Categories
General WAX

“Private Key” Management einfach erklärt

Dieser Artikel wurde ursprünglich von WAX sw/eden geschrieben und von Blacklusion auf Deutsch übersetzt.

Orginaler Artikel: https://waxsweden.org/private-key-management-for-dummies/

Sobald Sie etwas Wert auf Ihrem Konto haben, sollten Sie sich einen Moment Zeit nehmen und sich ansehen, ob Ihr Ansatz zur Schlüsselverwaltung ausreichend ist. Der Zweck dieses Artikels ist es, durch reale Fallbeispiele zu informieren und aufzuklären, was passieren kann und wie Sie das Risiko verhindern oder zumindest verringern können.

Es ist nicht nur der durchschnittliche Benutzer, der ein schlechtes privates Schlüsselmanagement hat, sondern auch technische Teams. Es gibt mehrere BPs/Gilden in EOSIO-Ketten sowie Großkunden, die ein schlechtes Schlüsselmanagement haben. Dies ist ein unvorsichtiger Risikofaktor…Gehören Sie nicht zu dieser Gruppe.

Es gibt eine Menge Schritte, die jeder unternehmen kann, um die mit der Schlüsselverwaltung verbundenen Risiken zu verringern. Einige davon sind wirklich ziemlich einfach und können mit wenig bis gar keinen Mitteln durchgeführt werden. Wenn Ihnen das Angst macht, gut, das sollte es auch. Jedes Jahr werden Unternehmen um Milliarden von USD erpresst, und die Krypto-Community verliert Millionen von Geldern. Vieles davon könnte durch ziemlich einfache Maßnahmen verhindert werden… also noch einmal… Gehören Sie nicht zu dieser Gruppe, so lustig ist es nicht.

Checkliste zur grundlegenden Verwaltung privater Schlüssel und Konten

  • Generieren Sie Ihre Schlüssel auf einem sicheren Gerät
    • Ihr alltäglicher Computer ist wahrscheinlich nicht sicher
    • Ihr Smartphone ist wahrscheinlich nicht sicher
  • Verwenden Sie eine vertrauenswürdige Hardware-Lösung (z.B. yubihsm2, Ledger)
  • Eine Laminierte Papier Kopie des privaten Schlüssels ist normalerweise eine gute Idee
  • Owner Key (Besitzerschlüssel) nicht auf einem Telefon speichern
  • Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern
  • Owner Key nicht auf einem Rechner, der Internetzugang hat speichern
  • Owner Key nicht online (oder auf einem entfernten Rechner) speichern
  • Owner Key nicht zu einer Wallet hinzufügen, es sei denn, Sie beabsichtigen, ihn zu benutzen und zu auszutauschen
  • Behandeln Sie den Owner Key als Ihr größtes Geheimnis, das niemand wissen darf.
  • Keine willkürlichen Wallets verwenden, sie können bösartig sein
  • Keine Dateien von Telegrambenutzern öffnen (auch nicht aus vertrauenswürdigen Quellen)
  • SMS oder E-Mail nicht als zwei Faktor Authentifizierung verwenden
  • Private Keys nicht auf Papier ausdrucken, sie werden wahrscheinlich im Drucker gespeichert.
  • Private Keys nicht per E-Mail verschicken
  • Fügen Sie Ihre „mnemotechnische seed Phrase“ zu keinem Dienst hinzu.
  • Fügen Sie Ihren Active Key (aktiver Schlüssel) nur zu vertrauenswürdigen Geräten hinzu.
  • Fügen Sie benutzerdefinierte Keys für Ihren täglichen Gebrauch hinzu, z.B. Beanspruchen der Rewards, Abstimmungen, Spiele.
  • Wann immer Sie den Owner Key benutzen mussten, tauschen Sie ihn danach gegen einen neuen aus
  • Überprüfen Sie Ihre heruntergeladenen Dateien vor der Installation mehrfach, damit es sich um die richtigen handelt.
  • Geben Sie Ihren Private Key NIEMAND weiter, NIEMALS

Gängige Wege, Schlüssel (oder Tokens) zu verlieren, die ein wenig außerhalb Ihrer Kontrolle liegen

  1. Malware protokolliert, was Sie tun, und benutzt dies, um Sie zu hacken
  2. Malware verändert den Empfänger und nimmt Ihr Geld
  3. Ihr Gerät geht verloren oder geht kaputt
  4. Sie haben ein schwaches Passwort
  5. Der Dienst speichert Ihr Passwort schlecht
  6. Ihre Passwörter/E-Mail-Kombination wurde veröffentlich
  7. Trojaner können Ihre Zwischenablage (alles, was Sie kopieren und/oder einfügen) mitlesen
  8. Rootkits sind auf ihrem Gerät installiert
  9. Sie geben Ihre „mnemonic phrase“ bei einem Phishing-Versuch ein
  10. Unterzeichnen von böswilligen Transaktionen
  11. Automatisches Ausfüllen des Feldes an eine falsche Adresse
  12. Private Key geht verloren und wird nicht ordnungsgemäß gesichert
  13. Das Passwort wurde vergessen
  14. Nutzung von öffentlichen WLANs

