7 dicas profissionais para manter sua criptografia segura

NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressboletins informativos

Assine a nossa newsletter.

Endereço de email

Nós respeitamos sua privacidade

HomeBlogBlockchain explicado

7 dicas profissionais para manter sua criptografia segura

Como proteger seus ativos digitais contra incêndio, inundação, phishing, esquecimento e outras forças da natureza.por ConsenSysMarch 1, 2018Postado em 1 de março de 2018

Há um “Quarto frio” em Attinghausen, Suíça – é forrado com placas de aço e fica a cerca de 300 metros dentro de uma montanha de granito em um antigo bunker militar adaptado. O que tem dentro? Hardware sem ar com as chaves privadas de portadores de criptografia de alto valor que procuram um pouco de paz de espírito.

Essas medidas de segurança podem parecer extremas, mas os vetores de ataque são muitos na criptosfera: fraudes, fraudes, extorsão, amigos ligando amigos, paródia de amigos. Os usuários não podem sinalizar contas falsas com rapidez suficiente.

Fake Vitaliks. Fake Joe Lubins. O quão duro alguém realmente olha para os identificadores de mídia social? Alguém voando pelo Twitter está propenso a perder o “l” em @etlhereumJoseph.

Para muitos usuários, a maior parte de sua criptografia ainda está “quente” – em carteiras on-line em bolsas centralizadas, que tiveram sua parcela de acertos ao longo dos anos: o infame Monte. Gox hack em 2014, no qual os hackers ficaram com aproximadamente 740.000 BTC, e a violação do Bitfinex mais recentemente, que drenou quase 120.000 BTC da troca.

E então, é claro, as antigas ameaças, fogo e esquecimento (um homem acidentalmente jogou fora $ 9 milhões em bitcoin) Os vetores de ataque podem ser despretensiosos, peludos até.

O problema é que a criptografia perdida tem uma maneira de desaparecer completamente – às vezes entre jurisdições e fora do alcance da lei, às vezes em buracos negros criptográficos (em 2011, 2.609 BTC desapareceram em Mt. Gox devido a um erro de script). O que é libertador sobre o blockchain é que você pode se tornar seu próprio banco. Mas isso também pode ser uma coisa assustadora para muitos de nós, que se acostumaram a deixar que instituições centrais administrassem nossas vidas por nós. É hora de nos educarmos.

Felizmente, Nick Dodson, fundador do BoardRoom (agora GovernX), acaba de publicar seu GitBook, “Dicas profissionais para gerenciamento de carteira Ethereum,” um manual de segurança para chapéus ingênuos e de folha de estanho. As medidas de segurança pessoal de Dodson são reconhecidamente do nível de Snowden – estamos falando sobre a tela e tudo mais – mas sua missão é capacitar os usuários, não assustá-los. Ele reconhece a relação entre conveniência e segurança. Muitas camadas de segurança e você acaba se atrapalhando ao tentar acessar sua criptografia. Dodson oferece os recursos para decidir por si mesmo o quão sofisticado você deseja ser.

Uma palavra de cautela: compilar essas dicas profissionais traz consigo a meta-ansiedade de que qualquer ferramenta ou medida de segurança que recomendamos aqui se tornará o foco de agentes mal-intencionados. Portanto, fique atento. Mas fique com isso. Blockchain não é apenas sobreviver. É sobre como criar escolhas para você mesmo. Como escreve Dodson: “Fique vigilante e você prosperará”.

1. Conheça os vetores de ataque.

Também conhecido como Conheça seu inimigo. Cuidado com o proverbial “homem no meio” – alguém tentando se interpor entre você e seu destino. Sites falsos, sites maliciosos que imitam outros sites, podem ser perfeitos hoje em dia. Certifique-se de verificar os URLs. Melhor ainda, marque seus sites criptográficos e se atenha aos seus favoritos (MetaMask também coloca clones do MyEtherWallet na lista negra para você). Verifique os downloads de software. Uma cópia do Tails OS não é boa se estiver infestada de spyware. Um ataque man-in-the-middle pode até ser literal: um cara perdeu as economias de sua vida para um revendedor no Ebay que puxou a semente de recuperação de uma carteira de hardware e reembalou a carteira. Sempre compre sua carteira de hardware diretamente do fabricante. Agora pense dois passos à frente. Talvez seus URLs tenham uma boa aparência. Mas como você sabe que alguém não invadiu seu Wi-Fi, falsificou o DNS e redirecionou você para diferentes IPs? A computação segura é como o xadrez: sempre presuma que seu oponente é mais esperto do que você.

