MadБезопастность: Как защитить вашу крипту от взлома, как защитить Gmail аккаунт
-
- Кто здесь?
-
нет зарегистрированных пользователей и 1 ноунейм
Небольшие советы по защите. Тему буду обновлять.
Часть первая:
Никогда не используйте двухфакторную авторизацию через СМС на емейле, онлайн кошельках и биржах. СМС можно перехватить если узнают ваш номер телефона. Лучше всего использовать Google Authenticator и на емейле и на биржах и на онлайн кошельках.
Для самого аккуанта Google нельзя включать востонавление через СМС. И нужно включить тот же самый Google Authenticator.
Так же в аккауте гугля нужно проверить какие устройства и аппликации имеют доступ к вашему акку. Всё лишнее убрать. Для востановления акка в случае утраты телефона используйте одноразовые коды от гугля распечатанные на бумаге (не храните их на ПК).
Мыло от гугля одно из самых защищенных и надёжных. У гугля есть ещё Advanced Protection, это бесплатно, но нужно купить два железных ключа где-то на 40$ оба.
Часть вторая:
Поставьте хороший пароль на мобилу (не цифры а именно пароль). Не используйте root. Не используйте авторизацию по лицу через камеру (его разблокируют вашей фоткой). Только хороший пароль, отпечатки пальцев или сканнер сетчатки. Ставьте только проверенные аппликации, забудьте про аппы с варезных сайтов!
Часть 3:
Используйте хороший антивирус под винду. Не ставьте пиратский софт.
Не работайте под админом (создайте другой акк).
Используйте sandbox для браузера.
В идеале нужен хорошо настроенный файерволл, но это не так просто.
Обновляйте винду и софт.
Часть 4:
К вашему WiFi могут быть подключены лишь те устройства, которые вы добавили по MAC адресу!
Ваша вайфай сеть должна быть невидимой с мощным паролем.
Обновляйте прошивку раутера.
Для гостей настройте гостевой доступ.
Часть 5:
Используйте отдельный ПК с линуксом как офлайн хранилище (это может быть дешёвый Raspberry Pi). Прайват ключи от кошельков НИКОГДА не храните на ПК или в онлайне, только на зашифрованных флешках и бумаге в банковских ячейках.
Если выберите RaspPi, то ставьте линукс, шифруйте home directory и Swap раздел. Отключите блютуз и в идеале вайфай (должно быть только проводное соединение). Некоторые подключают в RaspPi усб вебку чтобы сканировать QR коды, но я лично так ещё не пробовал.
Буду обновлять тему. Удачи.
Часть первая:
Никогда не используйте двухфакторную авторизацию через СМС на емейле, онлайн кошельках и биржах. СМС можно перехватить если узнают ваш номер телефона. Лучше всего использовать Google Authenticator и на емейле и на биржах и на онлайн кошельках.
Для самого аккуанта Google нельзя включать востонавление через СМС. И нужно включить тот же самый Google Authenticator.
Так же в аккауте гугля нужно проверить какие устройства и аппликации имеют доступ к вашему акку. Всё лишнее убрать. Для востановления акка в случае утраты телефона используйте одноразовые коды от гугля распечатанные на бумаге (не храните их на ПК).
Мыло от гугля одно из самых защищенных и надёжных. У гугля есть ещё Advanced Protection, это бесплатно, но нужно купить два железных ключа где-то на 40$ оба.
Часть вторая:
Поставьте хороший пароль на мобилу (не цифры а именно пароль). Не используйте root. Не используйте авторизацию по лицу через камеру (его разблокируют вашей фоткой). Только хороший пароль, отпечатки пальцев или сканнер сетчатки. Ставьте только проверенные аппликации, забудьте про аппы с варезных сайтов!
Часть 3:
Используйте хороший антивирус под винду. Не ставьте пиратский софт.
Не работайте под админом (создайте другой акк).
Используйте sandbox для браузера.
В идеале нужен хорошо настроенный файерволл, но это не так просто.
Обновляйте винду и софт.
Часть 4:
К вашему WiFi могут быть подключены лишь те устройства, которые вы добавили по MAC адресу!
