精华帖分享|如何全方位无死角保护你的交易所账号

本文来源于量化小论坛策略分享会板块精华帖,作者为菊座,发布于2024年3月4日。

以下为精华帖正文:

01

背景

起因是这两周保4赚麻了,看到中性群里大佬们的曲线,大家都想加大仓位,于是我在群里提醒了下大家资金量大了以后的账户风险。

图片

然后聊着聊着这个话题就有点收不住了,大家都让我把分享的内容整理个帖子。

02

目标声明

我的大部分资金都放在BN和Coinbase交易所账号里,所以这篇帖子的全部内容都是围绕着如何加强交易所账号的安全性来展开。

我谈的很多点对于其他传统web2服务安全一样适用,比如你的邮箱账号,电商账号,社交网络账号等等,但是如果你的资金放在交易所外面的热钱包或者冷钱包里,那接下来聊的事情与你无瓜。

03

密码安全

有多少人是一个密码注册遍所有网站?这样做的问题很明显,只要有一个草台班子网站密码泄露了,你所有网站的密码都gg了,所以密码安全的第一个要点就是:每个网站的密码都不一样,一个网站密码被泄露,对任何其他网站都没影响。

那这样你就不可能用脑子来记忆密码了,需要用到密码管理器。密码管理器就是用来储存你所有网站的密码的App,很多手机厂商都自带,比如苹果的iCloud keychain。密码管理器的使用方式一般都有一个主密码,输入主密码才能读取储存的其他密码,你只要记住一个主密码,而且只在密码管理器里输入这个密码。然后密码管理器一般也是云端备份的,以免你手机掉了密码就全没了。所以密码管理器相当于山海关之于明王朝,一旦陷落则千里平原无险可守,安全性极其重要。我没有其他建议,只推荐1Password。

图片

第一个原因是它跨平台。Windows,Mac、iOS,Android电脑手机全部可用,避免你手机用苹果的密码管理,然后电脑用Windows密码迁移不过去的问题。

第二个更重要的原因是因为密码管理器在云端备份你的密码。你怕不怕他们的公司程序员私自偷看或者被黑客偷看?1Password的工作方式是有一个本地秘钥secret key,1p服务器上存储的都是你在本地把密码用secret key加密后发送过去的数据,不管是他们的工作人员还是黑客,拿到服务器储存的数据都没有卵用,只有你能解密你自己的数据。所以当你第一次注册好以后,1p会给你一个pdf叫紧急恢复包:

图片

上面记录着你的secret key,你只要打印出来然后你手写下你设置的主密码就行了,任何时候你都可以通过这张纸访问到服务器上的密码。当然如果这张纸你丢了......阿弥陀佛上帝保佑。

1Password是付费App,一个月3刀,你问我值不值?我是十年老用户......

然后是密码的设置问题,即便用了1p,如果你每个网站设置个6位密码,那还不如直接空密码,方便自己也方便黑客......下表是黑客暴力破解你的密码需要的时间和你密码复杂度的关系:

图片

所以密码安全的第二个要点是:无论任何网站,统一16位大小写字母+数字+符号:到宇宙毁灭都不可能暴力破解,1p贴心的帮你一键随机生成。

图片

04

手机SIM卡安全

手机和邮箱是两大账户ID,先聊聊手机安全。密码忘记了可以用手机验证码找回,所以手机号的安全性甚至比密码安全性更重要。B圈强大如V神,也曾经被SIM卡交换攻击导致twitter账号被黑。

图片

V神事件是由于黑客社工了T-mobile的客服,利用V神的各种公开信息挂失并获取了他的SIM卡,中国国情里任何SIM卡挂失都需要拿着身份证到营业大厅办理,社工手机运营商拿到手机卡的几率为0。如果物理拿到了你的SIM卡,通过特殊的设备是有可能复制这张卡的。

所以手机卡安全的要点就是:随时保持你物理持有这张卡。

如果你的手机卡是多年没换过SIM卡的(比如大学入学半的一直用到工作后),赶紧去营业厅换一张最新的SIM卡。

如果手机掉了连带SIM卡丢失,不要犹豫马上去营业厅挂失SIM卡并重新拿卡。任何时候手机如果无原因异常没有信号,也同样操作。安卓我不知道,但是iPhone即便SIM卡失效只要打开Find My 服务依然可以定位我的手机。即便手机找不回了又怎样,不要因为手机号丢失造成连带的银行账户、支付账户的无限失窃风险。