Generierung von Private Keys

  • Generieren Sie Ihre Schlüssel auf einem sicheren Gerät
    • Ihr alltäglicher Computer ist wahrscheinlich nicht sicher
    • Ihr Telefon ist wahrscheinlich nicht sicher

Die Generierung Ihrer Schlüssel auf einem sicheren Gerät ist genauso wichtig, wenn nicht sogar wichtiger, als die Art und Weise, wie Sie sie speichern. Denn wenn sie bei der Generierung kompromittiert werden, spielt es keine Rolle, wie großartig Ihre Speicherlösung ist.

Wenn Sie eine Website oder einen bequemen Generator auf Ihrem Rechner benutzen, stellt dies ein Risiko dar, das Sie nicht eingehen sollten, wenn Sie Tokens besitzen, die einen großen Wert für Sie haben. Bitte setzen Sie sich damit auseinander, wie man Schlüssel richtig generiert, oder kaufen Sie sich eine sichere Hardware-Wallet.

Ihre Geräte, die Sie für soziale Medien, Spiele, Browsen usw. verwenden, sind sehr wahrscheinlich nicht sicher. Das bedeutet nicht, dass Sie Malware auf Ihrem Gerät haben, aber es bedeutet, dass das Risiko einer Attacke erhöht ist. Sogar der WLAN-Router, mit dem Sie sich verbinden, kann gehackt werden. Dies ist möglicherweise egal, wenn Sie das Gerät austauschen, einen VPN verwenden oder was immer Sie tun, um mit dem Internet zu interagieren. Und wenn Sie sich mit einem öffentlichen Internet verbinden: Bitte geben Sie Ihre Schlüssel oder Passwörter in keiner Weise preis >.<

Stellen Sie sich einfach diese Frage… Wenn Sie ein Hacker wären und eine Menge Leute erreichen wollten, würden Sie ein einzelnes Gerät oder eine öffentlich zugängliche WIFI-Verbindung ins Visier nehmen? Vertrauen Sie darauf, dass Ihr lokales Café über hochqualifiziertes IT-Personal verfügt?

Viele Geräte sind mit verschiedenster Malware infiziert, nicht alle werden versuchen, Ihr Passwort oder Ihre private Keys zu stehlen, aber wir können davon ausgehen, dass sie nicht gerade dabei helfen Ihr Gerät zu sichern.

Eine Möglichkeit, sichere Schlüssel zu generieren, besteht darin, diesem Leitfaden zu folgen.

In diesem Kurs lernen Sie, wie Sie einen bootfähigen USB-Stick erstellen, den Sie an jedes Gerät anschließen können und in einen Generator für sichere Schlüssel verwandeln können. Stellen Sie nur sicher, dass Sie auch Wifi, Ethernet-Kabel usw. entfernen. Der bootfähige USB wird automatisch mit einer Firewall versehen, die den gesamten eingehenden Datenverkehr blockiert, um das Risiko zu verringern.

Sie finden ihn hier

Dennoch gilt: Die Schlüssel sind nur so sicher, wie Sie sie behandeln.

Private Keys speichern

Verwenden Sie eine vertrauenswürdige Hardware-Lösung (z.B. yubihsm2, Ledger)

Für die meisten Menschen ist dies eine gute Lösung für die Aufbewahrung Ihrer Schlüssel. Da sie sehr schwer zu knacken ist. Es gibt immer noch Möglichkeiten, Ihre Tokens zu verlieren, vor allem durch das Signieren böswilliger Transaktionen, indem Sie eine Verbindung zu einer Skimming-Site oder einer Wallet herstellen. Obwohl es einige Fälle von gehackten Hardware-Wallets gibt, müssen sie in der Regel aber physischen Zugang zu dem Gerät haben.

Die Verwendung von Hardware-Wallets ist in der Regel recht einfach und reduziert eine Menge gängiger Attacken und Risiken. Sie müssen sich jedoch trotzdem an Ihr Passwort und Ihren Wiederherstellungssatz erinnern und diese aufbewahren. Diese beiden Schritten müssen richtig umgesetzt werden, sonst spielt es keine Rolle, ob sich Ihre Schlüssel auf einem Gerät oder auf einem Stück Papier befinden.

Eine Laminierte Papier Kopie des privaten Schlüssels ist normalerweise eine gute Idee

Dies ist tatsächlich eine der sichereren Speichermethoden der private Keys. Es erfordert, dass derjenige, der Ihre Tokens stehlen will, Ihre Niederschrift erst lokalisieren muss. Wie bei allen Optionen gibt es jedoch Risiken, die sich ziemlich gut minimieren lassen. Ein einfacher Zettel wird höchstwahrscheinlich ausreichen, aber das Aufbringen der Laminierung darauf wird die Qualität Ihrer Aufbewahrung erhöhen.

