本文来源于量化小论坛策略分享会板块精华帖,作者为菊座,发布于2024年3月4日。
以下为精华帖正文:
01
背景
起因是这两周保4赚麻了,看到中性群里大佬们的曲线,大家都想加大仓位,于是我在群里提醒了下大家资金量大了以后的账户风险。
然后聊着聊着这个话题就有点收不住了,大家都让我把分享的内容整理个帖子。
02
目标声明
我的大部分资金都放在BN和Coinbase交易所账号里,所以这篇帖子的全部内容都是围绕着如何加强交易所账号的安全性来展开。
我谈的很多点对于其他传统web2服务安全一样适用,比如你的邮箱账号,电商账号,社交网络账号等等,但是如果你的资金放在交易所外面的热钱包或者冷钱包里,那接下来聊的事情与你无瓜。
03
密码安全
有多少人是一个密码注册遍所有网站?这样做的问题很明显,只要有一个草台班子网站密码泄露了,你所有网站的密码都gg了,所以密码安全的第一个要点就是:每个网站的密码都不一样,一个网站密码被泄露,对任何其他网站都没影响。
那这样你就不可能用脑子来记忆密码了,需要用到密码管理器。密码管理器就是用来储存你所有网站的密码的App,很多手机厂商都自带,比如苹果的iCloud keychain。密码管理器的使用方式一般都有一个主密码,输入主密码才能读取储存的其他密码,你只要记住一个主密码,而且只在密码管理器里输入这个密码。然后密码管理器一般也是云端备份的,以免你手机掉了密码就全没了。所以密码管理器相当于山海关之于明王朝,一旦陷落则千里平原无险可守,安全性极其重要。我没有其他建议,只推荐1Password。
第一个原因是它跨平台。Windows,Mac、iOS,Android电脑手机全部可用,避免你手机用苹果的密码管理,然后电脑用Windows密码迁移不过去的问题。
第二个更重要的原因是因为密码管理器在云端备份你的密码。你怕不怕他们的公司程序员私自偷看或者被黑客偷看?1Password的工作方式是有一个本地秘钥secret key,1p服务器上存储的都是你在本地把密码用secret key加密后发送过去的数据,不管是他们的工作人员还是黑客,拿到服务器储存的数据都没有卵用,只有你能解密你自己的数据。所以当你第一次注册好以后,1p会给你一个pdf叫紧急恢复包:
上面记录着你的secret key,你只要打印出来然后你手写下你设置的主密码就行了,任何时候你都可以通过这张纸访问到服务器上的密码。当然如果这张纸你丢了......阿弥陀佛上帝保佑。
1Password是付费App,一个月3刀,你问我值不值?我是十年老用户......
然后是密码的设置问题,即便用了1p,如果你每个网站设置个6位密码,那还不如直接空密码,方便自己也方便黑客......下表是黑客暴力破解你的密码需要的时间和你密码复杂度的关系:
所以密码安全的第二个要点是:无论任何网站,统一16位大小写字母+数字+符号:到宇宙毁灭都不可能暴力破解,1p贴心的帮你一键随机生成。
04
手机SIM卡安全
手机和邮箱是两大账户ID,先聊聊手机安全。密码忘记了可以用手机验证码找回,所以手机号的安全性甚至比密码安全性更重要。B圈强大如V神,也曾经被SIM卡交换攻击导致twitter账号被黑。
V神事件是由于黑客社工了T-mobile的客服,利用V神的各种公开信息挂失并获取了他的SIM卡,中国国情里任何SIM卡挂失都需要拿着身份证到营业大厅办理,社工手机运营商拿到手机卡的几率为0。如果物理拿到了你的SIM卡,通过特殊的设备是有可能复制这张卡的。
所以手机卡安全的要点就是:随时保持你物理持有这张卡。
如果你的手机卡是多年没换过SIM卡的(比如大学入学半的一直用到工作后),赶紧去营业厅换一张最新的SIM卡。
如果手机掉了连带SIM卡丢失,不要犹豫马上去营业厅挂失SIM卡并重新拿卡。任何时候手机如果无原因异常没有信号,也同样操作。安卓我不知道,但是iPhone即便SIM卡失效只要打开Find My 服务依然可以定位我的手机。即便手机找不回了又怎样,不要因为手机号丢失造成连带的银行账户、支付账户的无限失窃风险。
如果网站是允许账户上添加多个手机号的,比如Google、Coinbase、花旗等国外大银行的网上银行。为了保险建议搞两个手机号,然后把两个手机都添加进网站的验证手机里。平时两张卡不要装在同一个手机里,一个丢了可以随时使用另外一个重新获取账号的访问权限,以便应对任何突发风险。比如我就有两个美国手机号,一个实体号码Ultra Mobile,一个虚拟号码Google Voice,都可以随时随地的收到验证短信。
05
邮箱安全
国内可能很多人都用QQ邮箱,但是如果你想长期玩b,我强烈建议逐渐切换到Google邮箱。你可以比较一下两个邮箱的安全设置,这是QQ邮箱:
这是Gmail:
跟Google铜墙铁壁一样的安全设置层数,对比下来你就知道QQ邮箱的安全系数有多么随缘,我反正是不敢把这么多账号的基础建立在QQ邮箱上的,更不用说放了这么多钱的交易所了。
即便不用Google,我也建议你使用国外邮箱,原因你懂的。
Google邮箱的安全验证我默认全部拉满:
密码按之前说的16位大小写字母数字符号标准。
设置二次验证Google Authenticator (马上细说)。
设置通行秘钥Passkey (马上细说)。
设置安全手机(多个)。
