Thị trường crypto mới đã thu hút một số lượng lớn các nhà đầu tư mới.

Những nhà đầu tư mới này có thể không phải lúc nào cũng sẽ biết về các biện pháp an ninh cơ bản cần phải có để tránh để bị hack. Trong các loại hình đầu tư truyền thống, việc không có kiến thức an ninh mạng và trực tuyến có thể có rất ít hậu quả. Ví dụ, sẽ chả có vấn đề gì nếu một hacker có quyền truy cập vào tài khoản eTrade của bạn; họ sẽ làm gì với nó? Nếu họ cố gắng rút tiền từ nó, họ sẽ chỉ kích hoạt nhiều biện pháp an ninh khác nhau.hacker

Ngay cả khi họ thành công, họ vẫn dễ dàng bị theo dõi thông qua các kênh tài chính truyền thống.

Tội phạm không muốn bị bắt, vì vậy ngay cả những kẻ tin tặc có kỹ năng cũng coi các kênh tài chính truyền thống là cấm kỵ. Bạn đã từng nghe nói về những vụ dữ liệu thẻ tín dụng khổng lồ bị đánh cắp từ Target và các công ty tương tự, phải không? Và đôi khi thông tin này có thể được sử dụng bởi những tên tội phạm đang tuyệt vọng để tìm cách lừa gạt Amazon hoặc các nhà bán lẻ trực tuyến khác, nhưng điều này kéo dài được lâu; các nhà chức trách thường đi ngay sau những vụ đánh cắp dữ liệu truyền thống này.

Nhưng crypto thì khác.

Thế giới Cryptocurrency nguy hiểm độc nhất vô nhị

Để hiểu cryptocurrency, bạn phải hiểu một khái niệm cơ bản về crypto – một khái niệm đã từng có trong thế giới vật lý, nhưng bây giờ (thường) chỉ tồn tại trong thế giới số: chữ ký.

Trong suốt lịch sử, sự an toàn của hệ thống tài chính của chúng ta và khả năng cho phép một người chuyển giá trị cho người khác – hoặc cho một doanh nghiệp – đã dựa vào chữ ký bằng văn bản. Tôi đủ lớn để nhớ khi cha mẹ tôi còn viết séc với chữ ký ở mọi trạm xăng và cửa hàng tạp hóa – đó là phương thức thanh toán phổ biến nhất ở ngoại ô tại thời điểm đó.

Tất nhiên, tất cả điều này đã thay đổi, và bây giờ là thời đại của thẻ tín dụng và thẻ ghi nợ. Ngay cả đối với ngành này, chúng ta gần đây đã loại bỏ việc dùng chữ ký thật để xác nhận rằng bạn là người chịu trách nhiệm về tài khoản ngân hàng và bạn đang ủy quyền cá nhân cho phép tín dụng hoặc ghi nợ vào tài khoản. Giờ chúng ta đã có đầu đọc chip và nhân viên thu ngân đã được đào tạo để không yêu cầu chữ ký.

Nhưng điều này có nghĩa là gì? Nó chỉ đơn giản có nghĩa là chữ ký không còn tồn tại ở dạng vật lý nữa – giờ nó là kỹ thuật số.

Khóa riêng – Loại chữ ký mới

Chữ ký không thực sự biến mất; chúng chỉ được thay thế bằng một phiên bản crypto đại diện cho danh tính của bạn mà chỉ bạn mới biết; một khóa riêng.