Wenn Sie sich entscheiden, Ihre Schlüssel auf Papier aufzubewahren, denken Sie daran, dass sie leicht von einer Kamera kopiert werden können, ohne dass Sie es merken. Sie können durch Feuer oder durch einen Ehepartner, der sie für Müll hält, beschädigt werden. Erstellen Sie also mehrere Kopien Ihres Schlüssels und bewahren Sie sie an verschiedenen sicheren Orten auf.

Und bitte vergewissern Sie sich, dass Sie den richtigen Schlüssel haben, indem Sie sich ein paar zusätzliche Minuten Zeit nehmen und ihn einmal zu einer vollständig offline arbeitenden Maschine hinzufügen, nur um sicherzustellen, dass Sie ihn korrekt kopiert haben: Die Perfekte Nutzung für unseren bootfähigen USB-Stick.

Den Owner Key nicht auf einem Telefon speichern

Es gibt TONNEN von Malware, die auf Telefone spezialisiert sind. Darüber hinaus gibt es eine Menge gefälschter Anwendungen, die in den Geschäften sowohl auf Android als auch auf iOS angeboten werden. Android hat mehr von beiden, aber iOS ist nicht ungefährdet. Das Telefon sollte nicht gerade als ein sicheres und geschütztes Gerät behandelt werden. Fügen Sie nur Konten mit begrenztem Wert und/oder Schlüssel mit Sondergenehmigung zu Ihren mobilen Geräten hinzu.

Dies verringert das Risiko, und Sie können diese Konten wie „hot wallets“ behandeln, in denen Sie nur das aufbewahren, was Sie zu benutzen beabsichtigen und verlieren können.Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern

Den Owner Key nicht auf einem Gerät mit mehreren Benutzern speichern

Ok, nehmen wir an, Sie sind makellos und haben ein perfektes Management von Schlüsseln und Risiken. Es ist sehr unwahrscheinlich, dass die andere(n) Person(en), die Zugang zu Ihrem Gerät hat/haben, so akribisch ist/sind wie Sie. Normalerweise erhalten die gehackten Unternehmen, die um große Summen Bitcoin erpresst werden, den Virus von einem Mitarbeiter, der infizierte Mails öffnet, auf Links klickt, schlechte Software herunterlädt und diese installiert. Die Leute gehen nicht mit Risiken um, also erwarten sie, dass sie Mist bauen.

Den Owner Key nicht auf einem Rechner, der Internetzugang hat speichern

Wenn Ihr Gerät online ist, kann darauf zugegriffen werden. Heutzutage gibt es mehrere Sicherheitslücken in einer Maschine, und diese können für den Zugriff auf Ihr Gerät genutzt werden. Dies ist umso wahrscheinlicher, je häufiger Sie das Gerät zum Surfen im Internet, zum Herunterladen von Dateien und zum Installieren von Software verwenden. Verwenden Sie Ihre Active Key(s) nur mit benutzerdefinierten Berechtigungen, so dass Sie den Schaden im Falle einer Kompromittierung verringern können. Es ist ätzend, Wert zu verlieren, aber es ist noch ätzender, alles zu verlieren.

Und bitte, haben Sie einen unterschiedlichen Schlüssel für Owner und Active Key…

Den Owner Key nicht online (oder auf einem entfernten Rechner) speichern

Es gibt mehrere Cloud-Dienste, die zum Speichern privater Schlüssel verwendet werden… Eine Cloud-Lösung bedeutet buchstäblich, dass Sie den Rechner von jemanden ANDEREN verwenden. Wenn Sie Ihren Besitzerschlüssel zu einem Cloud-Service hinzufügen, selbst wenn dieser sicherer ist, müssen Sie darauf vertrauen, dass er keine böswilligen Absichten hat. Sicher, ich persönlich vertraue gerne darauf, dass die Absichten der Leute gut sind und dass sie helfen wollen. Aber ich würde ihnen nicht meinen Owner Keys anvertrauen…

Ich habe persönlich von Leuten gehört, die ihre Private Keys in Google Docs, Cloud-Diensten, Dropboxen oder anderen Speicherlösungen speichern… Ich würde dringend davon abraten. Kaufen Sie 2 USB-Sticks, verschieben Sie eine verschlüsselte Datei mit Ihrem privaten Schlüssel dorthin und speichern Sie sie an zwei verschiedenen Orten. Das wäre eine viel bessere Lösung.

