在加密领域,大多数人只考虑钱包安全性,交易所安全性和安全性-几乎没有考虑幕后的安全风险。
即使在您阅读本文时,安全性也是至关重要的某种形式的黑客行为正在发生在个人或合作实体身上-正如您已经知道的那样,加密货币空间是狂野的西 我们将看看密码设置,多因素身份验证(特别是2FA),浏览器指纹和cookie窃取,因为它与个人有关。
在Poly network hack之后-我决定研究个人安全,因为这是我们大多数人发现自己的空间。 你的资产的损失可能会在瞬间发生,并且在这一点上你真的可以做些什么。 "任何编写和构建的内容都可能被黑客入侵–-因此您的密码应该与您一起工作,而不是针对您。 自愿不伤害自己的决定是你的......利用你周围的智能安全工具达到最佳点,毕竟"智能手机需要聪明的人"。
密码基础
为了获得访问权限,你需要你知道什么,你拥有什么,在某些情况下你是什么。 让我们从创建密码开始。 密码或密码是秘密数据,通常是确认用户身份的字符串。 这必须通过密码管理器记住或存储,该密码管理器根据复杂性进行加密。
密码熵(密码中保存的信息量)很重要,因为它降低了概率,增加了时间,通过逻辑猜测工作或使用晚餐快速计算机来暴力密码 - 注意到随着 GPU* 的加快,这些障碍级别会下降,或者根本不重要;想象一下每秒 140 亿哈希, 这可能会打破一个密码, 即在几秒钟内有 8 位数字。
密码熵越高,就越难以记住,因此需要密码管理器或旧的手写记事本 - 如果(密码)正确设置与高熵位,它几乎需要永远侵入。请参阅下面的图表以示视觉示例。
此外,密码不是非常有用的方式来验证为人类,因为它可能很难被我们记住,但很容易为计算机猜测。什么!我知道, 明白...除了你保护一个政府设施的最高机密,你可能不需要这些水平的努力,嗯,说,当你的加密资产增长到数千和数百万美元,这成为一个必要的,除了你已经养成了习惯和节奏,它成为任务,以贯彻到底。 爱德华·斯诺登共享的基本密码的一个很好的示例。
密码容易受到的其他威胁包括:
- 密钥记录 - 恶意软件,以跟踪和复制用户的密码,因为他们键入。获得每一个击键。
- 暴力攻击 - 随机生成特定计算机的密码,直到通常通过密码字典(即 rockyou2021.txt实现正确的顺序。
- 网络钓鱼 - 电子邮件与可点击的链接到恶意网站,旨在感染收件人设备或说服他们输入他们的密码。
- 社会工程 - 使用欺骗、操纵和影响来欺骗目标执行某项或遵守请求。它也可能是以掠夺用户的好奇心的形式!和习惯;一些呼吁用户的情绪,以引起一个行动,即您的帐户已被泄露(这里的意图是挑起一个行动!
- 简单的密码盗窃。
多因素身份验证
这将我们带到流行的双因素身份验证系统,这是一种特定类型的多因素身份验证,通过需要两种方法来验证您的身份来加强访问安全性。这些因素通常包括您知道的内容 (如密码和您拥有的代码),如为了获得/验证访问而生成的令牌/应用代码。
它们是主要用于安全领域的身份验证的五个因素。 它们包括知识因素(用户密码),拥有因素(令牌安全密钥或用户必须对他/她的人的应用程序),位置因素(IP地址),inherence因素(生物特征)和时间因素(访问时间范围)。 虽然它们是基于上述组合的一些2FA–这些包括SMS2FA,TOTP2FA,U2F令牌和Web身份验证。
SMS2FA-通过向其移动设备发送安全代码来验证用户的身份。 通过SMS路由完成的这种类型的2FA是本文中讨论的三种形式中最弱,最不安全的;主要是由于SMS协议本身没有得到保护,即 中间人(MitM)攻击使用信号系统编号7(SS7)黑客(简单地说,黑客拦截SMSM在SS7协议上发送的所需信息。)由于需要匿名和隐私,用户总是皱眉并回避将他们的电话号码留给第三方,因为它会在数据泄露的情况下将暴露水平提高一个档次。
TOTP2FA-基于时间的一次性密码认证通过在用户的设备本地生成密钥来验证用户,即Google Authenticator生成的密码,并在一段时间后过期,并在循环中再次刷新。
这很容易出现密钥或设备丢失和时间不同步错误。
U2F令牌-通用第二因子令牌通过使用物理USB(通用串行总线)端口或基于智能卡中类似安全技术的近场通信(NFC)设备来验证用户。
唯一的回撤是它需要物理-在丢失的情况下用户的身份验证是不可能的。
最后,Web身份验证API使用公钥加密注册和身份验证进行验证,从而实现无密码身份验证和/或安全的第二因素身份验证,而无需SMS文本。
浏览器指纹
浏览器指纹的元素
浏览器指纹识别(又名在线指纹识别)是一种识别和跟踪方法,网站用于将个人浏览会话与一个网站访问者相关联。 通过JavaScript,即使使用私人/隐身模式或VPN在线访问,也会泄露大量私人信息。
详细信息级别包括您的浏览器插件详细信息,浏览器的时区,特定位置,即大陆/城市,屏幕尺寸和计算机的颜色深度! -你会同意我的看法,这些只是通用标识符,但它也有个人标识符,如哈希画布指纹和哈希webgl指纹-这些哈希是特定于用户设备和设置,并允许他们(设备拥有
您可以在这里测试您的浏览器https://coveryourtracks.eff.org/查看结果并考虑您是否对该级别的匿名状态感到满意。 请参阅Chrome隐身模式和Tor浏览器之间的比较。
Cookie盗窃 (饼干盗窃)
什么是cookie? 计算机cookie或HTTP cookie本质上是在会话启动时由网站保存到用户web浏览器上的脚本代码-通常旨在以跟踪和用户个性化的形式管理会话。
它们是包含小数据(如用户名、密码)的文本文件,存储在计算机中,使服务器能够识别您使用网络时计算机的身份,即如果您访问网站,网站的 cookie 会请求许可(由于一般数据保护法规 (GDPR)的 Cookie 通知),以便在会话开始前将其保存在浏览器上。几天后或几周后再次访问网站时,网站会知道它是同一个用户。这些数据可以嗅出并利用,以获得与真实所有者相同的访问与网站身份验证访问没有任何输入。
结论
具有高熵的密码和硬件生成的占有率认证是设置的最佳基本安全设置,其他与社会工程、信任设备或网站等相关的活动只是通过在线时吸收正确的习惯来解决的。
此外,通过电子邮件设置违规警报,并确保它们不会在垃圾文件夹中发送。所有这些步骤都类似于走在黑暗的小巷里,知道如何处理自己,当推来推去。
