أفضل الممارسات الأمنية
ما ستتعلمه
إذا كنت قد وصلت إلى هذه المرحلة في سلسلة مقالاتنا حول كيفية استخدام العملة المشفرة، فستكون قد استثمرت وقتًا كبيرًا ونأمل أن تحصل على بعض أموالك؛ وضع ما تعلمته موضع التنفيذ وامتلاك العملات المشفرة الخاصة بك.
سيتم إهدار كل هذا الجهد والقيمة المحتملة إذا كنت لا تعرف كيف تحمي عملتك الرقمية من الضياع أو السرقة، وهو ما ستشرحه هذه المقالة الآن.
العودة إلى مفهوم الحضانة
إذا قرأت المقالة الأولى في هذا القسم، فسوف تكون على دراية بمفهوم الحضانة ، وهو أمر أساسي لملكية العملة المشفرة. تشير الحضانة إلى كيفية إدارة المسؤولية عن الجزء المهم الوحيد من المعلومات الذي يتيح التحكم في التشفير الخاص بك - المفتاح الخاص أو البذرة.
نظرًا لأن العملة المشفرة تعمل بدون سلطة مركزية مثل البنك، فإن الحيازة هي ملكية، وتتلخص ببساطة في واحدة من أهم الأفكار التي يمكنك تعلمها: " ليست مفاتيحك، وليست عملاتك المعدنية "
تشير الحضانة ببساطة إلى الخيارين للمسؤولية النهائية عن تلك المفاتيح؛ يمكنك أن تتحمل المسؤولية الكاملة بنفسك، أو تثق بشخص آخر ليعتني بها.
الأمر متروك لك لتحديد الخيار الأفضل بالنسبة لك، وفهم التهديدات المتعلقة بالخسارة والسرقة الخاصة بالخيارين - الحفظية وغير الاحتجازية.
سيعتمد قرارك أيضًا على مقدار العملات المشفرة التي تمتلكها، والتي بدورها سترتبط بخطورة المخاطر المحتملة على أمنها.
تهديد | ذات صلة بالحضانة أو غير الاحتجازية |
فقدان البيانات/تفاصيل الوصول | كلاهما |
التصيد | كلاهما |
هجوم القوة الغاشمة | الاحتجاز |
اختطاف الرسائل القصيرة | الاحتجاز |
انتحال DNS | كلاهما |
هجوم شخصي | غير الاحتجازية |
فقدان البيانات/تفاصيل الوصول
إذا قررت السماح لبورصة أو محفظة متنقلة بالاحتفاظ بالعملات المشفرة الخاصة بك، فإن نقطة الفشل الأكثر وضوحًا هي نسيان التفاصيل التي تمكنك من الوصول إلى تلك الخدمة.
في المقام الأول، يعني هذا اسم المستخدم وكلمة المرور الخاصين بك، ويجب عليك اتخاذ الإجراء المناسب ليكونا قويين/فريدين ويتم حفظهما بشكل آمن. إذا قمت بحفظ بيانات الاعتماد هذه من خلال خدمة أخرى، مثل حساب Google الخاص بك أو LastPass، فهذا بدوره يصبح نقطة ضعف.
علاوة على ذلك، فإن الوصول إلى عنوان بريدك الإلكتروني مطلوب عمومًا للموافقة على الإجراءات الرئيسية، مثل الموافقة على عمليات السحب، أو إعداد ميزات أمان أخرى، لذا احرص على تذكر تفاصيل الوصول هذه. إلى، وهي طبقة حاسمة أخرى للوصول.
إذا اخترت الخيار غير الاحتجازي - نهج DIY - فإن فقدان تفاصيل الوصول سوف يرتبط مباشرة بمفاتيحك الخاصة أو البذور الخاصة بك. إذا لم تكن قد سمعت عنه بالفعل، يقدم جيمس هاولز أحد الأمثلة الأكثر تطرفًا على ذلك، والتي تم تسليط الضوء عليها في قصة مدونتنا حول ثروات البيتكوين المفقودة.