Việc mã hóa khóa công khai/cá nhân được tạo ra vào năm 1976 để đối phó với những thách thức khi truyền thông tin một cách an toàn qua các mạng không an toàn. Về cơ bản, phương pháp mã hóa thông thường là mã hóa đối xứng; nhưng mã hóa đối xứng không hoạt động nếu giao tiếp của các mã đối xứng diễn ra trên một mạng không an toàn, chẳng hạn như Internet. Điều đó có nghĩa là ai cũng có thể chặn các gói dữ liệu và xác định các khóa cần thiết để mã hóa / giải mã. 1

Vì vậy, để tiếp tục sử dụng mã hóa khóa đối xứng, một lớp khác trên cùng đã được tạo ra, nơi các mã đối xứng có thể được di chuyển an toàn từ máy tính này sang máy tính khác. Việc này được gọi là mã hóa mã công khai – cá nhân, và nó được sử dụng trong hầu hết mọi khía cạnh của Internet; truyền tải email hoặc duyệt trang web an toàn.

Về cơ bản nó hoạt động như thế này: chỉ có máy tính của bạn mới biết được mã riêng của nó. Mã riêng có thể được sử dụng để giải mã một tin nhắn. Mã công khai có thể được sử dụng để mã hóa tin nhắn cần gửi cho bạn, vì vậy bạn chia sẻ mã công khai của mình với mọi người một cách tự do. Bằng cách đó, họ có thể gửi cho bạn thông tin mà chỉ bạn mới có thể giải mã được. Đối với bất kỳ ai khác trên mạng, dữ liệu được mã hóa không thể hiểu được.

Dưới đây là sơ đồ về cách các mã công khai – cá nhân hoạt động: 2

public_private_key_encryption

Được sử dụng cho Email – Và cho Crypto

Nếu bạn mới tham gia vào crypto, có thể bạn đang tự hỏi bằng cách nào mà mỗi mạng crypto – cho dù đó là Bitcoin, XRP hay một số mạng khác – có thể ngăn bạn gửi cùng một token hai lần hoặc làm cách nào nó biết bạn là… bạn.

Khái niệm này khá rõ ràng ở cấp độ cơ bản của nó; nó biết điều này bằng cách sử dụng một cặp khóa công khai – cá nhân. Mạng giả định rằng nếu bạn biết mã cá nhân riêng của mình, thì các token – bất kể chúng thuộc loại nào – phải thuộc về bạn.

Nó đơn giản như vậy đó.

(Thông thường thì) Không cần sử dụng mật khẩu nào khác, và cũng không cần thông tin “đăng nhập” nào khác, trong hầu hết các trường hợp. Trong mọi mạng crypto tôi đã thấy, tất cả những gì bạn cần biết để truy cập vào các tài sản kỹ thuật số là mã riêng. Đây chỉ là một phần thông tin.

Ứng dụng đối với an ninh cá nhân

Vì các mạng crypto cho bạn quyền truy cập và quyền sở hữu chỉ dựa trên một mã riêng (một phần thông tin), tác động của nó tới việc bảo mật rất lớn.

Điều quan trọng là mọi người biết và hiểu rằng việc giữ bí mật mã riêng của họ là cách duy nhất để bảo vệ tài sàn crypto của họ. Trong khi các mạng crypto như XRP Ledger mang tính cách mạng hóa, họ cũng giao việc bảo mật các mã riêng cho chủ tài khoản cá nhân.

Giữ cho các mã riêng của bạn bí mật và an toàn

Không cần phải nói, lời khuyện đầu tiên cho bạn bè và gia đình của bạn mà có thể đang đầu tư, sở hữu hoặc truyền crypto là phải giữ cho các mã riêng tư của họ an toàn và bảo mật.

Giống như mật khẩu Facebook của bạn, bạn cần giữ bí mật mã riêng của mình. Tuy nhiên, không giống như mật khẩu Facebook của bạn, khóa riêng của bạn không thể thay đổi hoặc phục hồi nếu bị mất!

Sẽ là không đủ nếu chỉ đưa nó vào một tài liệu Word. Sẽ là không đủ nếu chỉ đặt nó trong một tài liệu Excel. Các ứng dụng trên máy tính có thể có một mức độ bảo mật nhất định, nhưng nó sẽ không được như bảo mật quy mô công nghiệp, và có thể nhanh chóng dẫn đến việc tin tặc hoặc người khác lấy được mã riêng của bạn và sau đó là tài sản số của bạn.

