Сегодня “День паролей”, следовательно, давайте разберемся, как сделать их максимально безопасными. Криптовалютная биржа Binance как раз предоставила материал касательно нашего вопроса, переведем его, а в конце мы поделимся своим лайфхаком по паролям.

Безопасность является приоритетом номер один в Бинанс. Команда биржи вложила бесчисленное количество часов и ресурсов в обеспечение безопасности платформы от злоумышленников. Алгоритмы биржи используют технологии анализа больших объемов данных и искусственный интеллект для предотвращения атак. Binance сотрудничали с различными компаниями, занимающимися вопросами кибербезопасности и соответствия нормативным требованиям в области блокчейн. Тем не менее, лучшее партнерство в области безопасности, которое мы можем построить, – это партнерство с самим сообществом Binance.

Каждый пользователь биржи Binance имеет право на то, чтобы вся экосистема была свободна от злоумышленников. Начинать необходимо с регулярных привычек, которые помогают сохранить счета в безопасности. Создадим безопасную среду для использования криптовалют вместе.

14 советов по безопасности паролей и учетных записей

1. Используйте двухфакторную аутентификацию, предпочтительнее Google Authenticator.

Активация 2FA на вашем счете Binance является важным первым шагом на пути к обеспечению безопасности средств на Binance. В настоящее время биржа предлагает два варианта 2FA: SMS и Google Аутентификатор. Рекомендуется использовать Google Authenticator. Хотя SMS 2FA может быть более удобным, это увеличивает векторы атак, которые могут быть использованы для атаки на ваш аккаунт (например, замена SIM-карты). В скором времени будут представлены дополнительные варианты двухфакторной аутентификации: Universal 2nd Factor (U2F), поддерживающий такие устройства, как Yubico YubiKeys. Оставайтесь с нами для получения обновлений, касающихся этой функции.

2. Проверьте список устройств, которым был разрешел доступ к учетной записи.

Если вы видите какие-либо устройства, которые вы не узнаете или больше не используете, просто удалите их. Для этого:
a) Войдите в свой аккаунт Binance и перейдите в “Мой аккаунт” в вашем браузере или приложении.

b) Просмотрите раздел “Управление устройствами” в нижней части страницы “Моя учетная запись” в вашем браузере или в меню “Безопасность” в приложении.

c) Удалите все нераспознанные или неиспользуемые устройства. Как только устройство будет удалено, оно больше не сможет получить доступ к вашей учетной записи, если вы не подтвердите обратное по электронной почте.

3. Используйте сложный пароль для авторизации и регулярно меняйте его.

Настоятельно рекомендуется использовать пароль длиной не менее 8 символов, содержащий как минимум одну заглавную букву, одну строчную букву, один специальный символ и одну цифру.

Однако одного надежного пароля недостаточно, так как существует множество способов, с помощью которых злоумышленник может получить ваш пароль. Учитывая это, хорошая привычка периодически менять пароль. Эта практика не должна ограничиваться вашим аккаунтом Binance. Меняйте пароль и для ваших учетных записей электронной почты (особенно, если они используются для финансового аккаунта, такого как Binance).

Для вашей же безопасности, всякий раз, когда вы меняете пароль, связанный с вашей учетной записью Binance, вывод средств будет временно приостановлен на период 24 часа после изменения. Пожалуйста, учтите это при планировании смены пароля.

4. Разрешайте выводить средства только по адресам, которым вы доверяете, и регулярно проверяйте белый список.

Binance имеет функцию “Управление адресами снятия средств“, которая позволяет ограничить адреса кошельков, на которые можно снимать средства. Поскольку каждое добавление требует подтверждения по электронной почте, эта функция может защитить вас в особых случаях несанкционированного доступа. Просто включите опцию “Белый список” в разделе “Управление адресами снятия средств”.

5. Если возможно, выполните проверку 2-го уровня для вашего аккаунта.

