“In Satoshi We Trust”
区块链时代最大的秘密,就是比特币之父中本聪。坐拥100万比特币(峰值时接近200亿美元)的中本聪,自从2011年离场后,竟再也没有动过这笔财富……这份淡然和从容,恐怕就是目前身价1376亿美元的 Jeff Bezos 都不容易做到。
“我已经在做其他事情,今后可能不会来这里了。”
这是《数字黄金》一书所记载的中本聪的最后一条信息,它创造了这次极富诗意的离场,正如托尔金在小说中所描述的那样:“属于精灵的时代已经结束……因为人类的统治时代已经来临,那支年长的亲族将会淡出或离去。”
中本聪就是我们这个时代的“精灵族”。作为一个老道的密码朋克,他的神秘,跟他一直小心翼翼地保护自己在网络上的个人信息密不可分。
他从不使用社交网站,接入互联网始终通过洋葱路由,电子邮件一直采用 PGP 加密。淡出之前,中本聪早已将比特币项目交由社区维护,同时把自己的邮箱撤下。而当一位比特币核心开发者同 CIA 接触后,中本聪果断将比特币论坛交由他人管理,他自己则在 CIA 的眼皮底下销声匿迹。
中本聪作为一个传奇消失了,同时也放弃了他个人近百万的比特币资产,但比特币作为这个时代最具突破性的技术却得以永存。中本聪保护了他最具价值的成就。
那么,大神的传奇经历,能让我们普通用户学到什么呢?我们应该如何去保护自己的网络资产呢?我们是不是应该把黑客视为无所不能的CIA特工一样来应对呢?有没有哪些具体的举措和建议?
对于这些问题,加密技术爱好者 Jack Dossman 用一篇文章给出了很好的解答。掌握这些方法,既对那些拥有加密数字货币的用户有用,又对那些使用互联网的普通用户有用。
我们整理如下:
要不要将个人信息从公共网络上删除?
要!
该方法简单粗暴,极其有效。
如果像中本聪一样,网络上根本没有你的个人信息,黑客还能怎么下手呢?
越来越多的隐私侵犯事件还在发生,有些是黑客干的,有些却是那种看起来在做正经生意的大公司干的。黑客们一旦拿到你的个人信息,就通过社会工程攻击手段来入侵你的各种账户,所以公开电话号码、电子邮件地址或其他个人信息(如出生日期、家庭住址、工作单位甚至于你的生活圈子)都不安全。
听起来很可怕是不是,在黑客面前,受害者简直毫无秘密可言。如果你对此置之不理的话,那心也太大了点,我们必须采取一些必要的措施。
如果公共站点上的电子邮件账号难以隐藏或删除,那就新建一个用来注册加密货币账户,这样至少能给黑客们“觅食”增加些难度。
如果你的电话号码由于现实原因必须要公开,那你的垃圾邮件和信息肯定不是一般的多,你可以联系运营商来增加账户的安全性。
总之,一定要重视自己的网络隐私,网上关于你的信息越少,你被侵害和被利用的机会就越小。
如何增强电话账户的安全性?
黑客们利用社会工程攻击(social engineering attack)控制受害者的SIM卡,然后重置E-mail的密码并登录,之后重置任何与之关联帐户的密码,到了这个地步,受害者的加密资产就如同“我家大门常打开”了。这样的案件其实非常多。
为避免这种状况,你需要主动联系通信运营商,要求增加你你的电话账户的安全性。如果有人冒充你拨打给运营商做信息修改或查询,他们应该提供更多的信息去证明身份,而不仅仅是你的名字和生日。
注:社会工程攻击(social engineering attack):利用”社会工程学”来实施的网络攻击行为。主要是利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
如何使用安全的离线钱包?
说来奇怪,人们常常是因为大规模黑客攻击和安全漏洞的事件,从而知道比特币和其他加密货币,人们都有先入为主的心态,因而对这些技术保持怀疑。
几乎所有黑客攻击都涉及到交易平台被入侵或者货币钱包被破解,因为这些中心化系统的安全性比加密协议要差得多,对于黑客来说就是一个巨大的蜜罐,吸引他们蜂拥而至,不惜一切代价入侵。
尽管黑客攻击事件很频繁,但是比特币和其他一些比较成熟的加密货币,具有去中心化的特性,而且采用加密协议,所以几乎是不可破解的。
以下是加密钱包使用入门,帮助你快速了解其工作机制。(老手可以跳过)
如果你把加密货币保存在交易平台上,从技术上说你拥有它们,但实际的控制力却是有限的。因为交易平台一旦被破解,那你就准备宣告“破产”吧。
所以要把加密货币保存在自己的私人钱包里,你才有完全的控制权。但这是不是意味着完全安全呢,其实并不是,风险是一直存在的,区别在于大小而已。
钱包的种类不一样,其安全性也有区别。加密钱包通常被归类为在线钱包或软件钱包,比如手机和桌面应用程序;与之相对应的是离线钱包或硬件钱包,比如USB存储器和“烂笔头和记事本”。
钱包的经验法则——钱包与网络越隔离,加密货币的保护层就越坚不可摧。为了进行小额交易或支付,在交易平台或在线钱包中储存少量币很常见。然而如果量大或者想要更加安全妥善,还是离线钱包最靠谱,离线钱包与网络是完全隔离的,黑客想要攻击根本无从下手,其安全性与在线钱包有云泥之别。比较常用的离线钱包有 Ledger Nano S 和 Trezor,它们给你的私钥赋予多层加密保护。
当然,如果你是游戏玩家的话,可能会把账号密码等信息记在纸上,这也是一种非常安全的方式。
除了上述之外,你还需要备份。有备份习惯的人在面对网络欺诈或者黑客攻击时,不会手足无措。
要不要把所有帐户都开启双因素验证(2FA)?