قم دائمًا بعمل نسخة احتياطية من مفاتيحك الخاصة أو البذور الخاصة بك - من الواضح اتخاذ الإجراءات الأمنية المناسبة وتخزينها في مكان منفصل، ويفضل أن يكون غير متصل بالإنترنت. لا تستخدم شيئًا قابلاً للتلف، مثل الورق، أو أي شيء قابل للتلف.
إذا كنت تستخدم Hard Wallet ( المزيد عن المحافظ بشكل عام هنا ) فمن المحتمل أن يكون لديك عدة طبقات من الأمان والضعف: بيانات اعتماد خدمة لوحة المعلومات (مثل Ledger Live)، ودبوس للوصول إلى الجهاز والبذور. من بينها، تعتبر البذرة هي الأكثر أهمية، إذا فشلت كل الطرق الأخرى، فسوف تمكنك من استعادة عملاتك المعدنية.
الحل النهائي لحماية بذورك هو نقش العبارات على معدن مقاوم للتآكل والحرارة والضغط. قام جيمسون لوب، المبشر الشهير بالبيتكوين، بإنشاء مراجعة مذهلة لأفضل خيارات نقش تخزين البذور المعدنية.
بالطبع ستحتاج بعد ذلك إلى تخزين هذا النقش المعدني في مكان آمن، مما يوضح أن المال (أو البيتكوين) يجب أن يتوقف في مكان ما.
التصيد
يجب أن تكون الحماية من التصيد الاحتيالي أمرًا يجب أن تكون حذرًا منه بالفعل عند استخدام أي خدمة عبر الإنترنت. ويشير إلى محاولات خداعك لتنزيل برامج ضارة يمكنها بعد ذلك اختراق جهاز الكمبيوتر الخاص بك، أو مواقع محاكاة ساخرة والتي ستقوم بعد ذلك بجمع بياناتك والوصول إلى الأموال/البيانات.
وينطبق هذا بشكل خاص على خدمات الحراسة، والتي تعد رسائل البريد الإلكتروني التصيدية والمواقع المزيفة شائعة جدًا فيها، ولكن الخيارات غير الاحتجازية ليست محصنة.
وبالمثل، غالبًا ما يتم استهداف الخدمات المستندة إلى المتصفح بمواقع ويب مزيفة، والتي تخدع المستخدمين بعد ذلك لتنزيل برامج ضارة تتضمن تفاصيل الحصاد.
للحماية من التصيد الاحتيالي عبر البريد الإلكتروني:
هجوم القوة الغاشمة
إنها واحدة من أقدم الأساليب وأكثرها وضوحًا لمحاولة سرقة كلمة المرور الخاصة بشخص ما، وذلك عن طريق تشغيل برنامج يتصفح خيارات كلمة المرور. ويمكن استخدام ذلك جنبًا إلى جنب مع المعلومات المعروفة عن المستخدم من OSINT - Open Source Intelligence.
أفضل طريقة للتخفيف من هذا النوع من التهديدات هي استخدام المصادقة الثنائية (2FA)، وهي طبقة ثانوية من تفاصيل الوصول تشكل مصدرًا منفصلاً، عادةً ما يكون هاتفك المحمول.
أي تبادل لائق سوف يفرض أو يشجع بقوة استخدام المصادقة الثنائية، ولكن من المهم تجنب استخدام النص للمصادقة الثنائية، كما يوضح الموضوع التالي.
أكثر مقدمي خدمات المصادقة الثنائية شيوعًا هما Google Authenticator أو Authy.
اختطاف الرسائل القصيرة
بعد أن شجعنا للتو استخدام المصادقة الثنائية كمعيار لخدمات الحراسة، علينا الآن أن نحذر من أن اختيار الرسائل القصيرة باعتبارها المصادقة الثنائية يمكن أن يخلق ثغرة أمنية خطيرة عبر اختطاف الرسائل القصيرة.
إذا عرف المهاجمون رقم هاتفك المحمول ومزود الخدمة، وقاموا بجمع معلومات شخصية من OSINT، فيمكنهم انتحال شخصيتك مع مزود خدمة الهاتف المحمول الخاص بك وطلب إرسال بطاقة SIM بديلة إليهم.