Tôi khuyên bạn nên sử dụng một thiết bị lưu trữ mật khẩu an toàn.

Câu hỏi tiếp theo của bạn có thể là “vậy nên dùng cái nào?” Và đó là một câu hỏi hay. Có rất nhiều thiết bị trên thị trường; bạn cần phải làm nghiên cứu của riêng bạn để chọn một thiết bị để bảo vệ thông tin bảo mật của bạn. Đây là một bài viết đánh giá: https://www.cnet.com/news/the-best-password-managers-directory/

Và đây là danh sách dài các thiết bị quản lý mật khẩu trên Wikipedia:

https://en.wikipedia.org/wiki/List_of_password_managers

Đối với nhiều người, việc chuyển nhiều mật khẩu của họ sang một gói phần mềm lưu trữ an toàn là một bước đi đúng hướng. Trong khi việc lưu trữ các mật khẩu của bạn ở một địa điểm thu hẹp phạm vi tấn công của hacker, nó cũng cho phép bạn lưu trữ thông tin nhạy cảm của bạn một cách thuận tiện và an toàn.

Liệu một thiết bị lưu trữ an toàn – phần cứng hoặc phần mềm – có là câu trả lời cuối cùng? Thật không may là không – bạn vẫn phải cẩn thận với các mối đe dọa khác, chẳng hạn như keylogger.

Các mối đe dọa an ninh

Thực hiện các biện pháp phòng ngừa và lưu trữ an toàn các mã cá nhân và mật khẩu khác của bạn là một bước tiến tuyệt vời, nhưng cũng có nhiều cân nhắc bảo mật khác cần suy nghĩ.

Mật khẩu yếu

Khi mọi người đang đặt một mật khẩu với mục tiệu là chọn một mật khẩu mà họ sẽ nhớ sau này, kết quả cuối cùng thường có xu hướng là mật khẩu yếu. Các kết hợp tên, vật nuôi, ngày sinh và số may mắn đều là những ý tưởng tồi cho một mật khẩu mạnh.

Hầu hết các thiết bị và phần mềm lưu trữ mật khẩu có mật khẩu có tính ngẫu nhiên cao, khiến cho các chương trình hack tự động khó đoán được.

Xác thực hai yếu tố

Luôn bật xác thực hai yếu tố bất cứ khi nào có thể.

Hai yếu tố có nghĩa giống như cái tên của nó vậy – một cách thứ hai mà một hệ thống máy tính hoặc mạng có thể xác nhận bạn. Cách này có thể mang hình thức phần mềm tùy chỉnh (Authy hoặc Google Authenticator) hoặc thậm chí là nhắn tin văn bản thông thường.

Cần phải chỉ ra rằng nhắn tin văn bản thông qua SMS không được coi là an toàn do khả năng lừa đảo số điện thoại của hacker trong một số trường hợp. 3

Mẹo chung ở đây là bật xác thực phụ bất cứ khi nào nó được cung cấp, để cải thiện bảo mật của bạn. Đối với các nhà giao dịch crypto, điều này có nghĩa là bạn nên bật xác thực thứ cấp trên tài khoản giao dịch của bạn cũng như trên ví nếu có thể.

Nói chung, cả Ray và tôi khuyên nên bật xác thực hai yếu tố trên tất cả các sàn giao dịch có hỗ trợ nó, và không nên sử dụng sàn giao dịch (hoặc các trang web và phương tiện truyền thông xã hội khác) mà không hỗ trợ xác thực hai yếu tố. Nếu một tổ chức không coi trọng vấn đề bảo mật cá nhân của bạn, bạn nên đặt câu hỏi liệu bạn có muốn kinh doanh với họ hay không.

