علی رضا
علی رضا
خواندن ۵ دقیقه·۳ سال پیش

امنیتِ نگهداری رمزارز ?

کتاب «راهنمای بیتکوین» دی‌مارتینو (۲۰۱۶) دروازه‌ی ورود من به سرزمین بیتکوین بود و بیش از سرمایه‌گذاری، برای من ایده‌ی ارز غیرمتمرکز جالب بنظر می‌آمد و کاربردهای خوب و بد آن.

با توجه به اینکه شاهد نگهداری ناامن رمزارز و بعضا سرقت یا گم‌شدن دارایی دیجیتال دیگران بوده‌ام، تصمیم دارم مطلب کوتاهی در این‌باره بنویسم.

بسیاری از کاربران پس از خرید ارز دیجیتال، آن را در کیف پول صرافی نگه می‌دارند نه کیف خودشان. در این حالت اگر آن صرافی حساب شما را مسدود کند یا صرافی مورد سرقت قرار گیرد یا هک شود، شما دارایی خود را از دست خواهید داد! البته برخی کاربران به بهانه‌ی اینکه قصد نگهداری کوتاه‌مدت (مثلا یکماهه) ارز دیجیتال را دارند، کارمزد انتقال به کیف شخصی را بهانه می‌کنند یا برخی کاربران دیگر که قصد ترید (گذاشتن سفارش خودکار خرید/فروش) دارند، فعلا تنها راه‌شان همین است.
اما اگر قصد نگهداری بلندمدت دارایی دیجیتال را داشته باشید، توصیه متخصصین استفاده از کیف پول شخصی است تا هیچکس جز شما به آن دسترسی نداشته باشد.

برخلاف دارایی فیزیکی که فقط با حضور دزد در محل و معمولا با سختی انجام می‌شود، دارایی دیجیتال شما می‌تواند به سادگی و از آن سوی دنیا هم سرقت شود. لذا اگر قصد نگهداری مقداری قابل‌توجه (مثلا بالای ده هزار دلار) ارز دیجیتال را دارید، خرید کیف پول سخت‌افزاری که ۵۰~۲۰۰ دلار قیمت دارد، منطقی بنظر می‌رسد اما در صورت مراعات جوانب امنیتی، می‌توانید از کیف پول نرم‌افزاری نیز استفاده کنید.

برای نگهداری امن رمزارزها در کیف پول نرم‌افزاری، توجه به حداقل دو نکته لازم است:

  • محیط سیستم‌عامل شما باید امن باشد
    پس استفاده از وسیله‌ی دارای ویندوز/اپ کرک‌شده یا از دانلود شده از منبع غیرمعتبر یا برداشتن قفل‌های امنیتی (مثل جِیل‌بِرِک) نقض غرض است. همچنین لازم است سیستم‌عامل شما آپدیت باشد تا مشکلات و سوراخ‌های امنیتی شناخته‌شده‌ی آن رفع شده باشد.
    همچنین هر مقدار آن وسیله کمتر به اینترنت متصل باشد، مخاطرات امنیتی کمتری می‌تواند داشته باشد.
طبق گزارش کسپرسکی، گوشی‌های موبایل ایرانیان در صدر آلوده‌ترین گوشی‌های جهان هستند و از هر ۵ گوشی، دو گوشی آلوده به بدافزار (جاسوس‌افزار، بات‌نت و...) است.
طبق گزارش کسپرسکی، گوشی‌های موبایل ایرانیان در صدر آلوده‌ترین گوشی‌های جهان هستند و از هر ۵ گوشی، دو گوشی آلوده به بدافزار (جاسوس‌افزار، بات‌نت و...) است.


  • از کیف پول مطمئن استفاده کنید
    برای هر رمزارز، استفاده از کیف پول پیشنهادی سازندگان آن رمزارز بهتر است چرا که معمولا اپن‌سورس است و امکانات بیشتری هم نسبت به سایر کیف‌ها دارد اما اگر مثل برخی کاربران راحت‌طلب، قصد استفاده از کیف پول نرم‌افزاری دیگری را داشتید که رمزارزهای متعددی را پشتیبانی می‌کند، توجه کنید که گزینه‌ی انتخابی شما علاوه بر اپن‌سورس بودن، از یک استاندارد مشخص برای تبدیل کلید خصوصی به کلمات بازیابی استفاده کند تا در صورت عدم آپدیت یا تحریم، بتوانید همان کلیدها را در کیف دیگری وارد کنید و به دارایی خود دسترسی داشته باشید. همچنین یک کیف پول نباید کلیدهای شما را در سرور خودش ذخیره کند و در صورتی که ارز موردنظر شما از آدرس یکبارمصرف پشتیبانی می‌کند، برای هر دریافت، آدرس جدیدی تولید نماید.