如果网站是允许账户上添加多个手机号的,比如Google、Coinbase、花旗等国外大银行的网上银行。为了保险建议搞两个手机号,然后把两个手机都添加进网站的验证手机里。平时两张卡不要装在同一个手机里,一个丢了可以随时使用另外一个重新获取账号的访问权限,以便应对任何突发风险。比如我就有两个美国手机号,一个实体号码Ultra Mobile,一个虚拟号码Google Voice,都可以随时随地的收到验证短信。

05

邮箱安全

国内可能很多人都用QQ邮箱,但是如果你想长期玩b,我强烈建议逐渐切换到Google邮箱。你可以比较一下两个邮箱的安全设置,这是QQ邮箱:

图片

这是Gmail:

图片

跟Google铜墙铁壁一样的安全设置层数,对比下来你就知道QQ邮箱的安全系数有多么随缘,我反正是不敢把这么多账号的基础建立在QQ邮箱上的,更不用说放了这么多钱的交易所了。

即便不用Google,我也建议你使用国外邮箱,原因你懂的。

Google邮箱的安全验证我默认全部拉满:

密码按之前说的16位大小写字母数字符号标准。

设置二次验证Google Authenticator (马上细说)。

设置通行秘钥Passkey (马上细说)。

设置安全手机(多个)。

手机上装Google App,打开Google prompt验证。

打印Backup codes,和之前说的1Password secret key放一起。

设置硬件yubikey,强迫症可以有,正常人没必要 (后面细说)。

06

两步验证

两步验证是一种类似于短信验证码的安全机制,比起手机来讲,它最大的优点是可以离线使用,即便你出国手机没了信号,两步验证也是同样可用的。

我有一个强迫症,那就是任何网站看到有两步验证设置我都会去设置,我建议你们跟我一样,不要为了用的时候图一点点方便而偷懒不去设置牺牲账号的安全性

两步验证器app很多,但要考虑一个问题是如果都保存在手机app里,手机掉了那咋办,所以一定要选择支持云端备份的。我了解的有几款验证器支持:

谷歌身份验证器 Google Authenticator:

图片

微软身份验证器 Microsoft Authenticator:

图片

1Password

我建议你无脑Google Authenticator。

有老板说他一直用1Password管理两步验证,1个App密码和两步验证全都搞定了很方便。我个人的建议是尽量把他们分开。1Password只管理密码,Google Authenticator只管理两步验证,鸡蛋不要放在同一个篮子里。这样黑客要偷走你账号的几率是同时攻破两个服务,几乎不可能。虽然麻烦了一点,但是安全和便捷永远无法同时满足,我们要做的是在天平的两端做好取舍。

你如果有精神病,可以邮箱用Google,密码用1Password,两步验证用微软......最大程度满足自虐的需求。

07

通行秘钥Passkey

通行秘钥是苹果、微软、Google联合发起的一项技术,目的是为了解决传统的密码容易被盗以及难于记忆等安全和用户体验问题。通行秘钥和你手机上的人脸识别Face ID和指纹识别结合,只有你本人能发送Passkey给目标网站,而且之间没有明文的密码传输,基于非对称加密,服务器只储存用户公钥,不存在服务器失窃导致密码失窃问题。

说人话Passkey就是只要扫个脸或者指纹,就能登陆网站,再也不用输入密码,而且比密码安全几百倍的技术

它的问题是技术还比较新处于推广阶段,并不是所有的网站都启用了,但是如果你发现一个网站开启了通行秘钥,那它的安全性可以大大的点个赞。非常幸运的是,Google、BN都支持通行秘钥,而1Password可以当做通行秘钥的管理器。我建议你一定要开!不管是为了它的安全性,还是德芙一般丝滑的体验,无脑冲就对了!

以下是BN账号创建通行秘钥的流程:

图片

图片

图片

创建通行秘钥以后,以后登陆和转账的时候就再也不用输入密码了,App会检测到通行秘钥的存在,然后弹出1Password,你只需要FaceID或者指纹通过即可。通行秘钥在桌面浏览器中也同样可以使用,输入邮箱以后登陆的时候,浏览器会自动弹出:

图片

这时候只要点一下 Sign in即可,全程一个字都不用敲,纵享丝滑。

08

防钓鱼码

盗号的最常见套路就是钓鱼邮件,当你不小心点进目标网站的时候,对方就能趁机偷走你的浏览器cookie从而获取你账号的控制权。防钓鱼码就是一串你自己设置的字符串,当你设置好以后交易所发来的任何邮件都会带上这个字符串,没有的都是钓鱼链接。建议你把看邮件第一时间去找防钓鱼码训练成肌肉记忆

图片

我在BN手机App上没找到设置的地方,浏览器设置里是有的。然后任何账户变动发来的邮件都会带码:

