加密货币安全十诫

声明： 我不是信息安全专家，但是却妄想能够尽量保护你们远离伤害。如我之前所说，安全问题是我进入加密货币世界之时最为担心的一个问题。

如果你能够遵守本篇加密货币安全十诫，你可以绝对放心，安全之神会保佑你远离黑客的黑暗力量：

1. 不要在账户中使用短信双因素验证

一般在任何数字平台上开设账户，常规的操作方法都需要你提供一个邮箱用于找回密码。如果你的邮箱被盗用了，那几乎可以肯定你将无法再恢复邮箱，然后所有与你的这个邮箱绑定的账户都有可能被盗用。

在很多国家手机号码携带转网（号码更换运营商）都是一件很简单的事情，也就是说非你本人的其他人可以申请将你的号码携带转网，并将你号码上的短信与呼叫转移到一个新的设备上。

一旦有黑客知道了你的号码，如果他在某种因缘下得知了你的邮箱账户，即使不知道你的邮箱密码（如果你开启短信验证的话），他也可以通过短信验证申请密码找回，然后盗用你的邮箱。

2. 在你的账户中设置双因素认证（2FA）或者通用第二因素（U2F）

如果你没有遵守上面的第一条，但是你启用了双因素或者通用第二因素验证，那也没关系，短信验证会绕过这些安全措施。

双因素认证（2FA）可以阻拦黑客与钓鱼攻击，因为一旦你的邮箱账户启用了双因素认证，任何试图盗用你邮箱的人都需要物理或者远程访问你安装双因素认证应用（例如谷歌动态验证或者Authy）的设备，获得app内生成的基于时间的一次性密码（TOTP）。

比谷歌验证和Authy等这类双因素认证app更安全的一种方式是通用第二因素（U2F）。U2F是由FIDO联盟开发的一种开放、安全、私密、而且易于使用的身份认证标准。将U2F设备插入你的USB端口，当拔出或者按下上面的小按钮时，它就会向U2F设备发送一个签名的响应来验证你的登录。

U2F比普通的双因素认证更安全，因为它的“物理密匙”。例如：如果一个黑客成功远程访问了你的设备（已安装双因素认证应用），他可以轻易的获取应用中所有的认证账户信息。如果黑客想要访问你的账户，但是你启用了U2F认证，他将需要获得你的U2F密匙，而由于U2F密匙无法通过远程获取，将大大减少安全隐患。

3. 使用硬件钱包

毫无疑问，最安全的方式是将你的密码存储在一个硬件钱包中。在加密货币世界中有一句话众所周知：

“拥有秘钥的人才拥有加密货币。”

很多人都会经常说这句话，因为它确实很对，如果你把自己的加密货币存放在交易所中，你不会拥有秘钥，交易所会持有秘钥。举几个例子，我想大家都了解像Mt.Gox, Coinrail, Bithumb, Bitfinex这些交易所被攻击后发生了什么。

但是除了用来存放私钥，当然前提是你真的用（我知道有很多人拥有硬件钱包，但是却几乎不用），硬件钱包还有另外一个功能——通用第二因素（U2F）。

为了你的信息安全，千万不要将私钥存储在Evernote上，或者Dropbox上，使用你的硬件钱包。最差可以把线下保管私钥，存在纸钱包中。

像Ledger和Trezor这样的硬件钱包都有U2F功能。这是一个非常酷的功能，它不仅可以安全保管你的私钥，还可以保护你的第二双因素。如果硬件钱包被偷了，那么小偷需要知道你的PIN码才能使用硬件钱包，不像传统的U2F设备（Yubico），只要将其插入就能获得授权。

4. 不要浮夸

看看那些在社交媒体上炫耀自己盈利，然后就被黑客攻击的人。不作不死。

例1：不要做一个浮夸的傻蛋

例2：不要做一个浮夸的傻蛋

在社交媒体上公开讨论自己的盈利相当于在脑门上贴上这样的大标语：

“我超有钱的，来黑我！”

你在证明自己确实赚钱了的同时，也是在激励黑客们更努力地从你的安全系统中寻找漏洞，如果你不幸刚好有，他们一定会找到它，利用它得到丰厚的回报。所以不要做这样的人。

5. 匿名

在社交媒体（例如Twitter）中保持匿名就可以为你多加一层安全保护，为什么？

保持匿名你就可以成为你想要成为的任何人，避免直接向整个（网络）世界直接泄露自己的真实身份、性别、年龄、种族、国籍、背景、以及其它个人信息。

在很多国家，直接在社交媒体上公开说明自己在炒币就像直接公开发商业广告说明自己很有钱，在某些极端情况下，这有可能会给你的朋友或家人带来伤害，比如：盗窃，绑架，或敲诈勒索。