Ваша вайфай сеть должна быть невидимой с мощным паролем.
Обновляйте прошивку раутера.
Для гостей настройте гостевой доступ.
Часть 5:
Используйте отдельный ПК с линуксом как офлайн хранилище (это может быть дешёвый Raspberry Pi). Прайват ключи от кошельков НИКОГДА не храните на ПК или в онлайне, только на зашифрованных флешках и бумаге в банковских ячейках.
Если выберите RaspPi, то ставьте линукс, шифруйте home directory и Swap раздел. Отключите блютуз и в идеале вайфай (должно быть только проводное соединение). Некоторые подключают в RaspPi усб вебку чтобы сканировать QR коды, но я лично так ещё не пробовал.
Буду обновлять тему. Удачи.
Теги:
Вот ты и попался нюбасик гугл сливает всю информацию пользователей, по запросу спецслужб сша.
Вот самая защищенная почта с кучей возможностей
https://mail.protonmail.com/
Кошельки, какие они бывают? Здесь я точно не буду приводить дебильную, на мой взгляд, классификацию "толстые-тонкие", "горячие-холодные" и т.д. Этим пусть занимаются ютюберы и всякие криптописаки. На самом деле, все кошельки делятся на 3 типа:
1) имеет возможность оффлайн подписи транзакции приватным ключом и выдачи уже подписанной транзакции в явном виде пользователю
2) не умеет работать оффлайн, но дает сид фразу и/или приватные ключи
3) нет ни ключей, ни оффлайна
К 1) типу относятся все официальные core-кошельки, они же ноды, требуют полного либо частичного выкачивания блокчейна. Подписать оффлайн в таком кошельке ранее созданную транзакцию очень просто, но достаточно сложно создать транзакцию на онлайн машине. Для подписи выкачивание блокчейна не требуется, но нужно для создания транзакции. Для понимания, отправка транзакции состоит из трех этапов: создание, подпись, отправка. Пользователь рискует стать жертвой хакеров только на этапе подписи, поэтому и нужно это делать в оффлайн. Для создания и отправки приватный ключ не нужен, поэтому нет смысла его держать на онлайн машине. Генерировать новые адреса и приватные ключи так же можно и нужно в оффлайн. Проблему создания транзакций и синхронизации блокчейна решают сторонние клиенты, на серверах которых блокчейн всегда синхронизирован, например: electrum, electrum-ltc, myetherwallet (можно использовать для ETH, ETC, CLO, любых ERC20 токенов и еще кучи всего) Плохо то, что такие клиенты существуют не для всех монет, например для zcash, и нужно использовать core кошелек.
Для тех, кто запутался.
1) Не храним на компе, который подключается к интернету, приватные ключи
2) Ключи храним, распечатанными на бумаге, либо в зашифрованном файловом контейнере, например truecrypt, не забываем про бэкапы
3) На основном компе мы импортируем в кошелек только адреса, но не приватные ключи, и создаем транзакции
4) Транзакции мы переносим на оффлайн машину, это обычный текст. Вариантов оффлайн машины масса: отдельный комп/ноут, установка системы на отдельный зашифрованный раздел жесткого диска/флэшки, виртуальная машина. Виртуалку держать в контейнере truecrypt, либо шифровать при установке, но требуется тонкая настройка для того, чтобы гостевая система никак не могла контактировать с основной, кроме флэшки, использовать исключительно линукс на виртуалке, ибо флэшка в винду на виртуалке обязательно что-нибудь принесет, кроме текстового файла с транзакцией
5) На оффлайн машине мы подписываем транзакцию и переносим на онлайн машину, опять же, обычный текст
6) Шлём транзакцию в сеть хоть из интерфейса кошелька, хоть с любого pushtx сервиса
Ко 2) типу относятся сервисы наподобие blockchain.info, различные мультивалютные кошельки, типа jaxx и exodus, а также аппаратники ledger, trezor и прочие. Конечно, аппаратные кошельки намного надежнее, чем софтовые, но работать в оффлайн не умеют, никто не гарантирует, что в них не найдут уязвимость, кроме того они зависимы от серверов разработчиков. То есть при любых глюках придется ждать, пока разрабы починят и залатают дыры, либо пользоваться методом извлечения приватных ключей из сида. Соответственно, при таких условиях придется воспользоваться кошельками из пункта 1). Я уж не говорю о глобальных проблемах, типа закрытия компании и прочем. В сервисе blockchain.info дыр еще больше, поскольку доступ возможен по почте и паролю. Поэтому нужно использовать для аккаунта почту, которая не используется больше нигде, и обязательно установить двухфакторку и на сервис, и на саму почту. Почту использовать, считающуюся надежной, например gmail, категорически не рекомендуется mail.ru, да и яндекс тоже. Аутентификаторы надежнее смс, но нельзя их использовать на смартфонах с рутом, а лучше вообще иметь отдельный смартфон, который не подключается к интернету.
