企业如何在加密世界中防止资金损失并保持安全?

译文 精选
安全 应用安全
作为一名企业家,缺乏安全感在所难免,特别是在资金安全方面。无论如今数字空间中的解决方案有多么强大、多有远见,人为因素仍然是资产被盗的关键。

​译者 | 刘涛

审校 | 孙淑娟

作为一名企业家,缺乏安全感在所难免,特别是在资金安全方面。无论如今数字空间中的解决方案有多么强大、多有远见,人为因素仍然是资产被盗的关键。如果您已经成立了一家公司,获得了投资,但依然担心资金安全问题,那么有必要采取行动来评估用于公司目的的加密服务所面临的所有威胁。

本文讨论了当前数字安全问题,并就企业家在不久的将来可能面临的特殊威胁提出了解决方案。

具备先发制人的思维方式

有句话说得好:“预先警告就是预先武装”,并非毫无根据。一般而言,有两样东西必须重视起来加以保护——私钥和助记词(或者是助记符)。心怀不轨的人很容易猜到它们并偷走其中一个,具体是怎么做到的呢?以下是这类人窃取资产的主要方式。

1、设备入侵

不管是笔记本电脑还是智能手机,储存私人密钥都不是个好主意。丢失这样的钥匙就等于丢失了信用卡或借记卡连同PIN码。后果显而易见,无需进一步解释。

怎么解决?

找到其他方法来储存敏感信息。事实上,最常见的解决方法就是保留私钥的硬拷贝。然而,纸张似乎并不总是最可靠的储存方式,因此,如果采用更具创造性的方法,一定会降低损失的概率。对于企业所有者来说,最有意义的解决方案是 Cryptosteel、 Cryptoart以及使用硬碟安全模块(HSM)。

2、电子邮件网络钓鱼

电子邮件是商业的重要组成部分,黑客比任何人都清楚。出于这个原因,他们会通过一个假定您已经习惯了的服务发送电子邮件,这种服务要求数据执行特定行为。

他们的电子邮件可能会伪装成公司代表(例如,如果您使用钱包服务)要求您分享一些个人信息,尽管官方代表从来没有这样做过。这就是人为因素造成的,有些人被骗并提供了个人信息。

怎么解决?

当您收到这样的信息时,不要理会,马上联系您所在公司或服务机构的官方代表。作为生活常识,您应该经常提醒自己:官方银行代表是否需要输入密码?

3、假钱包

不幸的是,黑客成功地模仿官方公司(比如Trezor)开发的应用程序,从而避免了在谷歌应用商店(Google App Store)平台上被禁。他们用相似的名字,伪装成官方的钱包。2022年,Trezor 的用户收到了一封来自 Trezor.us 域名的邮件,该邮件模仿 Trezor.io 发送的信息,要求用户通过点击链接来更新钱包软件——这似乎是一个旨在窃取资产的阴谋。

怎么解决?

请务必从钱包服务的官方网站下载应用程序。其中一些钱包甚至可能会要求您的手机号码发送一个安全的链接,让您到应用程序商店。

4、恶意软件

对于黑客来说,获取数据至关重要。作为一款恶意软件,键盘记录器非常适合这一目标,记录每一个密码、 PIN码和助记符,然后将其转交给觊觎已久的恶意者。可以通过三种方式感染键盘记录器:

  • 电邮
  • 从特定的网站或种子上运行被感染的软件
  • 插入受感染的

还有木马,类似于键盘记录器,可以监控您的行为,窃取任何看起来像是私钥的东西。当木马完成任务后,黑客会迅速容易地破坏您的加密地址,甚至不会引起您的注意。

此外,还有一些恶意软件会把剪贴板弄乱,所以当您复制钱包地址进行转账时,一旦粘贴上,地址就会发生变化。

怎么解决?

确保您的防病毒系统扫描您下载的所有附件。确保有可靠的防病毒系统供商业使用,以便您和从事与加密工作相关的员工可以检测到恶意软件的时间。另外,不要忘记仔细检查您粘贴的钱包地址。

5、冒充

冒充某个公司、加密交易所或某个特定的人,对于黑客来说是屡试不爽的手段,而且仍是达成目的的最常见手段之一。这种方法完全基于人为因素,而且由于入侵计算机系统的任务更加复杂,因此使用该方法通常要容易得多。在这种情况下,冒充者对窃取您的帐户感兴趣,而不是入侵。他们会要求您在特定的地址进行交易。更狡猾的黑客会创建一个网站,让您可以看到自己的“投资”,然后要求您分享一些数据。

怎么解决?

这里提到的问题与我们的个性密切相关,所以请仔细检查每件事情,不要仓促做出决定,并将这些信息传达给员工。

6、浏览器扩展程序

安装在浏览器上的扩展程序可以使您的生活变得更加简单,但它们也对您的安全构成了潜在威胁。扩展程序除了能提供正常服务功能之外,有许多报道爆出了它们参与了黑客的监控和盗窃数据。仅在2020年,谷歌就移除了49个被发现窃取加密钱包密钥的 Chrome 扩展程序。

怎么解决?