Завершение второго уровня верификации не только предоставляет вам более высокий лимит снятия, но и помогает защитить вас от злоумышленника, претендующего на владение вашей учетной записью. В ситуациях, когда вы допустили ошибку, это также позволяет службе поддержки Бинанс решить вашу проблему более удобным для вас способом.

6. Подумайте об управлении некоторыми средствами в вашем собственном кошельке (от которого у вас есть приватные ключи, например, Trust Wallet).

Независимо от того, насколько безопасным может быть биржа, часто утверждается, что ваши средства наиболее надежно защищены в кошельке, от которого только у вас есть приватные ключи. Trust Wallet, официальный криптокошелек приложения Binance, предоставляет вам удобный способ надежно хранить ваши средства подальше от третьих лиц, с поддержкой большинства основных криптовалют и всех токенов ERC20. Вы можете скачать приложение “Trust Wallet” для Android или iOS. Лайфхак: вы также можете легко интегрировать свой кошелек с Binance DEX и торговать на децентрализованной бирже.

7. Примите необходимые меры для защиты своей учетной записи при использовании API.

Большая часть сообщества Binance использует API, документированный программный интерфейс, который позволяет обмениваться данными Binance с другими приложениями. Это позволяет получить более персонализированный опыт торговли. Но если не использовать API безопасно, это может привести к проблемам. При использовании API вы можете рассмотреть такие вещи, как ограничение доступа по IP-адресу, отказ от предоставления ваших ключей API сторонним службам, регулярная замена ваших ключей и/или использование вышеупомянутого белого списка адресов вывода.

Следующие семь шагов выходят за рамки вашего счета Binance и касаются общих процедур безопасности. Предпримите и эти шаги.

8. Убедитесь, что ваше подключение к Интернету безопасно.

Проверка безопасности вашего соединения распространяется на несколько фронтов, от вашего интернет-провайдера и как вы подключены к ним, к любому программному обеспечению и/или услугам между ними. Избегайте подключения к общедоступным сетям Wi-Fi и другим соединениям общего пользования, поскольку это подвергает опасности со стороны злоумышленников, которые могут перехватить передаваемые данные.

9. Установите антивирусное программное обеспечение и доверяйте только безопасным приложениям/программам.

Необходимо убедиться в том, что используемые вами приложения и файлы, доступ к которым вы получаете или загружаете, не заражены вирусами, вредоносными программами или чем-либо еще, что может поставить под угрозу вашу информацию. Убедитесь, что все ваши устройства защищены последней версией предпочитаемого вами антивирусного программного обеспечения и что регулярное сканирование запланировано. Всегда загружайте приложения/программы из доверенных, официальных источников, а также избегайте доступа к ссылкам или программному обеспечению, совместно используемому кем-либо, кого вы не знаете и кому вы не доверяете. В целях дополнительной безопасности, вы можете рассмотреть возможность использования специального устройства исключительно для использования криптовалют и криптовалютных учетных записей.

10. Поставьте на телефон программы блокировки или активируйте эту опцию в настройках.

Существует большая вероятность того, что вы используете свой телефон для 2FA и других чувствительных действий. По этой причине необходимо держать телефон под защитой. Это можно делать с помощью пароля или отпечатка пальца, любой дополнительный уровень безопасности будет полезен.

11. Используйте безопасный менеджер паролей.

Многочисленные безопасные и разные пароли, к сожалению, нелегко запомнить. Менеджеры паролей облегчают отслеживание этих сложных паролей для нескольких учетных записей, и многие из этих служб имеют сложные механизмы шифрования, которые делают хранение паролей более безопасным. Конечно, пароль, который вы выбираете для своего менеджера паролей, должен быть максимально сложным.

12. Насколько это возможно, используйте уникальные электронные адреса у почт для каждого из ваших счетов, включая ваш счет в системе Binance.

Большинство людей используют один или два электронных адреса для всех своих счетов. Это может создать множество возможностей для обмена информацией между различными веб-сайтами и/или службами. Сложная атака может использовать вашу информацию, украденную из одного сервиса, чтобы попытаться получить доступ к вашему аккаунту в другом сервисе. Используйте уникальные адреса электронной почты для каждой из ваших учетных записей, чтобы предотвратить непреднамеренный обмен информацией.

