撰文:王富貴兒
近期看了好多被盜事件,好像是平臺擔責一一賠付了,但是用戶自身,也應該主動提高賬戶的安全等級,畢竟錢是自己的。老祖宗說過“君子不立危牆之下”,直白說就是讓風險沒有發生的可能,而不是通過“亡羊補牢”減少風險發生後所帶來的損失,主動規避風險,纔是最高級的風險管理方式。
資金分散無論你的資金體量如何,都將資金至少分成兩份。如果可以放在兩個不同的平臺最好,如果只認某一平臺,那至少也要放在兩個賬戶上。
不使用簡單密碼看似最無用處最多餘,實則最重要。首先一定要使用大小寫字母+符號的組合,已經很多平臺強制要求如此了,但也有無需大小寫無需符號就可以設置密碼的平臺。建議即使一個網站的登錄、一個郵箱的註冊、一個遊戲的暢玩,都要按此規則設置足夠強度的密碼。
不重複使用密碼也許你覺得交易平臺的安全等級足夠高,自己的密碼不會外泄。但是現在是個網站就需要註冊,是個應用就需要註冊,可不是所有網站對用戶的安全保護都很完善。也許你註冊某一在線愛情動作片的密碼,就適用於你的所有賬戶,如果該網站作惡或是出現安全問題,你的所有賬戶豈不是都一絲不掛的暴露在外?
定期修改密碼這一點傳統金融機構做的更爲到位,不厭其煩的提醒,往往讓人討厭。但事實卻是,傳統金融不僅對用戶如此建議,對自己員工的系統登陸更是如此要求,甚至既往密碼都無法再次使用。你不知道你的密碼什麼時候被獲取,也不知道攻擊何時發動,所以不要怕麻煩,定期修改密碼來阻止這一切的發生。
第三方應用授權無論是推特,還是Discord,甚至各個平臺,當連接第三方時,都會常常遇到第三方授權的請求。首先,要仔細閱讀授權的權限內容,不可以給出太高權限。其次,及時移除第三方授權,用完就移除,下次用的時候再授權就是。最後,非上不可的話,一定要使用備用賬戶,不要拿自己的主賬戶去冒險。
定期瀏覽登陸記錄、查看設備管理不僅僅要及時移除非自己添加的設備,關注非自己登錄的信息,同時也要移除自己不再使用的設備,避免因丟失、維修、出售後,出現風險。在郵箱的安全選項中執行同樣的操作。
控制API權限API能不使用就不使用,非用不可的話,就嚴格控制API權限,據說此次事件API甚至獲得了提幣權限。同時也要定期的檢查API,如果有非自己設置的高權限API及時刪除。
一定要開啓身份認證,即Google AuthenticatorGA的使用也很方便,沒有理由不開啓,直接把安全級別拉滿,這次事件的受害者貌似普遍沒有開啓GA。需要注意的是,在下載Authenticator的時候會有各種小作坊產品,一定要認準開發者——Google。
Google Authenticator不要開雲同步把右上角的小云彩點掉就行。
手抄Google Authenticator的key怎麼記你錢包的密鑰和助記詞,就怎麼記Key好了。記得多備份幾份,以防藏得太隱祕你自己都找不見。
Google Authenticator與交易設備隔離將GA直接放在另一不聯網手機上,這臺設備永不聯網,所以這臺設備說是手機,但實際就是一臺手機樣式的保安密碼器。
郵箱、手機號所在設備隔離有條件的話儘量分佈在多臺設備上吧,別嫌麻煩,一直在提設備隔離,並不會增添很多成本,因爲一臺iphone10現在只需不到1000塊了。
大隱於世!這一點非常重要,如非必要,不要讓身邊任何人知道你在炒幣。