你可以匿名地浮夸，并且保护自己不受黑客攻击。

6. 不要暴露自己的敏感信息

如果你不是匿名但也不出名，那就避免暴露你自己的信息。不要在社交媒体上分享自己的个人信息，无论是通过文字还是图片。

暴露自己最常见的一种方式就是分享自己居住地附近的图片，这样相当于为别人提供拼图，能让他们猜出你是谁。

你泄露的每一条个人信息都可能会被黑客利用，他们会将信息拼凑在一起寻找能够获取你的加密资产的突破口。不要让自己成为社会工程攻击的目标。

社会工程攻击（Social engineering attack），广义上来说是一种操纵人们放弃敏感信息的做法。大多数情况下这些攻击的目的是为了让人们泄露登录信息或者财务敏感信息。

7. 不同的账户用不同的邮箱

社交媒体账户和交易所账户不要使用同一个邮箱。社交媒体账户币加密货币交易所账户更容易被攻击。

· Twitter有双因素验证，而且默认情况下不需要你每次都登录。如果你的办公电脑不加锁或者没有登出账号，那其他人就有可能获取你的邮箱。

· 众所周知，Facebook向第三方分享并且出售用户信息，可能包括你的邮箱和其他具体信息。

这就是说，按照账户重要程度分级使用自己的邮箱可以有效帮助你免受黑客攻击。

举个例子，你可以为Twitter, Facebook, Instagram, Snapchat,

Dropbox, Evernote, 等等账户设置同一个邮箱；而交易所账户使用只有你自己知道的邮箱。如果其他非交易所账户被盗用了，或者某些企业要出售你的邮箱和数据（这很有可能发生），至少这个邮箱只与其他非银行或交易所账户相关联。

或者更安全一点，不同的交易所账户使用不同的邮箱，并且只用于交易所账户。虽然管理邮箱账户和密码可能会比较有挑战性，但是偏执狂可以创造奇迹。

当然，如果你无意帮助黑客，那一定避免在不同的账户中使用相同的密码。

8. 网站加书签

目前为止，丢失加密货币最简单的方式是通过钓鱼网站。想象一下你刚买了一台新电脑，你的手机响了，因为你关注了John Mcafee，然后你迅速打开IE浏览器想登录币安进行一笔交易。你去到google页面，输入Binance，然后毫无违和地点击第一个搜索结果（钓鱼网站），你输入自己的邮箱和密码，（假设你很懒并没有启用双因素验证）。

Boom，你刚刚失去了币安账户中所有的资金，有可能会是你所有其他加密货币交易所账户中的资金。创建一个与正版完全一样的网站成本并不高，给Google Ads付钱也可以让自己的词条出现在最顶端，当然这是非常有利可图的。

以太坊代币钱包就曾发生过好几次这种事件，所以要谨慎，不要直接在搜索引擎中点击交易所链接，最好直接在地址栏中输入网址，或者直接通过自己保存的书签进入更好。

9. 在不受信任的WiFi网络中使用VPN

使用未知的不受信WiFi很不安全。在公共WiFi网络中使用VPN可以避免感染类似WiFi spoofing, Honeypot attack, 和Firesheep之类的病毒。

10. 安装杀毒软件和防火墙

杀毒软件可以保护你的电脑免受恶意软件侵害。因此如果有人诱惑你购买了某个“POS/MS”协议币，而且你安装了一个钱包应用，你最好要有一款好用的杀毒软件避免电脑受到恶意软件侵害。

防火墙可以保护你的电脑不受外部传入连接的侵害，也就是那些试图从外部控制你电脑的黑客们。

人们越来越相信无论他们在网络上，特别是社交媒体上披露多少个人信息，他们都会是“安全的”，因为他们坐在屏幕后面，可以保护他们免受来自现实世界的危险。如果你仔细想想的话就会发现，其实这就和你在现实世界中走在大街上一样，区别是你是在和数百万人一起分享自己的思想，图片，假面，和其他现实世界中的数据。

所以在数字世界中，请像在现实世界中一样约束自己的行为，小心谨慎，不要浮夸，学习安全的数字行为。用常识想一下，其实有比你想象的更多的人，恶意软件，以及人工智能在监视着你。

零识仅为翻译中文供大家学习使用，本文原英文内容版权归原作者所有。