Надежный пароль для биткоин-кошелька: как придумать и не забыть
За 2016 год хакеры взломали более 18,000 паролей. Даже используя обычный аккаунт Amazon EC2 и его мощности, потенциальные злоумышленники могут перебирать 500,000 Bitcoin-паролей в секунду. Кроме того, в сети есть десятки обучающих статей для хакеров. Чтобы не стать их жертвой и защитить свои деньги, нужно ответственно подойти к выбору пароля.
Опытные пользователи советуют составить пароль из 20 и более символов, используя цифры, спецсимволы и разные регистры клавиатуры, но запомнить такой пароль едва ли возможно. Поэтому рассказываем о простых и относительно надежных способах защитить кошелек и не забыть от него ключ.
Парольная фраза
Парольная фраза — длинный, сложный и, теоретически, более надежный вариант пароля. Обычно она состоит из нескольких слов и гораздо надежней защищает от стандартных хакерских атак, в ходе которых перебираются все слова из словаря в попытке угадать ваш пароль. Наилучшие парольные фразы должны быть длинными и содержать как заглавные, так и строчные буквы, а также цифры, знаки препинания идругие символы.
В свою очередь, компьютерная программа PGP, позволяющая выполнять операции шифрования и цифровой подписи сообщений, использует парольную фразу чтобы зашифровать ваш закрытый ключ. Закрытый ключ хранится на диске, зашифрованный хэш-значением парольной фразы как симметричным тайным ключом. Вы же используете парольную фразу чтобы расшифровать и применять закрытый ключ.
Главное — придумать такую парольную фразу, которую вы не забудете. Потеряв парольную фразу, вы уже никогда не сможете восстановить доступ к своему кошельку.
Как не забыть парольную фразу?
Лучше всего в качестве пароля использовать длинную фразу, которую легко запомнить. На ум в первую очередь приходят строчки из стихов. И многим кажется, что угадать ее никакой хакер не сможет, но это распространенное заблуждение. Ни в коем случае не используйте цитаты из книг и стихов, даже если они кажутся вам оригинальными. К примеру, в этой ветке на reddit, пользователь жалуется, что его четыре биткоина украли, потому что при создании он использовал отрывок из поэмы, написанной на языке африкаанс.
Лучше всего придумать свое четверостишье, но если вы не поэт — воспользуйтесь автогенерируемыми стихами. Подобных поэтических сервисов в сети много. Но будет еще лучше, если вы сгенерируете стихотворение на латинице.
Brainwallet
Если не хотите разбираться с PGP, то попробуйте воспользоваться Brainwallet. На сайте Brainwallet в поле «парольная фраза» введите свой пароль, а в поле «адрес» — адрес кошелька, на который уже можно переводить деньги.
Графа «приватный ключ» вам понадобится в будущем, когда вы вновь захотите получить доступ к кошельку — просто придется ввести ту же самую фразу еще раз и получившийся ключ.
Менеджеры паролей
Самый простой способ — использовать менеджеры паролей. Самый известный сервис 1Password подходит только для iOS. Для других операционных систем есть подобные приложения, например, LastPass и KeePass. Основное преимущество — сюда вы можете загрузить все свои пароли, начиная от почты заканчивая кошельками с криптовалютой.
Менеджеры паролей достаточно просты в использовании, многие из них бесплатные, а платные, как правило, стоят не дороже $100 в год.
Не привязывайте номер телефона к кошельку
Если вы хотите максимально обезопасить себя от кражи, то отвяжите кошелек от номера телефона. Особенно если вы живете не в России. В США мошенники узнавали номер телефона владельца кошелька, а после звонили в службу поддержки и говорили, что хотят перенести номер к другому оператору. Для этого им было достаточно выведать у сотрудника службы поддержки пин-код и потом назвать его новому оператору.
И, конечно, включите двухэтапную аутентификацию. Лучший вариант двухфакторной авторизации — это аппаратный токен, купить который можно всего за $20–$30.
Или используйте приложение авторизации на смартфоне, например, Authy или Google Authenticator. Несмотря на то, что большинству людей мошенничество через мобильные телефоны кажется устаревшим трюком, который легко раскусить, многие пользователи до сих пор попадаются на удочку, отправляя незнакомцам свои личные данные через смс.