手机上装Google App,打开Google prompt验证。
打印Backup codes,和之前说的1Password secret key放一起。
设置硬件yubikey,强迫症可以有,正常人没必要 (后面细说)。
06
两步验证
两步验证是一种类似于短信验证码的安全机制,比起手机来讲,它最大的优点是可以离线使用,即便你出国手机没了信号,两步验证也是同样可用的。
我有一个强迫症,那就是任何网站看到有两步验证设置我都会去设置,我建议你们跟我一样,不要为了用的时候图一点点方便而偷懒不去设置牺牲账号的安全性。
两步验证器app很多,但要考虑一个问题是如果都保存在手机app里,手机掉了那咋办,所以一定要选择支持云端备份的。我了解的有几款验证器支持:
谷歌身份验证器 Google Authenticator:
微软身份验证器 Microsoft Authenticator:
1Password
我建议你无脑Google Authenticator。
有老板说他一直用1Password管理两步验证,1个App密码和两步验证全都搞定了很方便。我个人的建议是尽量把他们分开。1Password只管理密码,Google Authenticator只管理两步验证,鸡蛋不要放在同一个篮子里。这样黑客要偷走你账号的几率是同时攻破两个服务,几乎不可能。虽然麻烦了一点,但是安全和便捷永远无法同时满足,我们要做的是在天平的两端做好取舍。
你如果有精神病,可以邮箱用Google,密码用1Password,两步验证用微软......最大程度满足自虐的需求。
07
通行秘钥Passkey
通行秘钥是苹果、微软、Google联合发起的一项技术,目的是为了解决传统的密码容易被盗以及难于记忆等安全和用户体验问题。通行秘钥和你手机上的人脸识别Face ID和指纹识别结合,只有你本人能发送Passkey给目标网站,而且之间没有明文的密码传输,基于非对称加密,服务器只储存用户公钥,不存在服务器失窃导致密码失窃问题。
说人话Passkey就是只要扫个脸或者指纹,就能登陆网站,再也不用输入密码,而且比密码安全几百倍的技术。
它的问题是技术还比较新处于推广阶段,并不是所有的网站都启用了,但是如果你发现一个网站开启了通行秘钥,那它的安全性可以大大的点个赞。非常幸运的是,Google、BN都支持通行秘钥,而1Password可以当做通行秘钥的管理器。我建议你一定要开!不管是为了它的安全性,还是德芙一般丝滑的体验,无脑冲就对了!
以下是BN账号创建通行秘钥的流程:
创建通行秘钥以后,以后登陆和转账的时候就再也不用输入密码了,App会检测到通行秘钥的存在,然后弹出1Password,你只需要FaceID或者指纹通过即可。通行秘钥在桌面浏览器中也同样可以使用,输入邮箱以后登陆的时候,浏览器会自动弹出:
这时候只要点一下 Sign in即可,全程一个字都不用敲,纵享丝滑。
08
防钓鱼码
盗号的最常见套路就是钓鱼邮件,当你不小心点进目标网站的时候,对方就能趁机偷走你的浏览器cookie从而获取你账号的控制权。防钓鱼码就是一串你自己设置的字符串,当你设置好以后交易所发来的任何邮件都会带上这个字符串,没有的都是钓鱼链接。建议你把看邮件第一时间去找防钓鱼码训练成肌肉记忆。
我在BN手机App上没找到设置的地方,浏览器设置里是有的。然后任何账户变动发来的邮件都会带码:
09
物理秘钥 yubikey
正常人如果把前面的安全措施都做到位,基本任何账号都已经像铁桶一样滴水不漏,被盗风险和火星撞地球差不多。但是如果你像我一样变态,还可以试试物理秘钥yubikey。它的原理和U盾、冷钱包差不多,就是用一块硬件芯片来完成签名和验证身份的过程,盗号的人除非能物理拿到你的秘钥,没有任何可能盗走你的账号,所以网上盗号的风险基本没有了。
如果你要我安利Yubikey的原因,那就是交易所的风控模型会拦截大额转账并使用人工审核,如果检查到你的账户挂了yubikey,基本就立刻放行。
1Password、Google、BN、Coinbase都支持yubikey,而且我都绑上了
10
访问冗余
任何安全手段,拦住黑客,也可能拦住你自己。所以要随时思考访问的冗余性,手机丢了怎么办?所以我的建议是买一个便宜手机,在这个手机上登陆好刚才提到的所有关键性服务以及交易所App,将它列为可信设备,然后这个手机放家里,不带到任何地方去。任何时候手机掉了,这个手机都可以随时恢复你对服务的访问,不管你是想提币还是锁账号都来去自由。
同理,如果你硬要上yubikey,记得买2个;1Password的紧急恢复包,打印两份。
11
实盘远程服务器安全
首先,所有API key绝对不能打开提币,不作死就不会死。
其次,所有API key一定要绑定IP。因为即便不能提币,API key泄露也是可以通过对敲取走你账户里的钱的:亲身经历 - OKEX账户被盗事件(API泄露)经历分享。所以绑定IP即使API key不小心泄露,那么黑客也一定要黑进你的远程服务器才能对账号进行操作,增加作案难度。
最后,远程机器一定要避免明文密码登陆,否则容易被爆破密码。其实和用通行秘钥替换密码的思路一样,远程服务器全部使用ssh私钥登陆。
如果你是变态,可以设置堡垒机......不过作为普通人,阿祖你还是收手吧。