Безопасность биржевых аккаунтов

[Alex077 16061]

В этом разделе предлагаю обсуждать безопасность аккаунтов на биржах, какие существуют способы защиты и какие методы вы считаете наиболее эффективными. Дополняйте тему новостями и последними новинками по этой теме.

               Какие существуют методы защиты биржевых аккаунтов

                               

Двухфакторная аутентификация (two-factor authentication или 2FA) быстро стала новым стандартом безопасности в интернете, включая криптовалютные сервисы. В прошлом пользователям приходилось полагаться исключительно на свои пароли для обеспечения безопасности аккаунтов. Со временем стало понятно, что такой пароль можно подобрать/взломать/узнать, а аккаунты нуждаются в дополнительном уровне безопасности.

Идея 2FA заключается в том, что вы получаете ещё один способ подтверждения принадлежности аккаунта в дополнение к основному паролю. 

Повышение уровня защищённости аккаунта и усложнение процесса взлома для злоумышленника имеет ключевое значение при использовании сервисов, где вы храните ваши деньги и/или данные. 

Часто разработчики сервисов вынуждены идти на компромисс и жертвовать безопасностью своих пользователей ради удобства использования, поэтому важно понимать, что не все типы двухфакторной аутентификации предоставляют одинаковую защиту.

Лучшими типами 2FA являются те, где пользователь сам контролирует процесс аутентификации, не полагаясь на третьих лиц. Если в процессе принимает участие посредник, риск такого метода аутентификации возрастает.

Рассмотрим лучшие и худшие методы 2FA.

Самый слабый: Email

Используя электронную почту для аутентификации аккаунта, вы рискуете, поскольку прибегаете к помощи третьих лиц или можете сами стать жертвой хакерской атаки, где у атакующего может иметься целый набор инструментов для обхода дополнительной защиты. 

Средний: SMS

Аутентификация через SMS является самым распространённым методом дополнительной защиты аккаунтов не только в сфере криптовалют, но и при работе с мобильным банком и т.д. В российской практике процесс передачи доступа к номеру телефона несколько сложнее, чем, например, на Западе, однако случаи взлома аккаунтов с заменой SIM-карты известны, а степень риска напрямую зависит от объёма хранящихся на вашем счету средств.

В любом случае, предпочтительными являются методы 2FA без участия третьих лиц, о которых речь пойдёт ниже.

Хороший: Приложение для аутентификации

Аутентификационные приложения для смартфонов являются оптимальным выбором для большинства пользователей. Они генерируют коды, которые меняются каждые 30 секунд. Самым популярным приложением этого типа является Google Authenticator.

Большинство криптовалютных сервисов поддерживает аутентификацию через приложение. Просто отсканируйте QR-код, представленный в соответствующем разделе сайта, с помощью приложения и введите код, который отобразится на экране вашего устройства.

Самый надёжный: Аппаратные ключи

Как и аппаратные кошельки, аппаратные ключи решают проблемы аутентификации при помощи реального устройства. Вы можете использовать такие устройства, например Yubikey, для получения доступа к своим аккаунтам, просто вставив их в USB-порт компьютера. Это самый надёжный способ аутентификации, так как атакующему потребуется ваш аппаратный ключ, чтобы взломать аккаунт. В то же время, это не самый удобный способ, поскольку для этого вам придётся покупать отдельное устройство и носить его с собой.

Чем надёжнее ваш способ двухфакторной аутентификации, тем лучше. Однако любая 2FA лучше, чем никакая, поскольку она добавляет дополнительный уровень защиты вашему аккаунту. Таким образом, если сервис поддерживает такой метод защиты, вам следует им воспользоваться.

Вы также можете записать ключ, используемый в момент задания 2FA (обычно показывается вместе с QR-кодом), и хранить его в безопасном месте (не на компьютере). Это позволит вам впоследствии быстро перейти на другое устройство для генерации ключей доступа без необходимости проходить через процесс сброса 2FA.

Очевидно, вы никогда не должны передавать этот ключ или ключи, генерируемые вашим устройством, третьим лицам вне зависимости от обстоятельств. Часто мошенники могут выдавать себя за представителей биржи/кошелька и требовать передать им информацию для входа в ваш аккаунт. Не верьте им, поскольку никакие технические методы обеспечения защиты не спасут вас, если вы сами отдадите злоумышленникам свои данные. 
 