Den Owner Key nicht zu einer Wallet hinzufügen, es sei denn, Sie beabsichtigen, ihn zu benutzen und zu auszutauschen

Nachdem Sie die vorherigen Abschnitte gelesen haben, wissen Sie, warum dies eine schlechte Idee ist… Ihr Owner Key ist Ihr Administratorschlüssel. Geben Sie ihn nur ein, wenn Sie beabsichtigen, ihn zu benutzen. Wenn Sie ihn in einer Wallet lassen, erschaffen Sie eine Angriffsfläche für Hacker.

Wenn Sie Ihren Owner Key zu einer Wallet hinzufügen und Ihren Owner Key verwenden, stellen Sie sicher, dass Sie ihn gegen einen neuen Schlüssel austauschen, bevor Sie Ihre Arbeit beenden. Sie sollten einen gebrauchten Besitzerschlüssel als einen kaputten betrachten, der ersetzt werden muss. Wenn Sie mehrere Besitzerschlüssel in Ihrem Konto aufbewahren, können Sie ihn einfach entfernen.

Behandeln Sie den Owner Key als Ihr größtes Geheimnis, von dem niemand wissen darf

Ihr Owner Key ist buchstäblich Ihr Weg, um zu beweisen, dass das Konto und die Tokens auf einer Blockchain Ihnen gehören. Wenn jemand, den Sie für einen Freund halten, in den Besitz des Schlüssels gelangt, gehört das Konto jetzt ihm. Es fällt immer noch unter Diebstahl, aber können Sie das beweisen? Es gibt mehrere Geschichten von Leuten, denen Private Keys gestohlen wurden, sogenannten Freunden.  

Mit der Blockchain interagieren

Keine willkürlichen Wallets verwenden, sie können bösartig sein

Menschen erstellen Wallets nur zu dem Zweck, an die private Schlüssel der Menschen zu gelangen und ihr Vermögen zu stehlen. Ja, das ist eine reale Gefahr… Browser-Brieftaschen, Desktop-Brieftaschen, mobile Brieftaschen, Hacker wollen Sie um Ihre Tokens erleichtern, und sie sind gut darin.

Hier sind einige Beispiele:
  1. Gefälschte Ledger-Chrome-Extension
  2. Böswillige Wallet stelht private Schlüssel
  3. Bitcoin Gold Wallet ergaunerte 3,3 Mio. $
  4. Crypto Wallet stehlt seed Keys
Keine Dateien von Telegrambenutzern öffnen (auch nicht aus vertrauenswürdigen Quellen)

Dies hat mehrere Gründe: 1. Wahrscheinlich kennen Sie die Person, mit der Sie über Telegram kommunizieren, nicht wirklich. Wenn Sie die Person kennen, gibt es mehrere Möglichkeiten, ein Telegram-Benutzernamen zu fälschen. Von dieser Masche wird häufig bei Betrügereien Gebrauch gemacht. Und auch das Konto kann durch Kopieren der Sim-Karte des Benutzers oder durch Malware gestohlen werden.

Menschen wurden durch diese Taktik um Tokens im Wert von mehreren hunderttausend USD gebracht. Normalerweise ist das Konto wirklich gut gefälscht: Es hat dasselbe Foto (und oft auch die alten Fotos), und auf einen kurzen Blick ist es derselbe Kontoname… durch Hinzufügen in das Bio-Feld und Ausblenden des Benutzernamen-Feldes.

Eine Möglichkeit, dies zu bemerken, besteht darin, einen Desktop zu benutzen, das Profilbild zu öffnen und auf das Datum und die Uhrzeit der hochgeladenen Fotos zu achten, die oft nur Sekunden oder Minuten auseinander liegen. Soweit ich weiß, können Sie den Zeitangaben in der mobilen Version sehen.

SMS oder E-Mail nicht als zwei Faktor Authentifizierung verwenden

SMS- und E-Mail-Nachrichten können zu mehreren Zeitpunkten abgefangen werden. Sogar Dan Larimer verlor Bitcoins bei einer Börse aufgrund von einer Wiederherstellungs Email. Und wir sollten verstehen, dass der Mann, der mehrere Blockchain-Lösungen geschaffen hat, etwas von Sicherheit versteht. Dieses Mal war es jedoch nicht seine Schuld, sondern die der Börse, die schwache Sicherheitspraktiken hatte. Die Hacker lösten im Grunde genommen das Versenden einer E-Mail aus, fingen diese ab und gaben dann den Wiederherstellungscode ein, um sich in das Konto einzuloggen. Sie brauchten sich nicht einmal in seine E-Mail einzuloggen… Die vollständigen Vortrag können Sie hier lesen.

Wenn Sie nur “Sim Karte klonen“ googleln, werden Sie viele verschiedene Möglichkeiten finden, eine zu klonen, und dies ist bei Kryptokonferenzen und Versammlungen geschehen. Leute haben behauptet, dass sie weit mehr als 1 Million Dollar durch diese Angriffe verloren haben, z.B.: https://stupen.com/business-2019-news/pping-hack-targeo-execs/

Manchmal brauchen sie nicht einmal ein Gerät zu hacken, sondern rufen einfach den Support an und geben vor, die Person zu sein.