К 3) типу относятся биржи, обменники, с возможностью хранения, онлайн кошельки. Некоторые кошельки маскируются под второй тип, например rahakott, дает сид, но ключи из этого сида получить невозможно. Про двухфакторку читаем выше, обязательно сохранять ключи двухфакторки на бумаге или в зашифрованном виде, ни в коем случае не хранить скриншоты qr кодов.
https://miningclub.info/threads/spontan ... sti.45819/
1) имеет возможность оффлайн подписи транзакции приватным ключом и выдачи уже подписанной транзакции в явном виде пользователю
2) не умеет работать оффлайн, но дает сид фразу и/или приватные ключи
3) нет ни ключей, ни оффлайна
К 1) типу относятся все официальные core-кошельки, они же ноды, требуют полного либо частичного выкачивания блокчейна. Подписать оффлайн в таком кошельке ранее созданную транзакцию очень просто, но достаточно сложно создать транзакцию на онлайн машине. Для подписи выкачивание блокчейна не требуется, но нужно для создания транзакции. Для понимания, отправка транзакции состоит из трех этапов: создание, подпись, отправка. Пользователь рискует стать жертвой хакеров только на этапе подписи, поэтому и нужно это делать в оффлайн. Для создания и отправки приватный ключ не нужен, поэтому нет смысла его держать на онлайн машине. Генерировать новые адреса и приватные ключи так же можно и нужно в оффлайн. Проблему создания транзакций и синхронизации блокчейна решают сторонние клиенты, на серверах которых блокчейн всегда синхронизирован, например: electrum, electrum-ltc, myetherwallet (можно использовать для ETH, ETC, CLO, любых ERC20 токенов и еще кучи всего) Плохо то, что такие клиенты существуют не для всех монет, например для zcash, и нужно использовать core кошелек.
Для тех, кто запутался.
1) Не храним на компе, который подключается к интернету, приватные ключи
2) Ключи храним, распечатанными на бумаге, либо в зашифрованном файловом контейнере, например truecrypt, не забываем про бэкапы
3) На основном компе мы импортируем в кошелек только адреса, но не приватные ключи, и создаем транзакции
4) Транзакции мы переносим на оффлайн машину, это обычный текст. Вариантов оффлайн машины масса: отдельный комп/ноут, установка системы на отдельный зашифрованный раздел жесткого диска/флэшки, виртуальная машина. Виртуалку держать в контейнере truecrypt, либо шифровать при установке, но требуется тонкая настройка для того, чтобы гостевая система никак не могла контактировать с основной, кроме флэшки, использовать исключительно линукс на виртуалке, ибо флэшка в винду на виртуалке обязательно что-нибудь принесет, кроме текстового файла с транзакцией
5) На оффлайн машине мы подписываем транзакцию и переносим на онлайн машину, опять же, обычный текст
6) Шлём транзакцию в сеть хоть из интерфейса кошелька, хоть с любого pushtx сервиса
Ко 2) типу относятся сервисы наподобие blockchain.info, различные мультивалютные кошельки, типа jaxx и exodus, а также аппаратники ledger, trezor и прочие. Конечно, аппаратные кошельки намного надежнее, чем софтовые, но работать в оффлайн не умеют, никто не гарантирует, что в них не найдут уязвимость, кроме того они зависимы от серверов разработчиков. То есть при любых глюках придется ждать, пока разрабы починят и залатают дыры, либо пользоваться методом извлечения приватных ключей из сида. Соответственно, при таких условиях придется воспользоваться кошельками из пункта 1). Я уж не говорю о глобальных проблемах, типа закрытия компании и прочем. В сервисе blockchain.info дыр еще больше, поскольку доступ возможен по почте и паролю. Поэтому нужно использовать для аккаунта почту, которая не используется больше нигде, и обязательно установить двухфакторку и на сервис, и на саму почту. Почту использовать, считающуюся надежной, например gmail, категорически не рекомендуется mail.ru, да и яндекс тоже. Аутентификаторы надежнее смс, но нельзя их использовать на смартфонах с рутом, а лучше вообще иметь отдельный смартфон, который не подключается к интернету.
