撰文:王富贵儿
近期看了好多被盗事件,好像是平台担责一一赔付了,但是用户自身,也应该主动提高账户的安全等级,毕竟钱是自己的。老祖宗说过“君子不立危墙之下”,直白说就是让风险没有发生的可能,而不是通过“亡羊补牢”减少风险发生后所带来的损失,主动规避风险,才是最高级的风险管理方式。
资金分散无论你的资金体量如何,都将资金至少分成两份。如果可以放在两个不同的平台最好,如果只认某一平台,那至少也要放在两个账户上。
不使用简单密码看似最无用处最多余,实则最重要。首先一定要使用大小写字母+符号的组合,已经很多平台强制要求如此了,但也有无需大小写无需符号就可以设置密码的平台。建议即使一个网站的登录、一个邮箱的注册、一个游戏的畅玩,都要按此规则设置足够强度的密码。
不重复使用密码也许你觉得交易平台的安全等级足够高,自己的密码不会外泄。但是现在是个网站就需要注册,是个应用就需要注册,可不是所有网站对用户的安全保护都很完善。也许你注册某一在线爱情动作片的密码,就适用于你的所有账户,如果该网站作恶或是出现安全问题,你的所有账户岂不是都一丝不挂的暴露在外?
定期修改密码这一点传统金融机构做的更为到位,不厌其烦的提醒,往往让人讨厌。但事实却是,传统金融不仅对用户如此建议,对自己员工的系统登陆更是如此要求,甚至既往密码都无法再次使用。你不知道你的密码什么时候被获取,也不知道攻击何时发动,所以不要怕麻烦,定期修改密码来阻止这一切的发生。
第三方应用授权无论是推特,还是Discord,甚至各个平台,当连接第三方时,都会常常遇到第三方授权的请求。首先,要仔细阅读授权的权限内容,不可以给出太高权限。其次,及时移除第三方授权,用完就移除,下次用的时候再授权就是。最后,非上不可的话,一定要使用备用账户,不要拿自己的主账户去冒险。
定期浏览登陆记录、查看设备管理不仅仅要及时移除非自己添加的设备,关注非自己登录的信息,同时也要移除自己不再使用的设备,避免因丢失、维修、出售后,出现风险。在邮箱的安全选项中执行同样的操作。
控制API权限API能不使用就不使用,非用不可的话,就严格控制API权限,据说此次事件API甚至获得了提币权限。同时也要定期的检查API,如果有非自己设置的高权限API及时删除。
一定要开启身份认证,即Google AuthenticatorGA的使用也很方便,没有理由不开启,直接把安全级别拉满,这次事件的受害者貌似普遍没有开启GA。需要注意的是,在下载Authenticator的时候会有各种小作坊产品,一定要认准开发者——Google。
Google Authenticator不要开云同步把右上角的小云彩点掉就行。
手抄Google Authenticator的key怎么记你钱包的密钥和助记词,就怎么记Key好了。记得多备份几份,以防藏得太隐秘你自己都找不见。
Google Authenticator与交易设备隔离将GA直接放在另一不联网手机上,这台设备永不联网,所以这台设备说是手机,但实际就是一台手机样式的保安密码器。
邮箱、手机号所在设备隔离有条件的话尽量分布在多台设备上吧,别嫌麻烦,一直在提设备隔离,并不会增添很多成本,因为一台iphone10现在只需不到1000块了。
大隐于世!这一点非常重要,如非必要,不要让身边任何人知道你在炒币。