Kurz gesagt, vertrauen Sie nicht darauf, dass Ihre Telefonnummer ein sicherer Weg ist, sich selbst zu verifizieren…

Private Keys nicht auf Papier ausdrucken, sie werden wahrscheinlich im Drucker gespeichert.

Fast alle Drucker auf dem Markt sind heute so genannte “intelligente” Drucker. Sie verwenden drahtlose Kommunikation, können E-Mail-Ausdrucke akzeptieren und von Telefonen aus arbeiten usw. Alle praktischen Lösungen haben Schwächen, und eine davon ist, dass Ihr Drucker kein sicheres Gerät ist. Er protokolliert alles, was Sie drucken, und das bedeutet: Was Sie ausdrucken, kann jemand auslesen. Drucken Sie also bitte nicht, sondern schreiben Sie vertrauliche Informationen immer per Hand auf. Oder verwenden Sie einen alten Drucker, der ein Kabel verwendet und nicht intelligent genug sind, um Ihre Schlüssel aufzubewahren.

Private Keys nicht per E-Mail verschicken

Ihre E-Mails durchlaufen buchstäblich mehrere Server und können auf jedem protokolliert und abgerufen werden. Wenn sie nicht Ende-zu-Ende-verschlüsselt sind, ist das wie wenn Sie Ihren Schlüssel auf ein Papier schreiben würden und dieses einfach an einer Bushaltestelle liegen lassen würden. Das machen Sie auch nicht.

Fügen Sie Ihre „mnemotechnische seed Phrase“ zu keinem Dienst hinzu

Behandeln Sie Ihre „Mnemonic Seed Phrase“ mit Respekt!

Geben Sie diese nirgendwo anders ein als an der Stelle, an der Sie sie erzeugt haben. Und tun Sie das immer nur, wenn Sie Ihre Daten wiederherstellen müssen. Menschen werden immer wieder betrogen, indem sie diese Sätze eingeben oder sie schlecht speichern…

Bitte machen Sie nicht den Fehler, sie in einem beliebigen Webdienst oder Fragebogen einzugeben… Das passiert immer wieder.

Fügen Sie Ihren Active Key (aktiver Schlüssel) nur zu vertrauenswürdigen Geräten hinzu.

Unsicher, was ein vertrauenswürdiges Gerät ist? – Beginnen Sie hier, um zu lernen, was man nicht tun sollte

Vergewissern Sie sich, dass das Gerät, in das Sie Ihren Active Key eingeben, ein Gerät ist, dem Sie vertrauen können… Sie können niemals sicher sein, wenn Sie das Gerät benutzen, aber immerhin können Sie das Risiko verringern, indem Sie klug oder zumindest nicht dumm sind.

Wenn Sie ein Gerät haben, das nur Sie benutzen, sollte dies Ihr “vertrauenswürdiges Gerät” sein, aber nur, wenn Sie sich nicht rücksichtslos verhalten… Laden Sie nicht alles herunter, was Sie sehen, gehen Sie nicht auf zufällige Sites, öffnen und klicken Sie nicht alle Links in E-Mails. Zusammengefasst: Klicken, öffnen, herunterladen oder besuchen Sie nichts, was Sie nicht wollten.

Wenn Ihr Schlüssel kompromittiert wird, sind Ihre Tokens hoffentlich „gestaked“, so dass sie 72 Stunden lang gesperrt sind und Sie genug Zeit haben, Ihr Gerät neu zu installieren, Ihren Owner Key zu finden, ihn einzugeben, Ihren Active Key auszutauschen, Ihre Tokens zu sichern und dabei natürlich Ihren Owner Key gegen einen neuen auszutauschen.

Die gestakten Tokens sind ein GROSSER Sicherheitsaspekt, der Ihnen 3 Tage Zeit gibt, zu reagieren und sich zu schützen.

Best Practices

Fügen Sie benutzerdefinierte Keys für Ihren täglichen Gebrauch hinzu, z.B. Beanspruchen der Rewards, Abstimmungen, Spiele.

Das ist ziemlich einfach zu machen, erfordert nicht viel Wissen und es gibt gut geschriebene Anleitungen, z.B. unsere, die Sie hier finden.

Durch die Verwendung benutzerdefinierter Schlüssel ist Ihr Risiko bei speziellen Anwendungsfällen minimal, immer nur die EXAKTEN Aktionen ausgeführt werden können, die Sie mit diesem Schlüssel zulassen. Wenn Sie z.B. einen Schlüssel erstellen, der nur Transaktionen zur Abstimmung signieren darf, kann er nie etwas anderes tun.

