بهترین راهکارها برای افزایش امنیت کیف پول سخت‌افزاری؛ از تنظیمات اولیه تا راهکارهای پیشرفته

در این مقاله از کیف پول من، یک نقشه راه جامع و ساختار یافته برای مسدود کردن تمام رخنه‌های نفوذ و افزایش امنیت کیف پول سخت‌افزاری تدوین کرده‌ایم. از اصول اولیه اعتبارسنجی دستگاه در زمان خرید و مدیریت صحیح پین‌کد (PIN Code) گرفته تا راه‌اندازی لایه‌های دفاعی پیشرفته‌ای مانند فعال‌سازی کلمه عبور بیست و پنجم (Passphrase) و پیاده‌سازی ساختار چند امضایی (Multi-Sig)؛ تمامی گام‌های حیاتی را بررسی خواهیم کرد. با اجرای دستورالعمل‌ها و چک‌لیست‌های کاربردی این راهنما، تسلط و محافظت از دارایی‌های دیجیتال خود را به بالاترین استانداردهای امنیتی بازار ارتقا خواهید داد.

مبانی و معماری امنیت در کیف پول‌های سخت‌افزاری

پیش از آنکه به سراغ تنظیمات و راهکارهای پیشرفته برویم، لازم است درک درستی از پایه‌ی امنیت در دنیای رمزارزها داشته باشیم. برخلاف پول فیزیکی که در بانک نگهداری می‌شود، دارایی دیجیتال شما روی شبکه بلاکچین (Blockchain: یک دفتر کل توزیع‌شده و شفاف که اطلاعات تراکنش‌ها را ثبت می‌کند) قرار دارد.

بعد از خرید ارز دیجیتال ، برای مدیریت این دارایی ها، شما به یک کلید امن نیاز دارید و معماری کیف پول‌های سخت‌افزاری دقیقا برای محافظت از همین کلید طراحی شده است. در این بخش پایه‌ای، بررسی می‌کنیم که این دستگاه‌ها چگونه کار می‌کنند و چرا به عنوان امن‌ترین پناهگاه برای ارزهای شما شناخته می‌شوند.

کیف پول سخت‌افزاری چیست و مکانیزم حفاظت از دارایی‌ها در آن چگونه است؟

تصور کنید دارایی دیجیتال شما درون یک گاوصندوق شیشه‌ای در اینترنت قرار دارد که همه می‌توانند آن را ببینند، اما تنها کسی می‌تواند در این گاوصندوق را باز کند که کلید اصلی آن را داشته باشد. در دنیای رمزارزها، این کلید اصلی همان پرایوت کی (Private Key: رمز عبور محرمانه و بسیار مهمی که مالکیت شما بر ارزها را ثابت می‌کند و اجازه برداشت می‌دهد) است. کیف پول سخت‌افزاری یک دستگاه فیزیکی کوچک، شبیه به یک فلش مموری است که وظیفه‌ی اصلی آن نگهداری از این کلیدهای خصوصی در محیطی کاملا آفلاین (Offline: بدون اتصال به اینترنت و شبکه‌های خارجی) است.

زمانی که شما از کیف پول‌های نرم‌افزاری روی گوشی موبایل یا لپ‌تاپ خود استفاده می‌کنید، کلیدهای خصوصی شما روی دستگاهی ذخیره می‌شوند که دائما به اینترنت متصل است. این اتصال مداوم، راه را برای ورود هکرها و بدافزارها باز می‌گذارد. اما مکانیزم حفاظت در کیف پول سخت‌افزاری کاملا متفاوت است و بر اساس چند لایه‌ی امنیتی قوی کار می‌کند:

• ایزوله بودن از اینترنت: مهم‌ترین ویژگی این دستگاه‌ها این است که کلیدهای خصوصی شما هرگز از دستگاه خارج نمی‌شوند و به اینترنت یا حتی رایانه‌ی شما راه پیدا نمی‌کنند.
• تراشه امنیتی هوشمند: در دل این دستگاه‌ها قطعه‌ای به نام سکیور المنت (Secure Element: یک تراشه‌ی فیزیکی پیشرفته و مقاوم که در سیستم‌های بانکی و پاسپورت‌ها نیز استفاده می‌شود) قرار دارد که در برابر حملات فیزیکی و نرم‌افزاری مقاومت بسیار بالایی دارد.
• تایید فیزیکی تراکنش‌ها: حتی اگر کسی بتواند رایانه‌ی شخصی شما را به طور کامل هک کند، باز هم برای انتقال ارزها و تایید نهایی تراکنش، به فشردن دکمه‌های فیزیکی روی خود دستگاه کیف پول نیاز دارد. هکرها از راه دور نمی‌توانند این دکمه‌ها را فشار دهند.