К 3) типу относятся биржи, обменники, с возможностью хранения, онлайн кошельки. Некоторые кошельки маскируются под второй тип, например rahakott, дает сид, но ключи из этого сида получить невозможно. Про двухфакторку читаем выше, обязательно сохранять ключи двухфакторки на бумаге или в зашифрованном виде, ни в коем случае не хранить скриншоты qr кодов.
https://miningclub.info/threads/spontan ... sti.45819/
- Weisses Fleisch
- Имя нам - легион
- Сообщения: 81879
- Рега: 11 ноя 2014, 15:29
- Откуда: Cryptoland
- Лайкнул: 1744 раза
- Лайкнули: 2416 раза
- Награды: 7
Shagohod, since 2009
- Mister Book
- MadГерой
- Сообщения: 34901
- Рега: 23 апр 2013, 01:16
- Откуда: Палата №6
- Лайкнул: 532 раза
- Лайкнули: 2263 раза
- Награды: 2
Vafelka, а говорили, что основная фишка крипты - безопасность. Да дохуя лазеек получается
Иewfag,
Отправлено спустя 2 минуты 30 секунд:
Vafelka, гугль безопаснее протона именно от взлома и долговечней. А спецслужбам сша насрать на тебя и твою крипту и запрос на тебя никто делать не будет.
Отправлено спустя 2 минуты 30 секунд:
Vafelka, гугль безопаснее протона именно от взлома и долговечней. А спецслужбам сша насрать на тебя и твою крипту и запрос на тебя никто делать не будет.
truth1one, я один раз акции Сбера купил на 16к рупей, потом каждые 5минут проверял что там как, потом они подешевели до 140, потом кое-как поднялись до 165 и я их слил, потом правда через пару дней до 180 взлетели, ну кароч для себя решил что никогда больше не буду подобным заниматься, паранойя какая-то
- Skyey Foxy
- Имя нам - легион
- Сообщения: 1547
- Рега: 31 мар 2016, 18:33
- Откуда: Москва
- Лайкнул: 426 раза
- Лайкнули: 116 раза
- Награды: 2
Повёл себя как настоящий биржевый спекулянтИewfag писал(а): ↑06 авг 2018, 23:59 truth1one, я один раз акции Сбера купил на 16к рупей, потом каждые 5минут проверял что там как, потом они подешевели до 140, потом кое-как поднялись до 165 и я их слил, потом правда через пару дней до 180 взлетели, ну кароч для себя решил что никогда больше не буду подобным заниматься, паранойя какая-то
- Mister Book
- MadГерой
- Сообщения: 34901
- Рега: 23 апр 2013, 01:16
- Откуда: Палата №6
- Лайкнул: 532 раза
- Лайкнули: 2263 раза
- Награды: 2
Иewfag, а всего-то надо было написать бота, который при достижении определенной планки за акцию отправлял бы тебе сообщение, а ты как успешный бизнесмен и брокер слил бы акции. Профит
сейчас крипта сильно упала. некоторые перспективные монеты упали в 50 раз. Возьмёшь ты скажем их на 500$. Сумма весьма мелкая, но если вырастет до уровня перед падением (который так же был далеко не потолком) ты получишь - 500x50=25000$. А если упадёт - уже и так на дне, особо сильно не упадёт