Hai phương tiện xác thực thứ cấp theo tiêu chuẩn của ngành là Authy hoặc Google Authenticator. Phần mềm này khá tiên tiến khi nói đến bảo mật; ví dụ: bạn thậm chí có thể sử dụng Authy trên đồng hồ của mình hoặc thậm chí trên thiết bị Android “lạnh” không được kết nối với Internet.

Nhận thức tình huống

Xin lưu ý rằng, mặc dù việc nhìn lướt qua máy tính xách tay của bạn và ghi nhớ một chuỗi dài các số (mã cá nhân) là gần như không thể, rất dễ chụp ảnh một cách lén lút màn hình máy tính của ai đó. Điều này có thể xảy ra tại một quán cà phê, trên máy bay, hoặc trong một thư viện.

Sau đó, tin tặc có thể phóng to và có thể xác định một mã riêng nếu bạn để nó trên màn hình.

Quán cà phê nổi tiếng với caffein và bánh nướng xốp. Bạn chắc cũng hiểu phải không. Nếu bạn phải sử dụng phòng tắm, hãy mang theo máy tính của bạn. Rất dễ dàng để bất kỳ ai đó có thể cắm thiết bị USB vào máy tính của bạn hoặc giả mạo thiết bị điện tử của bạn nếu bạn để mặc thiết bị này trong bất kỳ khoảng thời gian nào.

Sẽ không may nếu chỉ việc đi vào phòng tắm dẫn đến việc một key logger được cài đặt trên máy tính của bạn.

Bảo thủ truyền thông Xã hội

Các tương tác trong xã hội luôn tràn đầy các mối đe dọa bảo mật.

Việc uống một cốc bia và bắt đầu trao đổi quan điểm trên Reddit, Twitter, Discord, hoặc XRP Chat có vẻ rất thư giãn. Nhưng đừng quá thư giãn.

Tin tặc gần đây đang trở nên khét tiếng với việc sử dụng phương tiện truyền thông xã hội để thu thập đủ thông tin để ăn cắp từ bạn; hãy cố gắng tiết lộ càng ít càng tốt về các khoản đầu tư của bạn, giá trị của các khoản crypto của bạn hoặc các bước cụ thể bạn thực hiện để bảo mật thông tin của mình.

Ngay cả khi bạn cảm thấy tự tin rằng bạn đã thực hiện tất cả các bước cần thiết để bảo vệ dữ liệu và thông tin của mình, đừng bao giờ khoe khoang về các biện pháp cụ thể mà bạn đã thực hiện để bảo mật thông tin, dữ liệu hoặc tài khoản của mình. Ngay cả khi nó là an toàn và có xác thực thứ cấp, việc tiết lộ đủ chi tiết cho một hacker có thể sẽ làm hại bạn nếu họ có đủ “mảnh ghép” để kết nối.

Quan trọng nhất: Đừng đánh giá thấp tính bền bỉ, khả năng, hoặc sự phản bội trên mạng xã hội của một hacker. Bạn tiết lộ càng ít càng tốt.

Chọn một ví tiền điện tử

Tôi sẽ không bao giờ là người đầu tiên ‘thử’ một chiếc ví mới. Tôi không có thời gian để xem xét mã cơ bản, và như vậy, tôi sẽ đặt mình vào một tình huống mà tôi phải tin tưởng vào tổ chức đã tạo ra ví hoặc tôi phải xác minh rằng nó đã được biên dịch từ một nguồn đáng tin cậy.

Dù sao đi nữa, hãy chọn ví của bạn một cách cẩn thận, bởi bạn không bao giờ thật sự có thể biết liệu có một số mã hoặc cửa sau nào trong ví sẽ gây nguy hiểm cho mã bí mật của bạn.

Đây là một trong những lĩnh vực mà điều duy nhất tôi có thể làm là đưa ra một cảnh báo chung cho người dùng rằng họ phải tự thực hiện nghiên cứu của riêng của mình. Bạn đã thử tìm trên Google xem đã có bất kỳ sự cố bảo mật nào trong quá khứ với ví chưa? Bạn đã hỏi xung quanh trên các diễn đàn khác nhau về chiếc ví chưa? Bạn có biết có bao nhiêu người khác sử dụng cùng một chiếc ví bạn đang sử dụng không?