بررسی یک دغدغه اساسی: آیا کیف پول‌های سخت‌افزاری واقعا غیرقابل هک هستند؟

پاسخ کوتاه به این سوال این است: هیچ سیستمی در دنیای تکنولوژی صد درصد غیرقابل نفوذ نیست، اما کیف پول‌های سخت‌افزاری نزدیک‌ترین چیز به امنیت مطلق برای سرمایه‌ی شما هستند. برای درک بهتر این موضوع، باید بین هک شدن خود دستگاه و هک شدن کاربر تفاوت قائل شویم.

هک کردن مستقیم یک کیف پول سخت‌افزاری از راه دور و از طریق اینترنت تقریبا غیر ممکن است. به دلیل همان محیط آفلاین و تراشه‌های امنیتی قدرتمندی که بررسی کردیم، یک هکر در آن سوی دنیا نمی‌تواند به سادگی هک کردن یک سایت اینترنتی، به دستگاه شما نفوذ کند. با این حال، راه‌های معدودی برای نفوذ وجود دارد که بیشتر آن‌ها به خطای انسانی یا دسترسی فیزیکی مستقیم برمی‌گردد.

بنابراین، خود دستگاه مانند یک قلعه‌ی نفوذناپذیر است، اما اگر شما به عنوان نگهبان این قلعه، دروازه را به روی سارقان باز کنید یا نقشه‌ی گنج خود را در اختیارشان بگذارید، محکم‌ترین دیوارهای جهان هم نمی‌توانند از سرمایه‌ی شما محافظت کنند. امنیت نهایی به رفتار و آگاهی شما بستگی دارد.

شناسایی رایج‌ترین تهدیدات و روش‌های نفوذ

برای محافظت از یک قلعه، ابتدا باید بدانید دشمنان از چه راه‌هایی ممکن است نفوذ کنند. در دنیای رمزارزها، سارقان به ندرت تلاش می‌کنند تا دیوارهای بتنی و رمزنگاری‌شده‌ی کیف پول شما را بشکنند؛ در عوض، آن‌ها به دنبال پنجره‌های باز و اشتباهات کوچک می‌گردند. در این بخش، مهم‌ترین و شایع‌ترین روش‌های سرقت دارایی‌های دیجیتال را بررسی می‌کنیم تا با شناخت آن‌ها، یک قدم از کلاهبرداران جلوتر باشید و امنیت سرمایه‌ی خود را تضمین کنید.

کلاهبرداری‌های فیشینگ (Phishing) و مهندسی اجتماعی علیه کاربران

تصور کنید فردی با لباس فرم یک بانک معتبر به در خانه‌ی شما بیاید و بگوید برای حفظ امنیت حسابتان، باید رمز کارت خود را به او بدهید. شما قطعا به او شک می‌کنید و اطلاعات خود را در اختیارش نمی‌گذارید. فیشینگ (Phishing: روشی فریبکارانه که در آن مجرمان با جعل هویت شرکت‌های معتبر، شما را به وب‌سایت‌های تقلبی می‌کشانند تا اطلاعات حساستان را سرقت کنند) دقیقا همین کار را در فضای اینترنت انجام می‌دهد.

هکرها با استفاده از تکنیک‌های مهندسی اجتماعی (Social Engineering: سوءاستفاده از احساسات و روان‌شناسی افراد برای فریب دادن آن‌ها و دسترسی به اطلاعات محرمانه) شما را در شرایط ترس یا طمع قرار می‌دهند. برای مثال، ممکن است ایمیل یا پیامی دریافت کنید که هشدار می‌دهد کیف پول سخت‌افزاری شما در خطر هک شدن است و باید فورا از طریق یک لینک، حساب خود را تایید کنید.

به محض وارد کردن اطلاعات در آن لینک جعلی، سارقان به تمامی دارایی‌های شما دسترسی پیدا می‌کنند. به عنوان یک قاعده‌ی طلایی به یاد داشته باشید که پشتیبانی هیچ شرکت سازنده‌ای، هرگز از شما درخواست نمی‌کند تا کلمات امنیتی خود را در سایتی وارد کنید.

ریسک استفاده از دستگاه‌های دستکاری‌شده و تقلبی

یکی دیگر از تهدیدات بسیار خطرناک، خرید دستگاه از منابع نامعتبر و غیر رسمی است. وقتی یک کیف پول ارز دیجیتال سخت‌افزاری را از شخص ناشناس، فروشگاه‌های نامعتبر یا به صورت دست‌دوم می‌خرید، این احتمال وجود دارد که دستگاه پیش از رسیدن به دست شما دستکاری فیزیکی یا نرم‌افزاری شده باشد.

