宜收藏：加密資產安全保護錦囊秘籍大彙集

撰文：楊小猴

最近先有硬體錢包 Ledger 洩露 27 萬使用者資訊，後有保險協議 Nexus Mutual 創始人 Hugh Karp 遭駭客攻擊 37 萬 NXM 代幣被盜。

安全是我們數字生活的重要方面，推薦更多適合普通使用者的加密資產安全操作指南，幫大家防患於未然。

九個加密資產安全保護錦囊送給鏈聞的讀者：

錦囊 1：做好密碼管理

• 使用密碼管理器。多數人無法記憶大量無規則密碼，為了避免使用重複密碼、簡單密碼、規則密碼，加強密碼強度，建議使用密碼管理器。

• 線上密碼管理器，除了老牌的 1Password、LastPas，Bitwarden 以使用方便，介面簡潔受使用者歡迎。Bitwarden 開源，有各類主流瀏覽器外掛。
• KeePassXC 是另一跨平臺密碼管理器。開源，三種作業系統可用，目前沒有手機應用。因為沒有線上雲端儲存，資料本地儲存，與其他密碼管理器相比，多裝置同步不是很方便。但本地資料能更多保證資料的安全性。

KeepPassXC 使用介面

• 對於重要賬戶，勿使用瀏覽器內建密碼管理器。雖然瀏覽器內建密碼管理器也屬於線上密碼管理器，但相比專業應用安全度相對較低。
• 根據賬戶安全等級，在密碼管理器建立不同密碼庫儲存不同型別密碼。牢記密碼庫主密碼，或妥善保管密碼庫金鑰。

錦囊 2 ：使用 2FA 兩步驗證

兩步身份驗證是保護賬戶和資產的第二道屏障。涉及到資金或重要賬戶，都需要設定。

• 避免使用電話兩步驗證。電話資訊尤其易於洩露，甚至被盜用。
• 避免使用郵箱兩步驗證。很多情況會因為攻擊、恢復碼失竊、重複使用密碼等原因，失去郵箱使用許可權。
• 使用兩步驗證應用程式。微軟的 Authenticator、谷歌身份驗證器 (Google Authenticator) 都可選擇。安卓裝置上，谷歌身份驗證器可以在不同裝置間備份。
• 使用硬體金鑰。硬體金鑰裝置是將特定線上賬戶的身份驗證金鑰儲存在特定硬體之上。需要將硬體與裝置透過 USB 介面連線後在裝置上確認。由於需要硬體，這樣會降低遠端攻擊風險。目前市面上的硬體金鑰產品有 Yubikey、Only Key 和 Google Titan。

錦囊 3：保護好電話號碼安全

• 如果可以，將所有賬號的電話號碼驗證方式取消，包括電子郵件。「簡訊嗅探」和「SIM 卡替換」是常見針對簡訊驗證的攻擊方式。
• 如果必須要使用電話號碼，可以選擇網路電話 (VoIP) 網路電話。網路電話攻擊難度更高。Google Voice、Twilio、Skype 可以選擇。要保證網路電話登入賬戶安全。
• 如果無法使用網路電話，使用備用電話號碼。除另外購買新電話號碼外，可以選擇 e-sim 卡、Google Fi 或其他地區手機卡。
• 網路電話號碼或備用電話號碼不對外公開，只用於註冊交易所、錢包或其他用途。並且定期更換。

錦囊 4：確保身份安全

• 網路購物或常用網站註冊，保護個人資訊。不要使用自己的身份證姓名或常用名。此類預留電話和電子郵件地址與錢包或重要賬戶隔離。這次 Ledger 洩露使用者資訊主要就是此類相關資訊。
• 如果可以，減少使用信用卡或借記卡。多數線上信用卡付款，只需要填寫正確卡號和安全碼即可。