Um bestimmte Schlüssel zuzuweisen, müssen Sie auf das Konto mit dem „smart contract“ und der Aktion verweisen, die Sie zulassen wollen, z.B. “eosio::voteproducer”, damit können Sie die Aktion “voteproducer” auf eosio ausführen, welche Sie benutzen, um auf der Blockchain abzustimmen.

Wann immer Sie den Owner Key benutzen mussten, tauschen Sie ihn danach gegen einen neuen aus

Dies ist eine der leistungsstärkeren Funktionen, die das EOSIO-Kontosystem mit sich bringt. Da Ihre Tokens mit Ihrem Kontonamen und nicht mit dem Schlüsselpaar verbunden sind (wie bei Bitcoin, Ethereum usw.), können Sie Ihre Schlüssel beliebig häufig austauschen. Solange Sie Ihre Schlüssel verfügbar halten. Nicht, dass einige Projekte einen Snapshot ihres Account erstellen und des Kontostatus für ihre Projekte und Forks Wenn das der Fall ist, können es tatsächlich passieren, dass Konten mit einem alten Schlüsselpaar assoziiert werden. Dies ist bei Telos der Fall, als sie das Genesis-Konto von EOS verwendet haben.

Zurück zum Thema, Schlüssel tauschen, warum?

Weil sie kompromittiert werden können und der Besitzerschlüssel Ihr Administratorschlüssel ist. Dies ist DER SCHLÜSSEL, der Ihnen die volle Kontrolle über Ihr Konto gibt. Mit diesem Schlüssel können Sie mit Ihrem Konto alles tun, was Sie wollen, ich bin ziemlich sicher, dass Sie damit sogar Minions beschwören können.

Das Wechseln der Schlüssels ist großartig, da der neue Schlüssel natürlich auf einem sicheren Gerät erzeugt wird und niemals in eine angeschlossene Maschine eingegeben wird, da Sie wissen, dass dies die richtige Arbeitsweise ist 😉

Eigentlich sollten Sie mehrere Owner Keys hinzufügen, dann sind Sie in der Lage, einen zu entfernen, dies wird Ihnen das Leben erleichtern, zusätzlich können Sie die Schlüssel an verschiedenen Orten aufbewahren.

Ein Beispiel dafür, wie das aussehen kann, ist das folgende Testnet-Konto: https://wax-test.bloks.io/account/noobtestings#keys

Überprüfen Sie Ihre heruntergeladenen Dateien vor der Installation mehrfach, damit es sich um die richtigen handelt.

Erstens: Laden Sie nur Sachen aus sicheren Quellen herunter… Zweitens: Selbst, wenn Sie von einer Quelle Ihres Vertrauens herunterladen, können sie kompromittiert werden, und Sie sollten am besten die Prüfsumme überprüfen. Einige Produkte listen die Prüfsummen öffentlich auf, um sicherzustellen, dass die Datei, die Sie herunterladen, die Datei ist, die Sie eigentlich heruntergeladen haben sollten. Die Prüfsumme ist ein Hash-Wert, den Sie nach dem Herunterladen auf Ihrem Gerät überprüfen können.

Wenn ich die Windows Datei überprüfe bekomme ich folgende Prüfsumme:

[email protected] ~/s/M/satter> sha256sum win-scatter-12.0.0.exe   1c3e092d2ed1e42cc45818329c48bbd8535261917157bfe85daafd99ac774832  win-scatter-12.0.0.exe

Und da dies die gleiche Prüfsumme wie die öffentlich aufgeführte Summe ist, kann ich bestätigen, dass ich die gleiche Datei herunterladen habe. Ja… die Summe, die Sie auf der Seite sehen, kann verfälscht werden… Aber es ist schwer, alle Risiken vollständig zu reduzieren… Zumindest sind Sie besser dran, als die Datei gar nicht zu überprüfen.

Geben Sie Ihren Private Key NIEMAND weiter, NIEMALS

Das ist für die meisten offensichtlich… aber Betrüger kommen immer noch an die private Keys der Leute, indem sie mit ihrem Vertrauen spielen. Geben Sie Ihren privaten Schlüssel NIEMALS, NIEMALS, IN EINER SITUATION, an irgendjemanden weiter. Vielleicht ist es in Ordnung, wenn Ihnen jemand eine Waffe an den Kopf hält… aber das ist hoffentlich nicht Ihr Alltagsszenario.

Gängige Wege, Schlüssel (oder Tokens) zu verlieren, die ein wenig außerhalb Ihrer Kontrolle liegen

1. Malware protokolliert, was Sie tun, und benutzt dies, um Sie zu hacken

Es gibt Malware, die Ihre Passwörter, Aktivitäten, Suchergebnisse und vieles mehr mitliest. Diese können in vielen Formen und Ausprägungen auftreten, auch als Browser-Addons. Browser-Add-Ons ist eine Kategorie, die zu wachsen scheint und leicht zu übersehen ist. Etwas, worunter Boxmining wahrscheinlich kürzlich zu leiden hatte: https://twitter.com/boxmining/status/1237372876908462080

Seien Sie vorsichtig, wenn Sie Software installieren, Addons sind keine Ausnahme.