گاهی اوقات کلاهبرداران یک دستگاه نو را باز می‌کنند، یک عبارت بازیابی (Seed Phrase: مجموعه‌ای از ۱۲ تا ۲۴ کلمه‌ی انگلیسی که به عنوان رمز عبور نهایی و کلید اصلی تمام دارایی‌های شما عمل می‌کند) را از پیش روی یک کارت می‌نویسند و درون جعبه قرار می‌دهند. کاربر تازه‌کار با این تصور که این کلمات از طرف کارخانه‌ی سازنده به صورت پیش‌فرض تعیین شده‌اند، ارزهای خود را به آن کیف پول واریز می‌کند. غافل از اینکه کلاهبردار نسخه‌ای از همان کلمات را در اختیار دارد و به راحتی می‌تواند تمام موجودی را خالی کند. بنابراین، اصالت فیزیکی دستگاه و آکبند بودن بسته‌بندی آن اهمیت حیاتی دارد.

خطاهای انسانی: بزرگ‌ترین عامل از دست رفتن دارایی‌های دیجیتال

آمارها نشان می‌دهند که بزرگ‌ترین تهدید برای سرمایه‌ی شما، هکرهای حرفه‌ای نیستند، بلکه اشتباهات ساده‌ی انسانی هستند. کیف پول سخت‌افزاری می‌تواند در برابر پیشرفته‌ترین ویروس‌های کامپیوتری مقاومت کند، اما نمی‌تواند جلوی بی‌احتیاطی کاربر را بگیرد. این اشتباهات معمولا به دلیل عدم آگاهی از اصول اولیه‌ی امنیت رخ می‌دهند. برخی از رایج‌ترین خطاهای انسانی که منجر به از دست رفتن همیشگی ارزها می‌شوند عبارتند از:

• گرفتن عکس از کلمات امنیتی: ذخیره‌ی تصویر کلمات در گالری گوشی موبایل یا فضای ابری (Cloud Storage: فضاهای ذخیره‌سازی آنلاین مانند سرویس‌های گوگل که فایل‌ها را روی سرورهای متصل به اینترنت نگه می‌دارند)، ماهیت آفلاین بودن کیف پول شما را کاملا از بین می‌برد و راه را برای نفوذ هکرها باز می‌کند.
• بی‌دقتی در تایید آدرس گیرنده: بدافزارها می‌توانند آدرس گیرنده را در صفحه‌ی مانیتور کامپیوتر شما تغییر دهند. اگر پیش از تایید نهایی تراکنش، آدرس را با دقت روی صفحه‌ی کوچک خود دستگاه کیف پول چک نکنید، ممکن است دارایی خود را با دست خودتان به حساب سارقان واریز کنید.
• نگهداری نامناسب از کلمات بکاپ: نگهداری نامطمئن از کاغذ یا قطعه‌ی فلزی که کلمات بازیابی روی آن نوشته شده‌اند و گم شدن آن‌ها، به معنای قفل شدن همیشگی شما در پشت درهای گاوصندوق دیجیتالیتان است. در صورت خرابی دستگاه، بدون این کلمات هیچ راهی برای دسترسی مجدد به دارایی‌ها وجود ندارد.

گام‌های اساسی برای افزایش امنیت کیف پول سخت‌افزاری

حالا که با خطرات و روش‌های نفوذ سارقان آشنا شدیم، وقت آن است که آستین‌ها را بالا بزنیم و سپر دفاعی خود را تقویت کنیم. امنیت یک مقصد نیست، بلکه مسیری است که با رعایت مجموعه‌ای از اقدامات پیشگیرانه ساخته می‌شود. در این بخش، قدم به قدم با مهم‌ترین اقداماتی که برای ایمن‌سازی کیف پول سخت‌افزاری خود نیاز دارید، همراه می‌شویم. این گام‌ها مانند قفل‌های محکمی هستند که روی در گاوصندوق دیجیتال خود نصب می‌کنید.

اعتبارسنجی و خرید امن: چگونه اصالت کیف پول را بررسی کنیم؟

اولین و مهم‌ترین قدم برای تامین امنیت، از همان لحظه‌ی خرید آغاز می‌شود. خرید یک کیف پول اورجینال، پایه‌ی اصلی محافظت از سرمایه‌ی شماست. برای اطمینان از اصالت دستگاه، همیشه سعی کنید خرید خود را مستقیما از وب‌سایت رسمی شرکت سازنده یا نمایندگی‌های فروش بسیار معتبر انجام دهید.

پس از دریافت دستگاه، بسته‌بندی آن را با دقت بررسی کنید. بسیاری از شرکت‌ها از هولوگرام (Hologram: برچسب‌های امنیتی و سه‌بعدی که برای جلوگیری از تقلب روی جعبه یا خود دستگاه نصب می‌شوند) استفاده می‌کنند. اگر جعبه مخدوش بود یا برچسب‌ها پاره شده بودند، به هیچ وجه از دستگاه استفاده نکنید. همچنین، زمانی که برای اولین بار کیف پول خود را به برنامه‌ی رسمی آن متصل می‌کنید، خود برنامه اصالت قطعات سخت‌افزاری و نرم‌افزار دستگاه را بررسی می‌کند تا مطمئن شود دستگاه شما دستکاری نشده است.