錦囊 5：瀏覽網頁技巧小彙總

• 使用 JavaScript 攔截工具。遮蔽 JavaScript 有可能限制網站使用，但可以防止惡意程式。NoScript 和 Ublock Origin 是很好的網頁攔截外掛。
• 驗證網站使用 HTTPS 加密渠道。瀏覽器外掛 HTTPS Everywhere 可以保證網頁安全連線。
• 有些網站和應用可以關聯多個電子郵件地址，檢查並取消關聯不常用電子郵件地址。這些不常用地址有可能被利用進行攻擊。
• 避免使用未知公共 WiFi。公共場所 WiFi 極易偽裝，極易釣魚攻擊。
• 使用虛擬私人網路 （VPN）避免網路流量監控。選擇 VPN 服務商做好研究。一定要保證 VPN 服務商不記錄使用者資訊，購買前搜尋是否有不良記錄或安全事故。註冊相關服務時確保提供最少個人資訊，一般註冊只需要電子郵件地址。如果要求電話號碼或其他相關個人資訊，請謹慎選擇。儘量避免網銀或信用卡支付，部分服務商可以選擇加密貨幣。

有些 VPN 服務商聲稱不記錄使用者使用資訊，但使用前也需要做好調查

• 開啟電子郵件中的連結或不明來源連結前，仔細檢查連結地址，防止釣魚網站。

錦囊 6：電子裝置使用注意事項

• 重要的交易賬戶使用專門電腦 / 智慧手機裝置。此專用裝置加密，好妥善保管，不用做其他用途。不安裝多餘的軟體或應用。安裝的軟體越多，潛在漏洞越多。
• 一般用途的裝置上的軟體如果長時間沒有使用，先解除安裝，使用時再安裝最新版本。
• 驗證軟體來源。例如驗證安裝檔案 PGP 簽名或 SHA-256 雜湊值。
• 防毒軟體掃描不明檔案。VIRUSTOTAL 線上防毒軟體掃描服務推薦使用。

錦囊 7：軟體及作業系統安全建議

• 保證軟體更新。軟體更新可能會含有最新安全漏洞補丁。不及時更新軟體，漏洞有可能會被駭客利用。
• 硬核高階使用者可選擇安全的作業系統。重要的錢包最好減少使用 Windows 操作，Windows 最容易受到惡意軟體侵擾和駭客攻擊。安全的作業系統首推 Tails，Edward Snowden 當年就是使用這款作業系統。Tails 作業系統佔用空間小，可使用 USB 儲存裝置安裝、執行。內建安全元件和加密通訊協議，而且相容性好。是儲存重要密碼和錢包的首選。其他同類產品還有 Qubes OS、OpenBSD 等。使用需要掌握一定命令列技巧。

錦囊 8：錢包使用安全建議

• 錢包金鑰或助記詞妥善保管。記在紙上或用專用助記詞板。切勿儲存在聯網的電子裝置中。或者使用專用手機拍照儲存，手機不連網不用做其他用途。
• 只有確認使用軟體安全後再連線錢包。
• 使用多籤錢包。Gnosis Safe 是一款線上多籤錢包，可選擇使用多籤交易。
• 確認交易前，核實收款方資訊和交易地址。這一點很重要，無論金額大小都不要掉以輕心，務必檢查。Nexus Mutual 創始人 Hugh Karp 如果當時在傳送較以前，核實交易資訊，就會避免這次重大損失，還能及早發現潛伏駭客攻擊。
• Metamask 等錢包上不再使用或很少使用的「關聯網站」或「關聯賬戶」，及時取消關聯。硬體錢包可連線到 Debank 後，取消不使用的關聯合約。

錦囊 9：其他技巧及注意事項

• 重要備份檔案或資料加密。常用加密軟體 PGP。
• 預留兩種或以上備份方法。不要依靠記憶力或易損耗材料。
• 錢包助記詞或私鑰備份裝置保持離線，不聯網。裝置使用密碼、PIN 碼或圖形碼鎖定，不使用指紋等生物識別解鎖。