اهمیت و امنیت کلیدهای بازیابی ?

شما چه کیف سخت‌افزاری (مثل لجر یا سیف‌پَل) را انتخاب کنید و چه نرم‌افزاری (مثلا بلوولت یا سامورایی)، با چند کلمه بازیابی (recovery phrase) سروکار دارید که گم‌کردن یا آشکار شدن آن برای دیگران، می‌تواند به قیمت از دست دادن تمام دارایی دیجیتال شما تمام شود.

این کلمات با توجه به استاندارد استفاده‌شده در آن، معمولا ۱۲، ۱۸ یا ۲۴ کلمه‌ی معنادار انگلیسی است که حساس به بزرگ و کوچک بودن حروف نیست.

یک عادت اشتباه، ذخیره این کلمات به صورت دیجیتال است. مثلا در محیط تلگرام یا نوت/گالری گوشی آن را ذخیره می‌کنند اما با هک یا سرقت/سوختن آن، دارایی خود را از دست می‌دهند.

به همین دلیل متخصصین امر توصیه می‌کنند که آنها را به صورت غیردیجیتال مثلا روی کاغذ (یا حتی فلز!) یادداشت کنید و در زمان یادداشت، مواظب اطراف (چشم‌ها، دوربین‌ها و حتی کاغذ زیر کاغذ فعلی!) باشید.

برخی افراد با تصور امنیت بیشتر! این کلمات را با همان ترتیب ثبت نمی‌کنند و ژانگولرانه! تغییراتی در ترتیب آنها می‌دهند در حالی که نه فقط گاهی خود این افراد ترتیب تغییرات را فراموش می‌کنند، بلکه در صورت فوت شخص، دسترسی به این دارایی را برای بازماندگان نیز غیرممکن می‌شود. لذا بهتر است این کلمات را با همان ترتیبی که هست یادداشت کنید.

همچنین در صورتی که از حوادث غیرمترقبه (سیل، زلزله یا جنگ!) می‌ترسید، می‌توانید یک نسخه‌ی دیگر از این کلمات را به صورت مهر و موم‌شده در اختیار شخص معتمدی مثل والدین که در یک نقطه جغرافیایی دیگر زندگی می‌کنند، بگذارید.

انکار قابل‌قبول (plausible deniability)

در بین توصیه‌های امنیتی حفظ دارایی دیجیتال، به احتمال زیاد این نکته را نشنیده‌اید!

بسیارند افراد ساده‌انگار یا بی‌خبر از حوادثی که در همین ایران رخ داده است، در مورد مقدار دارایی دیجیتال‌شان با دیگران صحبت می‌کنند یا با ترفندهایی به صحبت واداشته می‌شوند! غافل از اینکه دارایی دیجیتال، به دلیل ارزش بالا و سهولت انتقال، بجز روش‌های راه‌دور مثل هک، از راه نزدیک! نیز می‌تواند مورد زورگیری قرار گیرد.

اگر شما پیش دزدان انکار کنید که دارایی دیجیتال یا کلید خصوصی یا کلمات ریکاوری را دارید، ممکن است برایتان بسیار گران تمام شود. از آسیب جسمی/جانی گرفته تا سرقت تمام دارایی شما.

حمله با آچار 5 دلاری!
حمله با آچار 5 دلاری!


راه معقول این است که شما بتوانید داشتن آن همه دارایی دیجیتال را انکار کنید اما انکاری که برای دزدان قابل قبول باشد که اصطلاحا plausible deniability یا «انکار قابل‌قبول» یا «انکار مُوَجَّه» گفته می‌شود.

برخی کیف پول‌های نرم‌افزاری و سخت‌افزاری (مثل لجر و تِرزُر)، این امکان را فراهم می‌کنند که شما علاوه بر کلمات ریکاوری، یک کلمه‌ی اضافی هم خودتان اضافه کنید و با توجه به آن کلمه‌ی اضافی، کیف پول جدیدی تولید می‌شود. خب در اینصورت شما می‌توانید یک کیف‌پول با کلمه‌ی اضافی khanqoli داشته باشید که کیف اصلی و حاوی اکثر دارایی شما هست و کیف دیگر با مثلا کلمه‌ی اضافی diamond که کیف فرعی و دارای مقدار جزئی ارز دیجیتال باشد.
حال اگر شما مورد زورگیری قرار گرفتید کافی است که بعد از کمی مقاومت و اکراه! رمز کیف فرعی خود را بدهید که حاوی مقدار ناچیزی ارز دیجیتال است.

امنیتارز دیجیتالرمزنویسکیف پول
شاید از این پست‌ها خوشتان بیاید