2. Gere senhas fortes.

Você já deve saber o que fazer – nada de aniversários, endereços, letras de músicas, etc. (nem me fale sobre as senhas da minha mãe). Mas mesmo que você amasse as teclas do teclado, isso ainda não é aleatório o suficiente (você não é uma boa fonte de entropia). Os crackers de senhas podem vasculhar 350 bilhões de suposições por segundo. Use um gerador mnemônico aleatório para criar uma frase secreta ou compre uma carteira de hardware para gerar chaves e assinaturas poderosas para você. Várias senhas são melhores do que uma. Carteiras com várias assinaturas, como Gnose ‘, requer várias chaves para validar as transações. E use a autenticação de dois fatores para tudo: e-mail, trocas, Steam, etc. Atenção: a contagem regressiva pode ser irritante, mas os dois fatores baseados em aplicativos são muito mais seguros do que SMS. Deixei esta seja seu aviso.

3. Use armazenamento refrigerado.

Você não tem que ir 300 metros no subsolo, mas deve manter a maior parte de sua criptografia “fria” – ou seja, sem ar e offline. Guarde apenas uma quantia em trocas e carteiras online que está disposto a perder. Você pode construir um computador sem ar removendo a placa de rede do seu PC ou laptop (Caudas é um sistema operacional que você pode executar offline) ou comprar uma carteira de hardware. Ao gerar a frase semente, conecte sua carteira de hardware a uma tomada de parede para mantê-la o mais fria possível. Dicas de paranóia: cubra o microfone / câmera do seu laptop e remova todos os dispositivos eletrônicos da sala.

4. Teste tudo.

Faça pequenas transações de teste ou pratique com um pouquinho de dinheiro em uma rede de teste antes de ir para o mês inteiro. Nunca digite endereços manualmente (mais de 12.000 ETH foram perdidos para sempre devido a erros de digitação). Copie e cole, use Ethereum Name Service, ou escaneie códigos QR. Certifique-se de que seu aplicativo de digitalização seja seguro (Dica profissional nº 1: conheça os vetores de ataque). Verifique novamente o identicon de seu endereço de destino. Antes de transferir qualquer criptografia para sua carteira de hardware, teste sua frase-semente. Se você estiver construindo um computador com vácuo, registre e verifique novamente a soma de verificação MD5 antes e depois de carregar os dados no cartão SD. Pelo amor de Ethereum, teste tudo.

5. Armazene sua (s) frase (s) semente (s) em diferentes dispositivos e locais.

Uma frase-semente padrão Bip39 é aquela curiosa string de 24 palavras da qual você pode derivar uma chave privada. Gerencie sua semente com o máximo cuidado. Se você escrever em um papel, considere fazer duas cópias e armazená-las em locais separados. Os cartões SD são outra opção de armazenamento, mas raramente duram mais de cinco anos e podem ser apagados com uma pitada (bomba EMP). Use analógico e digital apenas no caso (algumas pessoas martelam suas frases-semente em aço). Se você quiser subir de nível: armazene partes de sua frase-semente em locais separados e seguros. E lembre-se: registre meticulosamente seus passos, para que você (ou seus herdeiros) possam recriar a semente.

6. Manter negação plausível.

Negabilidade plausível no criptoverso significa a capacidade de manter certos dados ocultos. Aqui está uma diretriz de emissão pública útil: não divulgue seus acervos e, especialmente, não diga ao mundo (nas redes sociais) as trocas onde você guarda toda a sua criptografia (de novo, esse cara) Toda a sua criptografia não deve estar quente de qualquer maneira (Dica profissional nº 3: use armazenamento refrigerado). Você pode ocultar contas em diferentes caminhos de HD em sua carteira de hardware, caso alguém apareça. Além disso, minimize sua exposição ao risco, distribuindo seus acervos em várias carteiras.

7. Suba de nível. Ajude o ecossistema.

Dodson termina o seu GitBook recomendando quatro níveis diferentes de configuração de carteira, sendo o Nível 4 para os usuários mais exigentes. É sua escolha o quão sofisticado você deseja ser. Mas lembre-se: suas escolhas de segurança afetam não apenas você, mas o ecossistema. Se você não usar a autenticação de dois fatores e alguém apreender seu e-mail (que, digamos, você deixou aberto em um computador da biblioteca), quando aquele malfeitor começar a fazer phishing em sua rede pessoal, isso é culpa sua. Portanto, desafie-se a subir de nível. Experimente carteiras de hardware, Tails e multi-sig. Canalize seu Snowden interior. Aprenda ensinando. Conte a seus amigos sobre armazenamento refrigerado e a sua mãe sobre senhas fortes. Ajude a comunidade a sinalizar sites falsos e contas falsas. Dodson’s “Dicas profissionais” são um presente para o ecossistema e algo que podemos pagar.

MetaMaskNewsletterSubscreva nossa newsletter para obter as últimas notícias da Ethereum, soluções empresariais, recursos para desenvolvedores e muito mais. Endereço de e-mailConteúdo exclusivoRelatório