图片

09

物理秘钥 yubikey

正常人如果把前面的安全措施都做到位,基本任何账号都已经像铁桶一样滴水不漏,被盗风险和火星撞地球差不多。但是如果你像我一样变态,还可以试试物理秘钥yubikey。它的原理和U盾、冷钱包差不多,就是用一块硬件芯片来完成签名和验证身份的过程,盗号的人除非能物理拿到你的秘钥,没有任何可能盗走你的账号,所以网上盗号的风险基本没有了。

如果你要我安利Yubikey的原因,那就是交易所的风控模型会拦截大额转账并使用人工审核,如果检查到你的账户挂了yubikey,基本就立刻放行。

图片

1Password、Google、BN、Coinbase都支持yubikey,而且我都绑上了

10

访问冗余

任何安全手段,拦住黑客,也可能拦住你自己。所以要随时思考访问的冗余性,手机丢了怎么办?所以我的建议是买一个便宜手机,在这个手机上登陆好刚才提到的所有关键性服务以及交易所App,将它列为可信设备,然后这个手机放家里,不带到任何地方去。任何时候手机掉了,这个手机都可以随时恢复你对服务的访问,不管你是想提币还是锁账号都来去自由。

同理,如果你硬要上yubikey,记得买2个;1Password的紧急恢复包,打印两份。

11

实盘远程服务器安全

首先,所有API key绝对不能打开提币,不作死就不会死。

其次,所有API key一定要绑定IP。因为即便不能提币,API key泄露也是可以通过对敲取走你账户里的钱的:亲身经历 - OKEX账户被盗事件(API泄露)经历分享。所以绑定IP即使API key不小心泄露,那么黑客也一定要黑进你的远程服务器才能对账号进行操作,增加作案难度。

最后,远程机器一定要避免明文密码登陆,否则容易被爆破密码。其实和用通行秘钥替换密码的思路一样,远程服务器全部使用ssh私钥登陆。

如果你是变态,可以设置堡垒机......不过作为普通人,阿祖你还是收手吧。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/461690.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【STM32】SD卡

(一)常用卡的认识 在学习这个内容之前,作为生活小白的我对于SD卡、TF卡、SIM卡毫无了解,晕头转向。 SD卡:Secure Digital Card的英文缩写,直译就是“安全数字卡”。一般用于大一些的电子设备比如:电脑、数码相机、AV…

11月第一篇新作,十一月对我好一点:C++之继承(2)

C之继承(2) 虚继承 很多⼈说C语法复杂,其实多继承就是⼀个体现。有了多继承,就存在菱形继承,有了菱形继承就有 菱形虚拟继承,底层实现就很复杂,性能也会有⼀些损失,所以最好不要设计…

tiktok批量添加达人怎么弄

在 TikTok 上批量添加达人可以借助一些工具或方法,以下是一些常见的途径: 点我达秘免费体验地址注册 使用达人邀约工具: 功能特点:这类工具专为 TikTok 跨境小店和本土小店提供服务,可以实现多国家、多店铺同时私信和…

重塑重工起重行业未来:网关与云平台携手共创价值新篇章

在重工起重这一传统而关键的工业领域中,技术的每一次革新都意味着生产效率与安全标准的飞跃。随着物联网、大数据、云计算等先进技术的不断渗透,重工起重行业正迎来一场前所未有的智能化变革。其中,网关与云平台的深度融合,正成为…

NPOI 操作详解(操作Excel)

目录 1. 安装 NPOI 2. 使用 NPOI 创建新 Excel 文件 3. 设置列宽和行高 1. 设置列宽 2. 设置行高 3. 同时设置列宽和行高 4. 设置统一的行高 5. 设置统一的列宽 6. 应用统一的行高和列宽 4. 合并单元格 5. 设置单元格样式(字体、边框、背景色等&#xf…

CMS getshell

进入前台 漏洞为前台任意用户密码修改和前台用户文件上传然后getshell 1. 弱口令进入前台用户admin123/admin123 2. 进入会员用户后点击内容中心 点击发布文章 存在文件上传,发现后缀和MIME类型都是白名单 但是在原文件的基础上继续添加随意后缀,发现成功…

教你用python实现自动化文本识别

目录 步骤1:安装依赖 安装Tesseract 安装pytesseract和Pillow(用于图像处理) 扩展功能 实现自动化文本识别(Optical Character Recognition, OCR)通常使用Python的OCR库,例如Tesseract。Tesseract是一个…

逻辑磁盘管理 附实验:逻辑卷的组成与划分

分区类型: 1、系统引导分区 就是存放系统的引导文件和Linux的内核文件 2、swap分区 交换分区,系统的物理内存不足时,从一些长时间未运行的程序当中释放一部分内存释放出来的保存到swap分区,这些未运行的程序一旦运行还要从swap空…

讲讲 kafka 维护消费状态跟踪的方法?