[dimcrypto 415]

Пользуюсь чаще всего Google Authenticator, но мне кажется, что если захотят взломать целенаправленно какой-то аккаунт, то даже двухфакторная аутентификация не поможет. Остается надеяться на то, что те небольшие суммы, которые хранятся у меня на биржах никого никогда не заинтересуют.

[luxury 2669]

12 minutes ago, dimcrypto said:

Пользуюсь чаще всего Google Authenticator, но мне кажется, что если захотят взломать целенаправленно какой-то аккаунт, то даже двухфакторная аутентификация не поможет. Остается надеяться на то, что те небольшие суммы, которые хранятся у меня на биржах никого никогда не заинтересуют.

Тоже несколько раз встречал сообщения от людей которых взламывали и очищали их баланс , хотя у них стояла двухфакторая аутентификация. 

[Dec 3507]

16 minutes ago, dimcrypto said:

Пользуюсь чаще всего Google Authenticator, но мне кажется, что если захотят взломать целенаправленно какой-то аккаунт, то даже двухфакторная аутентификация не поможет. Остается надеяться на то, что те небольшие суммы, которые хранятся у меня на биржах никого никогда не заинтересуют.

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

[alexmail19 680]

7 minutes ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

Я после подобного печального случая, начал печатать на обычной бумаге и храню их в сейфе на работе, Да это не безопасно но зато может спасти от много гемора, были случаю когда восстановить через поддержку не так просто было.

[Vert 1096]

13 minutes ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

а заранее отскринить/сфоткать/распечатать QR-код религия не позволяет?)

[dimcrypto 415]

7 minutes ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

Можно еще для генерации кодов расширение для хрома использовать, хотя я думаю, что это менее безопасно чем приложение на смартфоне.

А еще можно (если смартфон на андроид с рут правами) достать базу данных Google Authenticator, которая хранится в телефоне в незашифрованном виде, и сохранить куда нибудь на флешку на всякий случай.

[ugolok 6121]

1 hour ago, luxury said:

Тоже несколько раз встречал сообщения от людей которых взламывали и очищали их баланс , хотя у них стояла двухфакторая аутентификация. 

Вполне реально, ели люде не беспокоятся о собственной безопасности, наверняка их компы были заражены трояном, тогда взлом акка производится прямо во время рабочей сессии. Что бы избежать этого, нужно иметь надежный антивирус, регулярно скринить систему и желательно входить на биржи и кошельки с отдельного компа, а не с того, на котором порнуху смотришь))

[Kepasa 1893]

Если получают доступ к телефону или заражают троянами комп, то некоторые методы безопасности не сработают.  Прежде всего компьютер для торгов должен быть чистым, не использовать его для серфа в сети.

[Кукуруза 6534]

Для защиты телефона можно использовать приложения с антивирусами, как, например, приложения для интернет-банкинга. Если есть возможность включить смс оповещение о заходе на биржу и подтверждение по электронной почте, то всегда стоить это сделать, как на бирже Hotbit. Всегда выходите из аккаунта биржи для безопасности, а  google authentificstor  записывайте на бумагу. 

Edited October 11, 2019 by Кукуруза

[Alex077 16061]

2 minutes ago, Кукуруза said:

Для защиты телефона можно использовать приложения с антивирусами, как, например, приложения для интернет-банкинга. Если есть возможность включить смс оповещение о заходе на биржу и подтверждение по электронной почте, то всегда стоить это сделать, как на бирже Hotbit. Всегда выходите из аккаунта биржи для безопасности а  google authentificstor  записывайте на бумагу. 

Да это хорошая рекомендация. Я бы еще посоветовал записывать числовой код гугл идентификатора, на случай утери телефона или его глюка, и делать дополнительное подтверждение через почту, на которой тоже стоит 2ФА ( например gmail), через контрактный телефон, на котором нельзя без паспорта поменять сим-карту.

[Moskino 1547]

1 hour ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

Вот самый главный недостаток.А техника сложная,затупить или глюкануть нефиг делать может.А пароль не все думаю сохраняют,я по крайней мере этого не сделал.Поэтому предпочитаю ограничиваться смсидентификацией.