Đây đều là các yếu tố cần xem xét khi chọn một ví để truy cập mạng crypto như Bitcoin hoặc XRP Ledger.

Các nguồn của các ví

Một độc giả đã lưu ý rằng anh lo ngại về việc những người mới mua ví phần cứng từ các cá nhân hoặc bên thứ ba (giông như eBay hoặc Craig’s List). Trong khi ví phần cứng là một lựa chọn phổ biến, bảo mật cao, bạn cần phải mua trực tiếp từ công ty sản xuất chúng chứ không phải từ bên thứ ba.

Một bên thứ ba (có thể) đã cài đặt phần mềm riêng của họ trên thiết bị, và điều này có thể làm tổn hại đến khả năng bảo mật của nó. Không mua ví phần cứng từ eBay hoặc Craig’s List.

Học tập và nghiên cứu thêm

Nếu bạn mới đầu tư vào cryptocurrency hoặc tài sản kỹ thuật số, điều rất quan trọng là bạn dành một chút thời gian và tìm hiểu thêm về bảo mật trực tuyến và kỹ thuật số. Để đạt được mục tiêu đó, bạn nên có cái nhìn tổng quát về hack và bảo mật như là một điểm khởi đầu, để bạn có thể biết được một số kỹ thuật hacking sáng tạo đến mức nào – nó chắc chắn sẽ mở mắt cho bạn nếu bạn chưa quen với chủ đề này.

Ray Watson đã giúp tôi với bài viết này, và là một nhà nghiên cứu và người đại diện của InfoSec (Information Security). Trong video sau, anh ấy cung cấp lịch sử tuyệt vời và chuyên sâu về việc hack, từ nguồn gốc của nó cho đến ngày nay:

Ngoài ra, một số bài thuyết trình được cung cấp miễn phí trên YouTube, thể hiện mối đe dọa thực sự mà tin tặc đại diện – không chỉ cho các nhà đầu tư crypto mà còn cho tất cả những ai có dữ liệu cá nhân trôi nổi trong không gian mạng. Một trong những video mang tính giáo dục và gây sốc nhất mà tôi đã xem là bài nói chuyện TED sau đây của Pablos Holman, một cựu hacker:

Những bước tiếp theo

Thay đổi an ninh và hành vi của bạn đòi hỏi phải đầu tư thời gian và công sức, nhưng nó rõ ràng là đáng giá nếu nó bảo vệ bạn khỏi việc mất một thứ gì đó có giá trị bởi hacker.

Một khi bạn đã mất crypto token của bạn, rất khó để lấy lại chúng; trong một số trường hợp, điều đó là không thể. Không giống như tiền mặt vật lý, cảnh sát sẽ gặp khó khăn hơn nhiều trong việc theo dõi tiền – trong một số trường hợp nó đòi hỏi kiến thức chuyên môn về pháp y kỹ thuật số để theo dõi tin tặc hiện đại.

Bạn nên xem qua các mẹo này và thực hiện các bước để bảo mật danh tính, mật khẩu và mã bí mật của mình. Thực hiện một loạt các bước nhỏ, thận trọng có thể giúp ngăn chặn rất nhiều chuyện xấu không cần thiết và rắc rối cho bạn, vì vậy tôi khuyên bạn nên đánh giá cao tính bảo mật của mình – đặc biệt nếu gần đây bạn đã bước vào thế giới đầu tư crypto.ripple-symbol3

Nguồn:

  1. https://computer.howstuffworks.com/encryption3.htm
  2. https://www.quora.com/How-does-SSL-and-website-certificate-work
  3. https://en.wikipedia.org/wiki/Multi-factor_authentication