13. Инвестируйте в универсальные аутентификаторы (U2F).

Недавно биржа Binance объявила, что добавит поддержку U2F-совместимых аутентификаторов, таких как Yubico YubiKey. Эти устройства обеспечат безопасный доступ к вашей учетной записи при подключении или беспроводной связи. Этот процесс аналогичен традиционным методам двухфакторной аутентификации (2FA), таким как SMS и Google Authenticator, но ввод кода вручную не требуется. Необходим физический доступ к устройству.

14. Избегайте попыток фишинга и научитесь определять их.

Всегда проверяйте получаемые вами сообщения электронной почты и веб-сайты, на которые вы входите. Многие успешные атаки включают в себя поддельные веб-сайты и формы, которые маскируются под точные копии веб-сайтов, на которых у вас есть учетные записи. Введите привычку проверять адресную строку посещаемых вами веб-сайтов на точность, а также подробности, касающиеся источника получаемых вами сообщений электронной почты.

Бонус “Как придумывать сложные пароли для нескольких учетных записей”

У активного криптовалютного инвестора есть более 100 пар “Логин – пароль”. С одной стороны, конечно, нельзя использовать один и тот же пароль. С другой стороны, невозможно запомнить огромное количество уникальных паролей. Как было сказано в 11-м пункте, можно использовать менеджеры паролей, но лично у меня нет к ним стопроцентного доверия тоже. Именно поэтому я придумал свой механизм генерации паролей, который позволит придумывать сложные пароли и при этом все пароли будут храниться у вас в голове (если не использовать уникумы). Если его использовать с совокупностью советов выше, то ваши активы будут максимально защищены.

Я приведу пример, каким может быть механизм генерации паролей в теории. Вы на основе примера придумайте свой вариант.

Пример механизма генерации паролей

Пароль = модифицированная ключевая фраза + некоторый фиксированный набор символов + дополнительный набор данных, зависящий от модифированной ключевой фразы + производная от названия сервиса + уникум (опционально).

Звучит страшно, но на самом деле все предельно просто.

Например, ключевая фраза у вас “HelloMyDarlingDaddyILoveYouVeryMuch”

Будем придумывать пароль для биржи “Binance”. Сколько согласных в пароле, столько берем символов из ключевой фразы. BNNC – 4 согласных символа. Следовательно, модифицированная ключевая фраза = Hell (первые 4 символа ключевой фразы).

Фиксированный набор данных – это любой набор данных, который одинаков для всех ваших паролей. Например, он может быть таким “Planet!2020Well”

Дополнительный набор данных зависит от модицифированной ключевой фразы. Например, если в модифицированной ключевой фразе четное число символов, то добавляем “2000”, а если нечетное, то добавляем “2001”. У нас 4 символа (Hell), следовательно надо добавить 2000.

Производная от названия сайта может зависеть, например, от количества символов в модифицированной ключевой фразе и брать такое число символов от названия сервиса. Мы придумываем пароль для Binance, а модифицированная ключевая фраза у нас “Hell” и в ней 4 символа, следовательно, добавляем “Bina”.

В итоге наш пароль превращается в такую абракадабру “HellPlanet!2020Well2000Bina”.

Уникум можно добавить уже по желанию. Например, вы можете создать таблицу, в которой будут прописаны названия учетных записей и их уникумы. Например, напротив аккаунта Binance будет прописан уникум “Lemon”. Это означает, что к вашему паролю необходимо добавить ещё и уникум. Я стал использовать уникумы, так как пароли необходимо периодически обновлять. Костяк пароля я не обновляю, а обновляю только уникум. В нашем примере итоговый пароль имел бы вид: “HellPlanet!2020Well2000BinaLemon”

Алгоритм получился в итоге достаточно длинным, но поверьте, если вы его один раз придумаете и потом будете применять для всех паролей, то он у вас отложится в голове и потом уже будет легко воспроизводится из памяти в нужным момент.