[MaksatMe 15568]

Пользуюсь тоже 2FA, но тут больше опасности телефон потерять или программу случайно снести (пару акков так потерял, потому что что прошивка на телефоне полетела к чертям)

[Pyatka 10291]

Считаю достаточным уровнем безопасности использование двухфакторной аутентификации в связке со сложным паролем от аккаунта, где должны присутствовать цифры, буквы в разных регистрах и спецсимволы. Но даже такая защита не поможет, если забить на защиту ОС и ходить по непроверенным сайтам, скачивая непроверенные программы

Edited October 11, 2019 by Pyatka

[Кукуруза 6534]

Так же обратите внимание, не обратил внимание сразу, в статье указано, что "Самый слабый: Email". Тут обязательно надо посмотреть на дополнительные этапы защиты почты, на том же gmail не забудьте включить вход по смс, сделайте сложный пароль и по возможности тоже выходите из почты, т.к. взломать могут простым перехватом.

[Merdock 1414]

5 hours ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

Все гораздо проще))). Пофиг, если потерял телефон с аутентификатором, просто нужно хранить ключи отдельно, на компе, на бумаге. Все это легко переносится с одного устройства на другое.

[Pyatka 10291]

В идеале нужно включить на все аккаунтах, где замешана биржа, двухфакторную аутентификацию, при чём чтобы она запрашивалась с каждого нового IP, по которому входят в аккаунт. У меня так один раз пытались увести мыло, откуда-то узнали пароль, но дальше их не пустило, так как "вы заходите из подозрительного места. впишите код с телефона".

[Zodiac 83]

Так сейчас практически на каждой бирже обязательное условие - активация 2FA, если не сразу, то во время вывода средств попросят. Подтверждение по почте тоже по умолчанию есть. Для прохождения 2FA использую приложение Authy, и обязательно делаю скриншоты QR кодов во время регистраций, чтобы в случае проблем с телефоном всегда можно было восстановить доступ.

[okela 1058]

11 hours ago, Dec said:

Недавно телефон затупил и пришлось сделать сброс настроек и пропало приложение google authentificstor, и конечно же со всеми аккаунтами к биржам, тяжело было потом на некоторых биржах сбрасывать по умолчанию 2FA , поэтому рекомендую активным трейдерам иметь для этого отдельный недорогой смартфон.

А разве Гугл не восстанавливает данные из этого приложения на другом устройстве ? Я вроде переносил с одного телефона на другой без проблем. Правда это было несколько лет назад.

[maksonGoat 1141]

Использую 2fa, ничего больше ставить никогда не буду, потому что ставить больше защит - усложнять себе жизнь, если захотят взломать, то и 2fa снесут и любую защиту обойдут

[kokoska 8405]

28 minutes ago, igor said:

1. Используйте для регистрации на бирже отдельный новый email, который не является публично доступным адресом для вашей обычной деятельности, регистраций на других сайтах и т.д.

Все что вы написали - это большая статья. Пишите кратко и понятно, а то тут много тех, кто не хочет читать. Нужно создать отдельный аккаунт, прикрепить телефон (в Гмейл есть такое, что бы е-мейл не украли, а там через него можно восстановить пароли часто), установить сложный пароль хотя бы из 12-15 разных символов, записать его отдельно и установить двухфакторную аутентификацию - желательно.

И самое главное никаким неизвестным приложениям не одобрять связь из почтой ( если вас просят прикрепить аккаунт почти к приложению, то запретите это или используйте другую почту), что бы ее некто не смог прочесть.

Edited October 12, 2019 by kokoska

[Pyatka 10291]

5 hours ago, maksonGoat said:

Использую 2fa, ничего больше ставить никогда не буду, потому что ставить больше защит - усложнять себе жизнь, если захотят взломать, то и 2fa снесут и любую защиту обойдут

Пока не представляю способа быстро обойти 2fa. Самый пока банальный - подбирать эти 6 цифр, пока они не сменились новыми. Но обычно этому мешают каптчи, вылезающие после каждого неправильного ответа

[Slavi 11287]

самое важное это конечно нигде не светить ключами, ну это и так понятно, потом антивирус, не шастать где попало в интеренете, никого не допускать к компу с которого работаешь и не логиниться с левых устроиств, использовать режим инкогнито, подтверждение для входа через почту, не устанавливать расширения и т.д

[vl77lp 29166]

21 minutes ago, Pyatka said:

Пока не представляю способа быстро обойти 2fa. Самый пока банальный - подбирать эти 6 цифр, пока они не сменились новыми. Но обычно этому мешают каптчи, вылезающие после каждого неправильного ответа

Вроде все таки есть методика, но там все крайне сложно и затратно, так что 2FA считается достаточно серьезной защитой.

[Slavi 11287]

ещё хочу добавить что ни в коем случае нельзя заходить через поисковики, только ручной ввод в адресной строке, админы в чате сами об этом периодически пишут