چرا تحت هیچ شرایطی نباید از کیف پول دست دوم استفاده کرد؟

شاید خرید یک دستگاه دست دوم از نظر اقتصادی جذاب به نظر برسد، اما در دنیای رمزارزها، این کار شبیه به خرید یک گاوصندوق است که فروشنده یک کپی از کلید آن را برای خودش نگه داشته است.

هنگامی که شما یک کیف پول دست دوم می‌خرید، هیچ راه قطعی برای اطمینان از سلامت داخلی آن وجود ندارد. ممکن است فروشنده‌ی قبلی، بدافزار (Malware: برنامه‌های مخربی که برای سرقت اطلاعات یا آسیب رساندن به سیستم طراحی شده‌اند) روی آن نصب کرده باشد یا کلمات امنیتی آن را از قبل یادداشت کرده باشد. در این صورت، به محض اینکه شما ارزهای خود را به این کیف پول منتقل کنید، سارق می‌تواند از راه دور تمام موجودی شما را خالی کند. بنابراین، برای حفظ امنیت سرمایه‌ی خود، هرگز به سراغ دستگاه‌های دست دوم و استفاده شده نروید.

انتخاب پین‌کد (PIN Code) قوی و غیرقابل پیش‌بینی برای دستگاه

پین‌کد (PIN Code: رمز عبور عددی که برای باز کردن قفل دستگاه استفاده می‌شود) اولین خط دفاعی شما در برابر افرادی است که به صورت فیزیکی به کیف پولتان دسترسی پیدا می‌کنند. انتخاب یک پین‌کد قوی، دقیقا مانند انتخاب یک قفل محکم برای در ورودی خانه‌ی شماست.

از انتخاب رمزهای ساده و قابل حدس مانند تاریخ تولد، سالگرد ازدواج، یا ترکیب‌های متوالی مثل 1234 و 0000 جدا خودداری کنید. یک پین‌کد امن باید کاملا تصادفی و غیرقابل پیش‌بینی باشد. اکثر کیف پول‌های سخت‌افزاری به شما اجازه می‌دهند تا هشت رقم پین‌کد انتخاب کنید؛ سعی کنید از حداکثر ظرفیت ممکن استفاده کنید تا حدس زدن آن برای افراد غریبه و حتی آشنایان غیرممکن شود. اگر کسی چند بار پین‌کد را اشتباه وارد کند، دستگاه به صورت خودکار اطلاعات را پاک می‌کند تا دسترسی سارقان را مسدود کند.

استفاده از سیستم‌های شخصی و امن برای اتصال کیف پول

کیف پول سخت‌افزاری شما مانند یک گاوصندوق سیار است، اما محلی که این گاوصندوق را باز می‌کنید نیز به همان اندازه مهم است. وصل کردن دستگاه به رایانه‌های عمومی در کافی‌نت‌ها، کتابخانه‌ها یا حتی لپ‌تاپ‌های مشترک در محل کار، یک ریسک امنیتی بسیار بزرگ است.

این سیستم‌های عمومی ممکن است آلوده به کی‌لاگر (Keylogger: برنامه‌های جاسوسی که تمام دکمه‌های فشرده شده روی کیبورد را ثبت و برای هکرها ارسال می‌کنند) یا ویروس‌های خطرناک باشند. برای مدیریت دارایی‌های خود، همیشه از رایانه یا گوشی موبایل شخصی خودتان استفاده کنید و مطمئن شوید که سیستم شما دارای آنتی‌ویروس معتبر و به‌روز است. شبکه‌ی اینترنتی که به آن متصل می‌شوید نیز باید امن و خانگی باشد، نه شبکه‌های وای‌فای عمومی و بدون رمز.

دانلود و به‌روزرسانی نرم‌افزارهای مدیریت ولت تنها از منابع رسمی

برای ارتباط با کیف پول سخت‌افزاری و مدیریت ارزها، شما به یک برنامه‌ی رابط نیاز دارید که روی گوشی یا کامپیوتر نصب می‌شود. دانلود کردن این برنامه از سایت‌های غیررسمی، کانال‌های شبکه‌های اجتماعی یا جستجوی تصادفی در موتورهای جستجو، می‌تواند شما را مستقیما به دام هکرها بیندازد.

کلاهبرداران نسخه‌های تقلبی این برنامه‌ها را می‌سازند که ظاهری کاملا شبیه به برنامه‌ی اصلی دارند. زمانی که شما این برنامه‌ی جعلی را نصب می‌کنید، ممکن است از شما بخواهد کلمات امنیتی خود را وارد کنید و به همین سادگی، تمام اطلاعات شما سرقت می‌شود. برای جلوگیری از این اتفاق، نرم‌افزار مدیریت ولت (Wallet: معادل انگلیسی کیف پول دیجیتال) را فقط و فقط از وب‌سایت اصلی شرکت سازنده دانلود کنید. همچنین، همیشه نرم‌افزار خود را به‌روز نگه دارید تا از جدیدترین لایه‌های امنیتی بهره‌مند شوید.