Noch mehr nerdiges, fall es Sie interessiert:

https://www.coindesk.com/browser-extensions-can-help-scammers-steal-your-bitcoin-casa-ceo

2. Malware verändert den Empfänger und nimmt Ihr Geld

Es gibt Berichte über Malware, die im Wesentlichen den Empfänger vertauscht, wenn Sie versuchen, Tokens zu senden. Sie kopieren den Empfänger, aber beim Einfügen wird er mit einem neuen Schlüssel vertauscht, der dem verwendeten sehr ähnlich sein könnte. Dies ist häufiger in Blockchain Konzeptionen anzutreffen, die sich bei Übertragungen auf öffentliche Schlüssel anstelle von Kontonamen stützen.

https://us.norton.com/internetsecurity-malware-what-is-a-trojan.html

3. Ihr Gerät geht verloren oder geht kaputt

Hardware-Fehler? Ehepartner verschüttet ein Glas Wasser darauf? Sie haben es fallen lassen? Was auch immer der Grund dafür ist, riskieren Sie Ihre Wertsachen nicht, indem Sie nur 1 Kopie haben, unabhängig von der Art und Weise, wie Sie Ihre privaten Schlüssel und Passwörter aufbewahren.

Also, bevor Ihr Gerät kaputt geht, erstellen Sie Sicherungskopien und fahren Sie dann mit diesem Artikel fort.

4. Sie haben ein schwaches Passwort
5. Der Dienst speichert Ihr Passwort schlecht

Das folgende Video wird einen tiefen Einblick geben, warum und wie einfach es ist, Passwörter zu knacken, die schlecht in einer Website oder einem Programm gespeichert sind.

Zu faul das Video zu schauen?

Die meisten (alle?) Dienste speichern einen Hash Ihres Passworts, und wenn Sie ein Passwort eingeben, prüft der Dienst, ob der Hash gleich ist, und wenn ja, können Sie sich einloggen. Das Problem ist, dass die Leute wirklich einfache Passwörter verwenden, so dass sie leicht zu erraten sind. Wörter aus dem Wörterbuch sind wirklich schlecht, selbst wenn sie mit einfachen Zahlenkombinationen kombiniert werden.

Wenn dein Passwort “password123“ ist und mithilfe von md5sum gespeichert wird, sieht der Hash folgendermaßen aus: 482c811da5d5b4bc6d497ffa98491e38
Wenn dein Passwort “password123“ ist und mithilfe von sha256sum gespeichert wird, sieht der Hash folgendermaßen aus: Ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

Wenn Sie Ihr Passwort aussuchen, fügen Sie keine Wörter aus Wörterbüchern, Datumsangaben, Haustiere, Namen, Orte oder Zahlen in einer gängigen Reihenfolge hinzu, und achten Sie darauf, dass es sich um ein längeres Passwort handelt. Verwenden Sie vorzugsweise einen Passwort-Manager mit zufällig generierten Passwörtern.

6. Ihre Passwörter/E-Mail-Kombination wurde veröffentlich

Es gibt tonnenweise gehackte Datenbanken mit Benutzeranmeldeinformationen, die im Internet verfügbar sind. Und falls nicht, gibt es auch Möglichkeiten, Ihre E-Mails abzufangen und zu erhalten, ohne dass Sie es merken, und sie zu benutzen, um das Passwort und die Anmeldung bei den vorgesehenen Diensten zu ändern.

Ein guter Grund, eine sichere 2FA an so vielen Stellen wie möglich hinzuzufügen. Nachfolgend sehen Sie einige Gründe, warum Sie sich verschiedene Passwort-Kombinationen verwenden sollten. Bitte verwenden Sie nicht für alle Börsen, die Sie benutzen, dieselbe E-Mail.

7. Trojaner können Ihre Zwischenablage (alles, was Sie kopieren und/oder einfügen) mitlesen

Dies ist beängstigend, da Sie vielleicht nicht merken, dass es sie gibt, und wenn doch, könnte es zu spät sein. https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/

Das oben verlinkte Programm stiehlt nicht nur Ihre Schlüssel oder tauscht Links aus, es nimmt auch Ihr Passwort und andere Informationen mit. Es findet auch Ihre Bitcoin-Wallet auf Ihrem Rechner und stiehlt diese zusammen mit Ihrem Passwort… Sie verkaufen diese Software für $27…

Das bedeutet, wenn Sie dieses Programm auf Ihrem Rechner installiert haben und Sie Wallet-Dateien, Passwörter, private Schlüssel usw. Speichern, haben die Hacker bereits alle Informationen solange das Programm installiert ist.

Beginnen Sie zu verstehen, warum Sie den Owner Key nicht auf diesem Gerät haben sollten?

