کد یک‌بار مصرف به شماره ثبت‌نامی شما پیامک می‌کند. شماره تلفن.

نکته مثبت: این روش در دسترس است، راه‌اندازی آن آسان است و قطعاً بهتر از عدم وجود MFA است. این یک لایه دوم حیاتی اضافه می‌کند.

نکته منفی (و واقعاً منفی): این ضعیف‌ترین نوع MFA برای اهداف با ارزش بالا است. این روش در برابر تعویض سیم کارت آسیب‌پذیر است، یک حمله ویرانگر که در آن یک کلاهبردار با مهندسی اجتماعی، ارائه‌دهنده خدمات موبایل شما را متقاعد می‌کند تا شماره تلفن شما را منتقل کند. شماره را به یک سیم‌کارت که تحت کنترل آن‌هاست منتقل می‌کنند. هنگامی که این کار را انجام دهند، تمام پیام‌های تأیید شما به آن‌ها می‌رود، نه به شما. برای یک دارنده ارز دیجیتال، این یک ریسک فاجعه‌آمیز است.

نتیجه‌گیری: از این گزینه برای حساب اصلی تبادل خود اجتناب کنید. اگر تنها گزینه شماست، به‌طور موقت از آن استفاده کنید اما بلافاصله به دنبال ارتقاء باشید. به احراز هویت از طریق SMS برای دارایی‌های اصلی ارز دیجیتال خود تکیه نکنید.

2. برنامه‌های احراز هویت (The استاندارد طلایی برای اکثر)
نحوه کار: شما یک برنامه مانند Google Authenticator، Authy یا Microsoft Authenticator را بر روی گوشی هوشمند خود نصب می‌کنید. زمانی که آن را در صرافی خود فعال می‌کنید، سایت یک کد QR نمایش می‌دهد. شما آن را با برنامه اسکن می‌کنید، که سپس یک کلید مخفی را با صرافی به اشتراک می‌گذارد. برنامه سپس هر 30 ثانیه یک کد شش رقمی جدید و مبتنی بر زمان تولید می‌کند. برای ورود، شما به رمز عبور و کد فعلی از برنامه.

نکات مثبت:

عدم آسیب‌پذیری شبکه: به سیگنال موبایل یا پیامک شما وابسته نیست، بنابراین در برابر تعویض سیم‌کارت ایمن است.

عملکرد آفلاین: کدها به‌طور محلی بر روی دستگاه شما با استفاده از کلید مخفی و زمان فعلی تولید می‌شوند. حتی اگر تلفن شما در حالت پرواز باشد، کار می‌کند.

پشتیبانی گسترده: تقریباً تمام صرافی‌های بزرگ ارزهای دیجیتال و خدمات وب از برنامه‌های احراز هویت پشتیبانی می‌کند.

نکته منفی: اگر تلفن خود را گم کنید یا بدون پشتیبان خاموش شود، ممکن است از حساب خود قفل شوید. با این حال، بیشتر برنامه‌ها و صرافی‌ها دارای فرآیندهای بازیابی قوی هستند (که در ادامه به آن خواهیم پرداخت).

نظر نهایی: این حداقل چیزی است که باید از آن استفاده کنید. این ترکیبی کامل از امنیت بالا و راحتی کاربرپسند است.

3. کلیدهای امنیت فیزیکی (گزینه فورت ناکس)
نحوه عملکرد: شما یک دستگاه سخت‌افزاری کوچک، مانند YubiKey یا Google Titan Key خریداری می‌کنید. آن را با صرافی خود ثبت می‌کنید. هنگام ورود به سیستم، پس از وارد کردن رمز عبور، از شما خواسته می‌شود که به‌طور فیزیکی کلید را لمس کنید (که به پورت USB شما متصل است یا از طریق NFC به گوشی شما متصل شده است).

مزایا:

مقاوم در برابر فیشینگ: این یکی از ویژگی‌های آن است. ابرقدرت. اگر به طور تصادفی رمز عبور خود را در یک وب‌سایت فیشینگ جعلی وارد کنید، حمله شکست می‌خورد. کلید به‌طور رمزنگاری شده دامنه وب‌سایت را بررسی می‌کند؛ اگر این دامنه واقعی نباشد، از تأیید هویت خودداری می‌کند. به‌طور فیزیکی نمی‌توان آن را فریب داد.

امنیت نهایی: این یک دستگاه اختصاصی است که هیچ نرم‌افزار دیگری ندارد و به همین دلیل در برابر بدافزارها یا حملات از راه دور مصون است که ممکن است هدف یک اپلیکیشن گوشی هوشمند.

بد:

هزینه: شما باید کلید را خریداری کنید (معمولاً ۲۵ تا ۷۰ دلار).

قابلیت حمل: شما باید کلید را با خود داشته باشید تا وارد شوید. بهترین استفاده برای دستگاهی است که عمدتاً در خانه استفاده می‌شود (یک دسکتاپ) یا به طور ایمن برای دسترسی موبایل حمل می‌شود.

نصب: کمی فنی‌تر برای نصب، اما هنوز هم بسیار ساده است.

نظر نهایی: این بالاترین سطح امنیت برای یک سرمایه‌گذار خرده‌فروشی در حوزه ارزهای دیجیتال. اگر مقدار قابل توجهی ارز دیجیتال دارید، هزینه یک YubiKey بهترین بیمه‌ای است که تا به حال خریداری کرده‌اید.