وهذا يتيح لهم الوصول إلى رمز المصادقة الثنائية (2FA)، والذي سيتم استخدامه مع هجوم القوة الغاشمة.
الحل هو استخدام تطبيق يستند إلى المصادقة الثنائية (2FA) دائمًا مثل Google Authenticator أو Authy. يصبح الجهاز الذي يقوم بتشغيل التطبيق في حد ذاته نقطة ضعف، وهو ما سيقدره أي شخص فقد هاتفه.
يمكن تجنب ذلك عن طريق تخزين رموز المصادقة الثنائية الاحتياطية الخاصة بك، والتي يتم توفيرها عند إعداد المصادقة الثنائية. بدون النسخ الاحتياطي 2FA، يتطلب الحصول على إعادة تعيين 2FA منك إجراء عملية شاقة لتسجيل صورة ذاتية/فيديو باستخدام معرف ما وملاحظة مكتوبة بخط اليد.
قامت Google بتحديث Authenticator في مايو 2020، وهو الأول منذ ثلاث سنوات، مما يجعل من السهل تصدير/استيراد رموز 2FA، وهو أمر مرحب به، ولكنه لا يساعد في حالة فقدان هاتفك أو تعطله.
انتحال DNS
في تشرين الثاني (نوفمبر) 2020، كانت خدمة التشفير الشهيرة "Celsius" ضحية لهجوم DNS، والذي تضمن قيام مهاجم بإقناع مزود DNS الخاص به - Godaddy - بتغيير الموقع الذي يتم تقديمه خلف تطبيقه بشكل أساسي.
يصعب التخفيف من هذا الأمر، بخلاف توخي اليقظة، أو في حالة درجة مئوية، الحكم على سلامة الخدمة من خلال مدى جدية التعامل مع إعداد DNS الخاص بها.
الهجوم الشخصي
لقد تركنا هذا الأمر حتى النهاية لأنه يجب أن يكون مصدر قلق فقط إذا كان لديك قدر كبير حقًا من العملات المشفرة. كانت هناك، في مناسبات نادرة، حالات تم فيها اختطاف/ابتزاز أفراد معروفين بحيازتهم كميات كبيرة من العملات المشفرة للسماح لهم بالوصول إلى أموالهم.
نظرًا لأن هجوم Ledger المذكور أعلاه أدى إلى تسريب العناوين البريدية للعملاء، فقد كان هناك الكثير من الحديث على وسائل التواصل الاجتماعي حول هذا الخطر من العملاء الغاضبين. ومع ذلك، لم يتم الإبلاغ عن حالات فعلية لهجوم شخصي لأنه أكثر خطورة من الخيارات المدرجة عبر الإنترنت.
على الرغم من وجود هذا الخطر في أي ظرف من الظروف عندما يتعلق الأمر بالثروة المحمولة - الساعات والمجوهرات والمقتنيات باهظة الثمن - فإن العملات المشفرة تعد هدفًا محددًا لأنه من الصعب تأمينها ويمكن أن يكون من الصعب تتبعها/استردادها.
إذا كان هذا أمرًا يقلقك، فلا تعلن في المقام الأول عن حقيقة امتلاكك للعملات المشفرة، وهذا يشمل أي مكان عبر الإنترنت أو مع أي شخص لا تثق به بشكل صريح.
يجب عليك أيضًا التفكير في شيء يسمى التوقيع المتعدد، والذي يتطلب بشكل أساسي أكثر من شخص واحد للموافقة على معاملة العملة المشفرة.
وهذا يعطي إنكارا معقولا. قم بزيارة موقع Keys.casa للحصول على خدمة أمنية متعددة التوقيعات وفعالة من حيث التكلفة.
يمكن أن يكون التعرف على العملات المشفرة والاستثمار فيها تجربة محررة بشكل كبير. إنه تعبير عن السيادة المالية، ولكن إذا قمت بإزالة سلطة - مثل البنك - من حياتك المالية، فإنك تصبح مسؤولاً في نهاية المطاف، لذا عليك على الأقل أن تكون على دراية بأفضل الممارسات للحفاظ على أمان العملات المشفرة الخاصة بك وضمان حصولك عليها. النوم بسهولة في الليل.