8. Rootkits sind auf ihrem Gerät installiert

“Ein Rootkit ist eine Sammlung von typischerweise bösartiger Computersoftware, die den Zugriff auf einen Computer oder einen Bereich seiner Software ermöglichen soll, der anderweitig nicht erlaubt ist, und oft seine Existenz oder die Existenz anderer Software verschleiert.“

Diese Rootkits werden oft von Malware selbst installiert. Um sie zu verhindern, müssen Sie das Betriebssystem Ihres Computers häufig aktualisieren, und selbst wenn Sie dies tun, ist es nicht sicher, dass Sie von ihrer Existenz wissen. Und wenn auf Ihrem Gerät ein Rootkit installiert ist, können diese tun, was sie wollen.

9. Sie geben Ihre „mnemonic phrase“ bei einem Phishing-Versuch ein

Die „Mnemonic phrase“ sollte mit Respekt behandelt und sehr sicher aufbewahrt werden. Speichern Sie sie nicht einfach in einem Textdokument oder irgendwo online. Fügen Sie sie zu einer verschlüsselten Datei hinzu und speichern Sie diese sicher mit mehreren Backups.

In letzter Zeit hat es Phishing und verschiedene Betrugsangriffe auf verschiedene Orte wie Websites und über Telegram gegeben, bei denen versucht wurde, Sie dazu zu bringen, diese Phrasen zu veröffentlichen. Ein Argument, das sie benutzen, ist, dass sie Ihren öffentlichen Schlüssel auf die nächste Version aktualisieren müssen… bitte vertrauen Sie diesem Prozess nicht. Erst vor ein paar Tagen hörte ich von einem Mann, der 70.000 Dollar bei einem Versuch wie diesem verloren hat…

10. Unterzeichnen von böswilligen Transaktionen

Dies geschieht bei böswilligen DAPPs und Wallets, Sie denken vielleicht sogar, dass Sie das tun, was Sie tun sollen, aber plötzlich werden Ihre Schlüssel vertauscht und Sie haben keinen Zugriff mehr auf Ihr Konto. Dies ist schon bei mehreren Betrügereien mit EOS passiert und kann normalerweise verhindert werden, indem man richtig liest, was die tx auf Ihrem Gerät zu tun versucht. Wenn die Transaktion den Status “updateauth” hat und Sie das nicht tun wollten… dann versucht es wahrscheinlich, Ihre Schlüssel zu vertauschen.

Das Hinzufügen von benutzerdefinierten Berechtigungen für Ihre dapps verhindert dies, denn selbst wenn sie es versuchen, können sie es nicht tun.

11. Automatisches Ausfüllen des Feldes an eine falsche Adresse

Eine ziemlich traurige Situation, das automatische Ausfüllen von Adressen auf EOSIO-Sites als Blocks ist dazu da, dem Benutzer zu helfen. Aber da Betrüger Kontonamen gekauft haben, die den Namen der Börsenkonten sehr ähnlich sind, kann man leicht das falsche Konto eingeben lassen und Geld an den falschen Ort schicken.

Dies kann verhindert werden, indem man bei einer solchen Überweisung den Namen und das Memo aus der Börse kopiert. Es sei denn, Sie verfügen über Malware, die ändert, was Sie kopieren… Überprüfen Sie also immer genau, was Sie hinzufügen.

12. Private Key geht verloren und wird nicht ordnungsgemäß gesichert

ERSTELLEN SIE MEHRERE BACKUPS IHRER PRIVATEN SCHLÜSSEL!!!

Tun Sie es einfach… und speichern Sie sie auf ein paar USB-Sticks, laminierte Papiere oder Hardware-Wallets… Wie auch immer Sie sich fühlen, es ist das Beste für Sie. Solange Sie Kopien machen, seien Sie nicht faul…

13. Das Passwort wurde vergessen

🙁 ein Risiko der Verwendung von sichereren Passwörtern. Wenn Sie nicht bereits einen Passwortmanager verwenden, beginnen Sie jetzt. Es sind mehrere Optionen verfügbar. Ich empfehle einen Passwortmanager, bei dem Sie die Kontrolle über die Datei haben, solange Sie MEHRFACHE Sicherungen dieser Dateien erstellen.

14. Nutzung von öffentlichen WLANs

Der Eigentümer des Netzwerks oder ein Hacker kann protokollieren, was Sie von Ihrem Rechner aus senden, und das zu einem späteren Zeitpunkt gegen Sie verwenden. Wenn Sie also Lust haben, sich mit einem öffentlichen WLAN-Endpunkt zu verbinden, erwarten Sie, dass dieser weiß, was Sie tun, und alle Ihre Informationen protokolliert. Diese Annahme trägt zu einer sicheren Nutzung bei.

Leave a Reply

Your email address will not be published. Required fields are marked *