اصول حیاتی در مدیریت و نگهداری عبارت بازیابی (Seed Phrase)

همان‌طور که پیش‌تر اشاره کردیم، عبارت بازیابی (Seed Phrase: رشته‌ای از ۱۲ تا ۲۴ کلمه‌ی انگلیسی که کلید اصلی و نهایی برای دسترسی به تمام ارزهای شماست) مهم‌ترین دارایی شما در دنیای رمزارز است. کیف پول سخت‌افزاری تنها یک ابزار فیزیکی برای محافظت از این کلمات است. اگر دستگاه شما بشکند، بسوزد یا گم شود، تا زمانی که این کلمات را در اختیار داشته باشید، سرمایه‌ی شما کاملا امن است و می‌توانید آن را روی یک دستگاه جدید بازیابی کنید. اما اگر این کلمات به دست شخص دیگری بیفتد، تمام لایه‌های امنیتی دستگاه بی‌اثر خواهند شد. بنابراین، نگهداری از این کلمات نیازمند رعایت اصول بسیار دقیقی است.

ثبت فیزیکی کلمات: چرا باید فقط از کاغذ یا پلاک‌های فلزی استفاده کنیم؟

اولین و بزرگ‌ترین اشتباهی که یک کاربر تازه‌کار ممکن است انجام دهد، دیجیتالی کردن این کلمات است. عکس گرفتن از کلمات با گوشی موبایل، ذخیره‌ی آن‌ها در برنامه‌های یادداشت‌برداری، یا ارسال آن‌ها به ایمیل شخصی، به معنای تقدیم کردن دو دستی دارایی‌هایتان به هکرها است. هر چیزی که وارد گوشی یا رایانه‌ی شما شود، در معرض خطر بدافزارها و هکرها قرار دارد. بهترین راهکارها برای ثبت این کلمات عبارتند از:

• استفاده از برگه‌ی کاغذی: همیشه کلمات را با خودکار یا ماژیک با کیفیت روی برگه‌هایی که درون جعبه‌ی کیف پول قرار دارند یادداشت کنید و مطمئن شوید که جوهر آن به مرور زمان پاک نمی‌شود.
• استفاده از پلاک‌های فلزی (Metal Backup): تکه‌ی کاغذ در برابر آتش‌سوزی یا آب‌خوردگی بسیار آسیب‌پذیر است. بکاپ‌های فلزی، صفحات کوچکی از جنس فولاد ضد زنگ هستند که می‌توانید کلمات را روی آن‌ها حک کنید تا در برابر شدیدترین حوادث فیزیکی نیز مقاوم بمانند.

تفکیک محل نگهداری: عدم قرارگیری دستگاه و کلمات بازیابی در یک مکان

تصور کنید که کارت بانکی خود را به همراه رمز عبور آن که روی یک تکه‌ی کاغذ نوشته شده است، درون یک کیف پول چرمی قرار داده‌اید. اگر کیف شما به سرقت برود، سارق به راحتی به تمام پول‌هایتان دسترسی خواهد داشت. نگهداری دستگاه سخت‌افزاری و برگه‌ی کلمات بازیابی در یک مکان مشترک (مثلا هر دو درون یک گاوصندوق خانگی یا یک کشو) دقیقا همین قدر خطرناک است.

برای جلوگیری از این خطر، باید از استراتژی تفکیک استفاده کنید. اگر کیف پول سخت‌افزاری را در خانه‌ی خود نگهداری می‌کنید، برگه‌ی کلمات یا پلاک فلزی را در مکان امن دیگری مانند صندوق امانات بانک قرار دهید. با این روش، اگر خانه‌ی شما دچار حادثه شود یا مورد سرقت قرار بگیرد، سارق با پیدا کردن دستگاه، نمی‌تواند به موجودی شما دسترسی پیدا کند؛ زیرا پین‌کد دستگاه را ندارد و کلمات بازیابی نیز فرسنگ‌ها با او فاصله دارند.

ممنوعیت مطلق وارد کردن (Import) عبارت بازیابی در کیف پول‌های نرم‌افزاری یا محیط‌های آنلاین

گاهی اوقات کاربران برای چک کردن سریع موجودی خود یا به دلیل فراموش کردن پین‌کد دستگاه، تصمیم می‌گیرند کلمات بازیابی کیف پول سخت‌افزاری خود را در یک نرم‌افزار موبایلی ایمپورت (Import: وارد کردن کلمات امنیتی در یک نرم‌افزار جدید برای بازیابی و دسترسی به دارایی‌ها) کنند. این کار دقیقا خط قرمزی است که هرگز نباید از آن عبور کنید.