在安装扩展程序之前,验证它背后的公司或开发人员。在线审查(复查)也是一个不错的方法。

7、绕过2FA

值得信赖的钱包供应商总是使用双因素认证来确保某些业务背后有真实的人在操作。虽然2FA仍然是一种有效的保护用户免受欺诈行为的方法,但也出现了黑客找到绕过这一层安全方法的案例。

例如,攻击者可能因为数据传输协议中的漏洞而拦截 SMS消息。黑客也可能事先用恶意软件感染智能手机,克隆移动运营商的卡片,入侵网站中的用户账户。其目的是控制所有访问者使用的保护措施。从那以后,黑进加密钱包就不那么重要了:骗子们已经开始使用加密货币了。

怎么解决?

密切关注您收到的通知,并记住这里所说的一切。

更进一步,考虑多重签名钱包和冷钱包

到目前为止,这些隐藏的因素影响着热钱包(总是连接到互联网)以及个人专用私钥,但在考虑安全性时,还有很多因素需要考虑。让我们看看能够提高安全级别的解决方案,这样您永远不用担心遭到黑客攻击或者损失大量资金了。

热钱包和冷钱包

如何在追求功能和安全之间找到适当的平衡一直是个相关问题,而现在可以通过使用热钱包和冷钱包来解决。一方面,热钱包非常实用,但缺乏安全性。另一方面,冷钱包是相当安全,但功能不全。现在的问题是: 如何选择?

那些长期使用加密技术的人,可以通过将资金存储在物理设备(比如 Ledger 或Trezor)上并通过互联网转账的方式从混合体验中获益。硬件钱包不如热钱包方便,因为它们必须打开电源然后连接到互联网。此外,它们可能会花费50到200美元。尽管如此,为了保护企业免于损失所有资金,这只是一个小小的代价,因为这些设备的设计就是为了抵御黑客攻击。

然而,热钱包也因其在接收、存储、交换以及发送支付方面的易用性而受到企业的青眯。因为它们总是在线,所以不需要再离线和在线之间转换来进行加密货币交易。这种钱包用于及时支付和与合作伙伴结账,以及从一个钱包对多个账户地址进行不同的加密支付。对于大额交易,有些系统需要至少2名客户管理员在交易签署之前批准交易。

也就是说,如果您想要一个完美的低风险决策,那么混合策略就是最佳选择。

多重签名钱包

多重签名钱包(multi-signature)可能是加密业务中最有价值的工具之一。但是您也许会问,多重钱包是什么?

多重签名钱包是一种特殊的加密钱包,只有在两个或两个以上的签名同时输入时才能使用。它实际上是一个数字版本的多钥匙保险箱,只有在多把钥匙插入多把锁的情况下才能打开。

这种钱包中的交易还发生在多个用户输入他们独特的签名或者密钥的时候。用户可以创建一条规则,并且确定需要多少签名来完成操作/交易:1/2、2/3、5/8等等。这样的交易不会过期,直到所有所需的密钥都签署了交易,系统才会结束其挂起状态。多重签名钱包没有等级结构,意味着无需验证和完成交易的特定签名。

对于那些不愿意依赖唯一的私钥持有者的企业来说,多重签名钱包是必不可少的。使用多重签名程序可以帮助企业获得资金,并且允许不同的雇员按要求进行交易。

除了提高安全性外,当一组私钥持有者们可以共同控制资金时,使用多重签名钱包的主要优势之一就是决策。每个人都能看到预算,提出不同的意见,但是谁也不能把钱转移到自己账户。钱包主要作为一种类似投票的形式,即使在大多数用户同意的情况下,交易还是不能通过。

至于缺点,使用这种钱包会影响交易速度,因为它需要多个签名。但是这里最常见的障碍可能是建立一个多重签名钱包所需要的技术知识。此外,还有一些法律上的细微差别没有跟上新技术的发展。幸运的是,有第三方钱包提供商和公司(例如,BitPay或Casa)来帮助企业解决这些问题,尤其是在使用多重签名钱包时。

结论

如上所述,有很多提高您业务安全的方法,必须认真考虑。其中,使用多重签名钱包被证明是一种很好的解决安全问题的方法,同时也可以让人们公平地控制资金。话说回来,当涉及到与多方做生意时,多重签名钱包更是必不可少的。

译者介绍

刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。

原文标题:​​How Can Businesses Prevent Money Losses and Stay Secure in the World of Crypto?​​,作者:Adam Stieb​

责任编辑:华轩 来源: 51CTO
相关推荐

2010-09-26 09:57:41

2023-11-17 12:29:57

API安全性零信任

2021-04-19 16:31:33

Stratis加密Linux

2012-12-04 10:15:06

2012-05-29 09:16:27

2019-12-02 21:29:45

Keras神经网络TensorFlow

2024-01-10 14:29:08

2024-02-21 12:18:15

2018-03-20 13:51:33

2013-08-27 14:42:56

云安全云服务云计算部署

2013-08-27 10:42:38

云安全

2013-06-07 09:12:35

2017-09-01 11:41:41

信息安全信息泄密加密

2021-01-23 07:53:49

人工智能AI

2021-11-10 15:14:25

安全性密码网络安全

2022-10-08 08:31:09

Linuxsudo

2014-06-26 16:05:53

2022-06-08 08:49:06

云计算云文化敏捷方法

2023-12-01 18:03:52

2022-11-13 15:40:30

云计算安全IT
点赞
收藏

51CTO技术栈公众号