راهنمای گام به گام شما برای تقویت حساب کاربری صرافی‌تان
گام 1: دانلود یک اپلیکیشن احراز هویت
به فروشگاه اپلیکیشن گوشی خود بروید و Google Authenticator (ساده و متعلق به گوگل) یا Authy (غنی از ویژگی‌ها و با قابلیت ابری) را دانلود کنید. پشتیبان‌گیری). برای اکثر کاربران، ویژگی پشتیبان‌گیری Authy آن را به یک گزینه برنده تبدیل می‌کند و ریسک "گم شدن گوشی" را کاهش می‌دهد.

مرحله 2: به تنظیمات امنیتی صرافی خود بپردازید
وارد صرافی خود شوید (مانند Binance، Coinbase، Kraken). به تنظیمات > امنیت > احراز هویت دو مرحله‌ای (2FA) بروید. واژگان ممکن است کمی متفاوت باشد، اما مکان آن همیشه در بخش امنیت است.

مرحله ۳: فعال‌سازی MFA با اپلیکیشن احراز هویت
شما احتمالاً گزینه‌هایی برای پیامک و “اپلیکیشن احراز هویت” یا “TOTP” خواهید دید. گزینه اپلیکیشن احراز هویت را انتخاب کنید. سایت یک کد QR نمایش خواهد داد.

مرحله ۴: اسکن و ایمن‌سازی
اپلیکیشن احراز هویت خود را باز کنید، روی دکمه “+” ضربه بزنید و کد QR را اسکن کنید. این اپلیکیشن بلافاصله شروع به تولید کدهایی برای صرافی شما خواهد کرد.

**مرحله 5: پشتیبان‌گیری از کدهای بازیابی خود!!!
** این مهم‌ترین مرحله‌ای است که همه از آن می‌گذرند. اکنون صرافی فهرستی از کدهای پشتیبان یا بازیابی 16 رقمی را به شما نمایش می‌دهد. این کدها را روی کاغذ بنویسید. آنها را در یک مکان امن و مطمئن مانند یک گاوصندوق ضد حریق یا یک جعبه امانت نگهداری کنید. این کدها خط زندگی شما هستند اگر روزی دسترسی به برنامه تأیید هویت خود را از دست بدهید. با آنها مانند کلید خود رفتار کنید. vault.

مرحله 6: تأیید و آزمایش
صرافی از شما خواهد خواست یکی از کدهای موجود در برنامه‌تان را وارد کنید تا تأیید کند که تنظیمات به درستی کار می‌کند. این کار را انجام دهید. تبریک! حساب شما اکنون به طرز چشمگیری امن‌تر است.

(برای کلیدهای امنیتی) فرآیند مشابه است: شما به تنظیمات امنیتی می‌روید، گزینه "کلید امنیتی" یا "U2F" را انتخاب می‌کنید، کلید خود را وصل می‌کنید و ادامه می‌دهید. پیشنهاداتی برای ثبت نام آن.

اگر…؟ مدیریت مشکلات رایج MFA
من تلفن خود را گم کردم / خراب شد! به همین دلیل است که آن کدهای پشتیبان کاغذی را دارید! از یکی از آن کدها برای ورود استفاده کنید و بلافاصله MFA قدیمی را غیرفعال کنید. سپس، یک MFA جدید تنظیم کنید. اگر از Authy استفاده می‌کنید، می‌توانید یک رمز عبور پشتیبان پیش‌تنظیم کنید و به راحتی کدهای خود را در یک دستگاه جدید بازیابی کنید.

کدهای من کار نمی‌کنند! این موضوع تقریباً همیشه به این دلیل است که ساعت گوشی شما همزمان نیست. به تنظیمات برنامه احراز هویت خود بروید و گزینه "اصلاح زمان برای کدها" را فعال کنید یا تنظیمات گوشی خود را بررسی کنید تا مطمئن شوید که به‌طور خودکار زمان را به‌روزرسانی می‌کند.

من در حال سفر هستم و کلیدم را ندارم. به همین دلیل است که داشتن چندین روش هوشمندانه است. شما می‌توانید یک برنامه احراز هویت داشته باشید برنامه‌ای به عنوان پشتیبان برای کلید امنیتی خود داشته باشید، یا اطمینان حاصل کنید که کدهای پشتیبان خود را به‌طور ایمن در یک مدیر رمز عبور ذخیره کرده‌اید (هرچند کاغذ بهترین گزینه است).

فراتر از تبادل: فرهنگی از امنیت
MFA تنها برای تبادل شما نیست. این طرز فکر را در همه جا به کار ببرید:

حساب ایمیل شما: این کلید اصلی زندگی دیجیتال شماست. اگر یک هکر به ایمیل شما دسترسی پیدا کند، می‌تواند رمزهای عبور را تقریباً ریست کند هر حساب دیگری. آن را با یک برنامه احراز هویت یا کلید امنیتی محافظت کنید.

مدیر رمز عبور شما: گاوصندوقی که تمام کلیدهای شما را نگه می‌دارد، سزاوار قوی‌ترین قفل ممکن است.

رسانه‌های اجتماعی: به‌ویژه هر حسابی که به هویت عمومی شما در دنیای رمزارز متصل است.

کلام نهایی: حاکمیت شما، مسئولیت شما
انقلاب رمزارز درباره بازپس‌گیری حاکمیت مالی است. اما با قدرت زیاد، مسئولیت‌های بزرگی نیز به همراه دارد. صرف پنج دقیقه برای فعال‌سازی احراز هویت چندعاملی قوی، ساده‌ترین و مؤثرترین راه برای احترام به این مسئولیت است. این پایه‌ای است برای اینکه یک شرکت‌کننده جدی در این دنیای مالی جدید باشید.

آمار نشوید. نگذارید یک اشتباه قابل پیشگیری، سال‌ها سرمایه‌گذاری و اعتماد شما را از بین ببرد. فراتر از رمز عبور بروید. آن را قفل کنید.