فلسفه‌ی اصلی استفاده از کیف پول سخت‌افزاری، نگه داشتن کلمات در یک محیط کاملا آفلاین است. لحظه‌ای که شما این کلمات را در مرورگر اینترنت یا کیف پول‌های نرم‌افزاری تایپ می‌کنید، ماهیت آفلاین بودن آن‌ها برای همیشه از بین می‌رود. در این حالت، کلمات شما وارد حافظه‌ی دستگاهی شده‌اند که به اینترنت متصل است و هر لحظه ممکن است توسط بدافزارها خوانده شوند. اگر تحت هر شرایطی مجبور شدید کلمات خود را در یک محیط آنلاین وارد کنید، باید فرض کنید که آن کلمات دیگر امن نیستند و باید در اولین فرصت، دارایی‌های خود را به یک کیف پول سخت‌افزاری با کلمات بازیابی کاملا جدید منتقل کنید.

تنظیمات امنیتی پیشرفته برای مدیریت دارایی‌های کلان

اگر سرمایه‌ی قابل‌توجهی را در بازار ارزهای دیجیتال نگهداری می‌کنید، رعایت اصول اولیه‌ی امنیتی به تنهایی کافی نیست. در این مرحله، باید رویکرد خود را از سطح یک گاوصندوق خانگی، به سطح امنیت یک خزانه‌ی بانکی ارتقا دهید. کیف پول‌های سخت‌افزاری امکانات پیشرفته‌ای دارند که حتی در صورت لو رفتن کلمات بازیابی یا بروز اشتباهات فردی، از دارایی شما محافظت می‌کنند. در این بخش، دو مورد از قدرتمندترین راهکارها برای محافظت از سرمایه‌های بزرگ را بررسی می‌کنیم.

ایجاد لایه امنیتی مضاعف با فعال‌سازی کلمه عبور بیست و پنجم (Passphrase)

عبارت بازیابی استاندارد معمولا از 12 یا 24 کلمه تشکیل شده است. اما اگر کسی به هر طریقی به این کلمات دست پیدا کند، تمام دارایی شما را در اختیار خواهد داشت. برای جلوگیری از این فاجعه، قابلیتی به نام پس‌فریز (Passphrase: یک کلمه‌ی عبور دلخواه و اضافی که توسط خود کاربر تعیین می‌شود و به عنوان کلمه‌ی بیست و پنجم به عبارت بازیابی استاندارد اضافه می‌گردد) وجود دارد.

این ویژگی را مانند یک اتاق مخفی در خانه‌ی خود تصور کنید. 24 کلمه‌ی اصلی، کلید در ورودی خانه هستند. اگر سارقی این کلید را پیدا کند، وارد خانه می‌شود؛ اما شما می‌توانید مقدار کمی ارز در این بخش قرار دهید تا سارق فریب بخورد. دارایی اصلی شما در یک اتاق مخفی قرار دارد که برای ورود به آن، علاوه بر آن 24 کلمه، به کلمه‌ی عبور بیست و پنجم (پس‌فریز) نیاز است.

این کلمه‌ی عبور در هیچ‌کجا نوشته نمی‌شود و فقط در ذهن شما قرار دارد یا در مکانی کاملا مجزا نگهداری می‌شود. با فعال‌سازی این قابلیت، یک لایه‌ی دفاعی نفوذ ناپذیر ایجاد می‌کنید که حتی پیدا شدن کلمات بازیابی کاغذی توسط افراد غریبه نیز نمی‌تواند امنیت سرمایه‌ی اصلی شما را به خطر بیندازد.

پیاده‌سازی ساختار چند امضایی (Multi-Signature) برای کاهش ضریب خطا

گاهی اوقات یک اشتباه کوچک یا گم شدن یک دستگاه می‌تواند به قیمت از دست رفتن کل سرمایه تمام شود. برای رفع این مشکل، سیستم‌های پیشرفته‌ای به نام ساختار چند امضایی (Multi-Signature: سیستمی که در آن برای تایید و ارسال یک تراکنش، به جای یک نفر یا یک کلید، به تایید و امضای چندین کلید مستقل نیاز است) طراحی شده‌اند.

برای درک بهتر، سیستم گاوصندوق امانات در یک بانک را در نظر بگیرید. برای باز کردن در این صندوق، هم به کلید شما و هم به کلید کارمند بانک نیاز است و هیچ‌کدام به تنهایی نمی‌توانند صندوق را باز کنند. در دنیای رمزارز نیز می‌توانید کیف پول خود را به گونه‌ای تنظیم کنید که برای مثال، به سه دستگاه سخت‌افزاری مختلف متصل باشد و برای هر انتقال وجه، تایید حداقل دو دستگاه از این سه دستگاه الزامی باشد. استفاده از این ساختار مزایای بی‌نظیری برای مدیریت دارایی‌های کلان دارد:

• حذف نقطه‌ی شکست واحد: اگر یکی از دستگاه‌های شما گم شود یا سارقی به یکی از آن‌ها دسترسی پیدا کند، باز هم نمی‌تواند پولی جابجا کند، زیرا برای نهایی شدن تراکنش به تایید دستگاه دوم نیاز دارد.
• کاهش خطای انسانی: از آنجایی که تراکنش‌ها باید توسط چند بخش مستقل بررسی و تایید شوند، احتمال ارسال اشتباه دارایی به یک آدرس نادرست به شدت کاهش می‌یابد.
• مدیریت شرکتی و تیمی: این ساختار برای شرکت‌ها یا شرکایی که سرمایه‌ی مشترکی دارند بسیار ایده‌آل است، زیرا هیچ عضوی نمی‌تواند به تنهایی و بدون اطلاع سایرین، دارایی‌ها را انتقال دهد یا از حساب برداشت کند.

