黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值(人不出名,幣還少)根據近幾年的使用者調研,掌櫃發現有相當一部分使用者,即使你告訴他千萬遍「手機端軟體更便捷,更安全」,他們仍然對pc端軟體情有獨鍾。不得不承認,pc端軟體確實有著不可替代的優勢:顯示面積大,滑鼠鍵盤互動精確,適合流程複雜、規模更大的操作。
如果一定要使用pc端錢包軟體進行資產管理(包括配合硬體錢包使用的觀察錢包),我們需要付出兩百倍的安全意識。
安全意識通常來自於對攻擊面的了解,掌櫃習慣通過以下3個「靈魂拷問」來判斷:
01|需要哪些資料保護?
- 涉及隱私的敏感資訊,如瀏覽記錄、使用者名稱&密碼、私鑰檔案、錢包檔案等
02|哪些應用程式存在敏感資訊?
- 如交易軟體、錢包軟體、瀏覽器等
03|資產管理過程中哪些外部服務易被攻擊?
- 如裝置的通訊介面、交易軟體、錢包軟體、瀏覽器等
基於以上,我們試著對pc端錢包軟體的各個使用環節展開疑問:
這些被盜的隱私資料即使不包含關鍵的私鑰或者密碼資訊,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
版本公升級:這是不是官方公升級提示?不公升級有什麼影響?公升級前需要備份什麼?
electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞,給使用者傳送公升級提示(不公升級就不能發幣),誘導使用者公升級到「攜帶後門」的客戶端後,竊取私鑰。
首先,肯定是鼓勵大家持續公升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,公升級前請務必檢查:①公升級包是否來自官方;②私鑰/錢包檔案是否已備份。
錢包檔案備份:檔案是什麼內容?如果是私鑰,觸過網嗎?觸過網後還安全嗎?
還是以electrum錢包為例,建立新錢包,會生成乙個wif(wallet import format)私鑰檔案。這個私鑰檔案會被使用者自定義的密碼加密。
如何判斷你的數字資產是不是真的安全?
私鑰就是資產所有權,即使被攻擊,只要私鑰沒洩露就還有可能保住資產。對於pc端儲存的私鑰檔案,有以下三種主流攻擊方式:
■木馬程式竊取私鑰檔案 + 誘導使用者輸密碼/暴力破解密碼
■木馬程式/蠕蟲病毒惡意加密 + 勒索贖金
■直接損壞私鑰檔案或者電腦裝置
那麼,實現上述攻擊的路徑又有哪些呢?
■釣魚**/釣魚郵件(遠端)
現在很多重視安全的企業都會實行隨機內部演練(給全員傳送釣魚郵件),運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
你的映象安全嗎?
與傳統的伺服器和虛擬機器相比,docker容器為我們工作提供了更安全的環境。容器中可以使我們的應用環境元件實現更小,更輕。每個應用的元件彼此隔離並且大大減少了攻擊面。這樣即使有人入侵了您的應用,也會最大程度限制被攻擊的程度,而且入侵後,利用漏洞傳播攻擊更難。不過,我們還是需要最大程度了解docker...
數字貨幣錢包的安全性問題
像位元幣這樣加密貨幣 cryptocurrency 因為採用無 的去中心化方式發行,大多數國家都不承認它是合法的貨幣,在法律上沒有償還性和強制性等貨幣特點。例如,中國人民銀行就明確表示,位元幣不屬於貨幣,而是屬於可以交易的虛擬商品,國內所有金融機構不得開展與位元幣相關的業務。儘管如此,位元幣和以太幣...
數字貨幣位元幣的未來,你了解多少
隨著近幾個月對位元幣風暴的熱潮,8月可以說是位元幣之月了,從8月 1號就剛開始的位元幣分叉風波,位元現金 bcc的誕生,之後位元幣勢如破竹,衝破 3000 美元,再到首破 4000 美元,這前前後後不到乙個月的時間。在 2017 年的漲幅接近 3倍之多,所以說,位元幣毫無疑問的可以成為今年最搶眼的數...