一定要!
双因素验证(2FA)是在登录到在线帐户时,通过两种方法验证身份的过程。通常情况下,会生成一个6位数的验证码,并通过短信发送到手机,或者有专门的身份验证 APP 生成这个验证码,最后输入验证码登录账户。
为账户开通 2FA 后,黑客如果想入侵你的账户,就需要持有接收验证码的设备,如此便给账户带来了双重保护。
短信 2FA 不是万能的,黑客可以打电话给手机供应商和替换SIM卡来获取你的手机号码,从而窃取到验证码,但是,总比没有强吧。
目前市场上提供 2FA 服务的 APP 还是比较多的,其中 Google Authenticator (iOS/Android) 和 LastPass Authenticator 是业中翘楚,堪称 2FA 的黄金标准。
大多数靠谱的交易平台和钱包会推荐选择使用 2FA,但并非默认,需要你手动开启。
所以切记:在使用交易平台时,先到设置页面去开启 2FA。
切忌在网上“炫富”!
如果单纯是为了记录生活,那本无可厚非。但永远永远不要在网上,包括论坛、社交平台,炫耀你有多少财富。
“炫富”一时爽,事后“火葬场”。
下面就有一个有“炫富火葬场”的故事,解决非常忧伤:
从你踏入币圈开始,切忌在网上提及你有币。
假设这样一个场景,最近你持有的币疯涨,你身价倍增,你按捺不住激动的心情,在社交平台上晒你心中的狂喜,晒你即将拥抱香车美女,晒你即将走向人生巅峰,但这些如果被在网上趴活儿的黑客们看到,在你一觉醒来之后,那些承载着你的美梦的币或许毛都不剩一根了。
这并不绝对,但最简单的加密货币安全策略是没人知道你有钱,做一个透明的普通人,不要愚蠢到自己主动去做黑客们的靶子。
试问,黑客们的入侵攻击行为会像是摸奖抓阄的吗?小偷会去偷一个家徒四壁的家庭吗?拜托,他们也很忙的好不好。
所以,藏富于己身就好,闷声才能发大财。
要使用密码管理器和更高强度的密码!
密码管理器是一种非常棒的应用,比如 LastPass 或 1Password,它可以为你任何一个网站的账户随机生成密码,这个密码通常由多种字符组成,相互之间也不会重复。你只需要记住一个主控密码,就可以实现对你所有账户密码的轻松管理。
密码管理器有最先进的安全和加密技术,还有强大的主控密码,再加上双重验证的账户,使用密码管理器非常简单并且可靠,浏览器甚至设备上的密码都尽在掌握。
最后,别忘了给手机和电脑设密码!
这不是废话吗?大多数人都是这样做的。但是又有多少人登录交易平台后,电脑开着就离开了,又有多少人手机上安装了移动钱包APP,却没有设置密码,对于一个惯犯黑客来说,盗到你所有值钱的东西像喝水一样简单。
丢失手机或电脑已经够倒霉了,但如果密码也跟着没了,更是毁灭性的事情。
所以要记得用密码保护你的设备,即使你真的脸黑,至少你的密码和个人信息是安全的。
结语:
如果你没有经历过黑客攻击或电信诈骗,可能很难理解为什么所有这些安全措施都是必要的。没有精力过损失,很多人都不知道该如何止损,如何处理网络资产的安全。所有人都要经历一个学习的过程。
这里要告诉你的是,比别人多用一点心,多做一些事,就能让自己的加密货币、在线账户比90%的人更安全,同时很难被攻破。
当然,完全按本文所述来做,也不代表你的加密货币就万无一失,但这些方法会尽最大可能来保护你的财产安全。毕竟,能让你放下心来的“安全”的才是最好的安全,难道不是吗?
注:本文所述的方法不分先后、不分优先级,不能作为法律建议或投资意见。保护个人资产安全,终究还是要靠自己来摸索,从来都没有一劳永逸的策略。对于这一点,你永远都不能高枕无忧。
来源:区块链大本营,作者:Jack Dossman,译者:李晓泉