چک‌لیست امنیتی در زمان انجام تراکنش‌ها

رسیدن به مرحله‌ی انجام تراکنش، حساس‌ترین نقطه‌ی مسیر شماست. تمام تنظیمات امنیتی که تا اینجا انجام داده‌اید، برای محافظت از دارایی شما تا پیش از زمان ارسال است. اما لحظه‌ای که دکمه‌ی تایید را فشار می‌دهید، مسئولیت نهایی بر عهده‌ی چشمان و دقت شما خواهد بود. در دنیای رمزارزها، تراکنش‌ها غیر قابل بازگشت هستند و هیچ مدیر بانکی برای لغو یک انتقال اشتباه وجود ندارد. بنابراین، پیش از هر جابجایی مالی، باید این چک‌لیست کوتاه اما حیاتی را با دقت مرور کنید.

تطبیق دقیق و کاراکتر به کاراکتر آدرس گیرنده روی صفحه نمایشگر کیف پول

آدرس کیف پول (Wallet Address: رشته‌ای طولانی از حروف و اعداد که دقیقا مانند شماره حساب یا شماره شبای بانکی برای دریافت ارز استفاده می‌شود) تنها راهنمای سیستم برای رساندن دارایی به مقصد است. یکی از شایع‌ترین روش‌های سرقت در زمان تراکنش، استفاده از بدافزارهای تغییردهنده‌ی حافظه‌ی موقت (Clipboard Hijacker: ویروس‌هایی که در پس‌زمینه‌ی سیستم پنهان می‌شوند و زمانی که شما آدرسی را کپی می‌کنید، در کسری از ثانیه آدرس کیف پول هکر را جایگزین آن می‌کنند) است.

شما با اطمینان کامل آدرس صحیح را کپی می‌کنید، اما آدرسی که در برنامه‌ی مانیتور کامپیوترتان جایگذاری یا پیست می‌شود، در واقع آدرس یک سارق است! راهکار مقابله با این خطر بسیار ساده است: مانیتور کامپیوتر یا گوشی موبایل شما ممکن است هک شده باشد و دروغ بگوید، اما صفحه‌ی نمایشگر کوچک کیف پول سخت‌افزاری شما هرگز دروغ نمی‌گوید و مستقیما به هسته‌ی امنیتی وصل است.

همیشه پیش از فشردن دکمه‌ی تایید نهایی روی دستگاه فیزیکی، آدرس نمایش داده شده روی خود مانیتور کوچک دستگاه را با آدرس مقصد تطبیق دهید. بررسی سه یا چهار حرف اول و آخر آدرس می‌تواند کمک‌کننده باشد، اما برای انتقال مبالغ سنگین، تطبیق کاراکتر به کاراکتر ضروری و حیاتی است.

بررسی مجدد شبکه‌های انتقال پیش از تایید نهایی تراکنش

در دنیای اقتصاد دیجیتال، ارزها می‌توانند از مسیرهای متفاوتی جابجا شوند. شبکه‌ی انتقال (Network: بستر یا جاده‌ی اختصاصی بلاکچین که ارزها روی آن حرکت می‌کنند) مشخص می‌کند که دارایی شما از چه راهی به مقصد برسد. برای درک بهتر، تصور کنید می‌خواهید یک بسته را با قطار بفرستید، اما آدرس گیرنده مربوط به باند یک فرودگاه است؛ قطعا بسته هرگز به دست گیرنده نخواهد رسید.

بسیاری از ارزهای پرکاربرد مانند تتر، روی چندین شبکه‌ی مختلف (مثل شبکه‌ی اتریوم یا شبکه‌ی ترون) قابل انتقال هستند. اگر شما ارزی را از یک شبکه‌ی خاص ارسال کنید اما آدرس گیرنده متعلق به شبکه‌ی دیگری باشد، دارایی شما در فضای بلاکچین گم شده و برای همیشه از بین می‌رود. برای جلوگیری از این فاجعه، این دو قانون ساده را رعایت کنید:

• همخوانی شبکه‌ی مبدا و مقصد: همیشه مطمئن شوید که شبکه‌ی انتخابی شما در برنامه‌ی ولت، دقیقا همان شبکه‌ای است که گیرنده برای دریافت ارز به شما اعلام کرده است.
• ارسال تستی برای مبالغ بالا: اگر قصد دارید مبلغ بسیار بزرگی را منتقل کنید، ابتدا مقدار بسیار کمی از آن ارز را به عنوان یک تراکنش تستی ارسال کنید. پس از اینکه با موفقیت ارز به مقصد رسید و تاییدیه را دریافت کردید، باقی‌مانده‌ی موجودی را با خیالی آسوده منتقل کنید.