大家好,我是锋哥。今天分享关于【讲讲 kafka 维护消费状态跟踪的方法?】面试题?希望对大家有帮助; 讲讲 kafka 维护消费状态跟踪的方法? 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 在 Kafka 中&#x…

Flutter-Engine 的定制实践:Text 绘制流程浅析及自定义underline的间距

前言 最近工作中处理的文本相关的内容较多,不论是刁钻的需求还是复杂的问题,最终都会引向一点“Flutter中的文本是如何绘制的?”。 这里我将以“调整下划线与文字的间距”为切入点并结合自定义Engine,记录一下我的个人分析和实践…

[A-14]ARMv8/ARMv9-Memory-内存模型的类型(Device Normal)

ver0.1 [看前序文章有惊喜。] 前言 前面花了很大的精力把ARM构建的VMSA中的几个核心的议题给大家做了介绍,相信大家已经能够理解并掌握ARM的内存子系统的工作原理大致框架。接下来我们会规划一些文章,对ARM内存子系统的一些细节做一下介绍,使ARM的内存子系统更加的丰满。本…

可编辑31页PPT | 智慧业务中台规划建设与应用总体方案

荐言分享:随着数字化转型的深入,企业面临着前所未有的挑战与机遇。为了高效整合内外部资源,快速响应市场变化,提升业务创新能力,智慧业务中台应运而生。智慧业务中台作为企业数字化转型的核心基础设施,旨在…

深入理解Docker,从入门到精通-Part1(基础使用)

一、Docker基本概念 Docker架构 基本组件的介绍 Docker Client 是用户界面,它支持用户与Docker Daemon之间通信 Docker Daemon Docker最核心的后台进程,运行于主机上,处理服务请求 Docker registry是中央registry,支持拥有公有与…

在macOS的多任务处理环境中,如何平衡应用的性能与用户体验?这是否是一个复杂的优化问题?如何优化用户体验|多任务处理|用户体验|应用设计

目录 一 多任务处理与应用性能 1. macOS中的多任务处理机制 2. 性能优化的基本策略 二 用户体验的关键要素 1. 响应速度 2. 界面友好性 3. 功能的直观性 三 平衡性能与用户体验的策略 1. 资源管理 2. 优化数据加载 3. 使用合适的线程模型 4. 实时监测和调整 四 使…

lvm逻辑卷管理

分区类型: 主分区扩展分区逻辑分区系统引导分区:存放系统的引导文件和linux的内核文件swap分区:交换分区,系统的物理内存不足时,从一些长时间未运行的程序当中释放一部分内存,释放出来的内存保存到swap分区…

openai api 文件分析/联网/画图代码示例

目的 使用https://4o.zhangsan.shop的API进行文件分析等功能。 完整代码 # pip install openai0.28 # 注意下方代码必须使用该版本 import openaidef query_gpt4(question):openai.api_key "sk-aQR1wbTsLpySgJDq3fFb026c225a44C8924750C1B67bCeD5"openai.api_ba…

Android编译环境构建(二)(可用于物理机、虚拟机、容器化Jenkins环境)

文章目录 需求环境要求文件下载Gradle Version:7.5cmdline-tools至此普通物理环境的Android编译环境已部署完毕 部署maven(可选)Jenkins配置Android构建环境 说明: 物理环境:物理机、虚拟机等 容器化环境:docker等 需求 Gradle Version:7.5 …

WPF+MVVM案例实战(十)- 水波纹按钮实现与控件封装

文章目录 1、运行效果1、封装用户控件1、创建文件2、依赖属性实现2、使用封装的按钮控件1.主界面引用2.按钮属性设置3 总结1、运行效果 1、封装用户控件 1、创建文件 打开 Wpf_Examples 项目,在 UserControlLib 用户控件库中创建按钮文件 WaterRipplesButton.xaml ,修改 Us…

Spring Boot解决 406 错误之返回对象缺少Getter/Setter方法引发的问题

目录 前言1. 问题背景2. 问题分析2.1 检查返回对象 3. 解决方案3.1 确保Controller返回Result类型3.2 测试接口响应 4. 原理探讨5. 常见问题排查与优化建议结语 前言 在Spring Boot开发中,接口请求返回数据是系统交互的重要环节,尤其在开发RESTful风格的…

FineReport 单元格的特殊应用场景

1、实现鼠标点击的行变色 创建报表 1.1、鼠标点击某行时该行高亮显示 JavaScript 代码如下: _g().addEffect(highlightRow, {color: red,trigger: mousedown, });结果 1.2、鼠标悬浮某行时该行变色,离开时恢复 其他一样,就改代码 JavaScr…