بایدها و نبایدهای امنیتی کیف پول سخت‌افزاری

پس از بررسی دقیق جزئیات و روش‌های پیچیده‌ی محافظت از دارایی، نیاز داریم تا نگاهی گذرا و طبقه‌بندی شده به تمام آموخته‌های خود داشته باشیم. ذهن انسان در مواجهه با اطلاعات زیاد ممکن است برخی نکات را فراموش کند؛ به همین دلیل، در این بخش تمامی نکات را در دو دسته‌ی کلی قرار داده‌ایم تا مانند یک نقشه‌ی راه همیشگی در دسترس شما باشد. رعایت این موارد، تفاوت بین یک سرمایه‌گذار حرفه‌ای و یک کاربر آسیب‌پذیر را رقم می‌زند.

اقدامات ضروری و حیاتی که همیشه باید انجام دهید

این موارد ستون‌های اصلی امنیت شما هستند و به هیچ عنوان نباید در انجام آن‌ها کوتاهی کنید. رعایت این لیست به شما کمک می‌کند تا با خیالی آسوده از تکنولوژی بلاکچین لذت ببرید:

• خرید مستقیم و هوشمندانه: همیشه کیف پول خود را از منابع رسمی تهیه کنید تا از سلامت فیزیکی و نرم‌افزاری آن مطمئن باشید.
• نوشتن دستی عبارت بازیابی: کلمات امنیتی خود را فقط و فقط با قلم و روی کاغذ یا صفحات فلزی ثبت کنید. این کار امنیت سرد (Cold Security: روشی که در آن اطلاعات حساس بدون هیچ‌گونه تماسی با دنیای دیجیتال و اینترنت نگهداری می‌شوند) را برای شما فراهم می‌کند.
• بررسی فریم‌ور: (Firmware: نرم‌افزار داخلی و اصلی که مستقیما روی سخت‌افزار نصب شده و عملکرد آن را کنترل می‌کند) همیشه از آخرین نسخه‌ی رسمی ارائه شده توسط سازنده استفاده کنید تا رخنه‌های امنیتی احتمالی بسته شوند.
• تطبیق آدرس روی نمایشگر دستگاه: پیش از تایید هر تراکنش، آدرس مقصد را با دقت روی مانیتور کوچک دستگاه چک کنید. این تنها راه اطمینان از عدم دستکاری آدرس توسط ویروس‌ها است.
• تست دوره‌ای کلمات بازیابی: هر چند وقت یک بار، بدون اینکه کلمات را در جایی وارد کنید، از سلامت و خوانا بودن برگه‌ی بکاپ خود مطمئن شوید.

اشتباهات پرریسک و خطرناکی که باید از آن‌ها دوری کنید

گاهی اوقات انجام ندادن یک کار، بسیار مهم‌تر از انجام دادن آن است. این لیست شامل خط قرمزهایی است که عبور از آن‌ها می‌تواند به معنای پایان امنیت دارایی‌های شما باشد:

• ذخیره‌ی دیجیتال کلمات بازیابی: هرگز از کلمات امنیتی خود عکس نگیرید و آن‌ها را در فایل‌های متنی، ایمیل یا پیام‌رسان‌ها ذخیره نکنید. فضای ابری (Cloud: سرورهای آنلاین که اطلاعات شما را در اینترنت ذخیره می‌کنند تا از هر جایی در دسترس باشند) مکان امنی برای این اطلاعات نیست.
• وارد کردن کلمات در اپلیکیشن‌های موبایلی: تحت هیچ شرایطی کلمات کیف پول سخت‌افزاری خود را در نرم‌افزارهای داغ (Hot Wallets: کیف پول‌های نرم‌افزاری که به اینترنت متصل هستند و امنیت کمتری نسبت به مدل‌های سخت‌افزاری دارند) وارد نکنید.
• پاسخ به درخواست‌های مشکوک: هیچ شرکتی از طریق ایمیل، تلگرام یا تماس تلفنی از شما درخواست نمی‌کند که عبارت بازیابی خود را برای آن‌ها ارسال کنید یا در سایتی وارد نمایید؛ این موارد قطعا تلاش برای کلاهبرداری هستند.
• استفاده از رایانه‌های آلوده: از اتصال کیف پول به سیستم‌هایی که به امنیت آن‌ها شک دارید یا در مکان‌های عمومی قرار دارند، پرهیز کنید.
• اعتماد به بسته‌بندی‌های مخدوش: اگر جعبه‌ی دستگاه باز شده بود یا برچسب‌های امنیتی آن سالم نبودند، هرگز ریسک نکنید و دارایی خود را به آن منتقل نکنید.

منابع:

Cobo

Ledger

Trustwallet