Cách chọn ví tiền điện tử: Chọn quy trình phục hồi và ký mà bạn có thể thực hiện

Cách chọn ví tiền điện tử phụ thuộc vào một quyết định: quy trình quản lý và phục hồi khóa nào bạn có thể bảo vệ, khôi phục và xác minh đúng cách khi có điều gì đó sai xảy ra. "Ví tiền điện tử tốt nhất cho người mới bắt đầu" thường là ví mà việc sao lưu cụm từ hạt giống và xác minh giao dịch khó bị sai lầm nhất, không phải là ví có danh sách tính năng dài nhất.

Điểm chính

• Một khóa riêng là một chuỗi ký tự alphanumeric bí mật được tạo ra khi một ví được tạo ra, và bất kỳ ai có nó có thể kiểm soát các quỹ.
• Một cụm từ hạt giống thường là 12 hoặc 24 từ, và việc nhập nó vào một ví mới có thể tái tạo khóa riêng tương ứng và khôi phục quyền truy cập nếu các từ và thứ tự là chính xác.
• Việc viết một cụm từ hạt giống trên giấy và lưu trữ nó một cách an toàn ngoại tuyến giảm thiểu rủi ro bị xâm phạm so với việc lưu trữ nó kỹ thuật số, nhưng mỗi bản sao thêm vào làm tăng số lượng nơi nó có thể được tìm thấy.
• "Ví phần cứng" giữ khóa riêng ngoại tuyến, nhưng chúng chỉ giảm rủi ro nếu các giao dịch được xác minh trên màn hình của thiết bị, không phải từ màn hình máy tính.

Bắt đầu với nhu cầu bảo mật và sử dụng của bạn

Việc chọn ví bắt đầu từ việc ví sẽ được sử dụng cho điều gì vào một ngày thứ Ba bình thường, và nó cần gì để sống sót trong ngày thứ Sáu tồi tệ nhất của năm. Quy trình bình thường là ký các giao dịch. Quy trình trong ngày tồi tệ nhất là khôi phục sau khi mất điện thoại, laptop hỏng, hoặc nghi ngờ bị xâm phạm.

Đó là lý do tại sao việc chọn một ví ít liên quan đến "ví tiền điện tử nào để sử dụng" và nhiều hơn về việc quy trình phục hồi và ký kết có phù hợp với các mối đe dọa thực sự có khả năng xảy ra hay không.

Ba nhóm sử dụng thúc đẩy hầu hết mọi quyết định. Đầu tiên là giao dịch thường xuyên, nơi tốc độ và sự tiện lợi quan trọng, và ví sẽ thường xuyên tương tác với dApps và phê duyệt. Thứ hai là lưu trữ dài hạn, nơi ví có thể ký một giao dịch một lần mỗi tháng hoặc mỗi quý. Thứ ba là sử dụng hỗn hợp, nơi một nhà giao dịch muốn có một ngăn chi tiêu và một ngăn kho lưu trữ.

Đây là nơi mà ví nóng và ví lạnh trở thành một câu hỏi thực tiễn hơn là một khẩu hiệu. Một ví nóng được tiếp xúc với cùng một thiết bị và môi trường trình duyệt được sử dụng cho các hoạt động hàng ngày. Một ví lạnh, thường là một thiết bị phần cứng, giữ khóa riêng ngoại tuyến và được thiết kế để ký mà không tiết lộ thông tin khóa cho một máy tính kết nối internet. Sự đánh đổi là sự ma sát trong hoạt động và nhiều bước để thực hiện đúng.

Trục khác là ví ủy thác so với ví không ủy thác. Ví ủy thác có nghĩa là người khác giữ khóa và người dùng nhận được một tài khoản đăng nhập. Một ví không ủy thác có nghĩa là người dùng kiểm soát các khóa và tài liệu phục hồi. Đối với hướng dẫn này, quyết định chính là liệu người đọc có sẵn sàng thực hiện quy trình ví không ủy thác hay không, vì gánh nặng phục hồi chuyển từ "đặt lại mật khẩu" thành "bảo vệ cụm từ hạt giống mãi mãi."

Bất kỳ ai muốn có một phân loại nhanh chóng trước khi quyết định nên đọc các loại ví tiền điện tử được giải thích và sau đó quay lại mô hình mối đe dọa.

Cách phục hồi ví và cụm từ hạt giống hoạt động

Cơ chế phục hồi là phần biến lựa chọn ví thành một quyết định hoạt động sống còn. Một khóa riêng là một chuỗi ký tự alphanumeric bí mật được tạo ra khi một ví được tạo ra, và nó không bao giờ nên được chia sẻ. Bất kỳ ai có nó có thể ủy quyền chi tiêu. Hầu hết các ví tự quản lý bọc thực tế đó trong một hệ thống sao lưu mà con người có thể xử lý.

Sao lưu đó là cụm từ hạt giống, còn được gọi là cụm từ phục hồi. Nó là một tập hợp các từ có thể đọc được do một thuật toán tạo ra, và thường là 12 hoặc 24 từ. Thực tế quan trọng là điều gì xảy ra khi một thiết bị hỏng. Nhập cụm từ hạt giống vào một ví mới có thể tái tạo khóa riêng tương ứng và khôi phục quyền truy cập vào quỹ, nhưng chỉ nếu các từ là chính xác và theo đúng thứ tự.

Hai hiểu lầm gây ra nhiều hành vi tốn kém. Đầu tiên là "cụm từ hạt giống của tôi về cơ bản là mật khẩu của tôi." Một mật khẩu là một lớp kiểm soát truy cập cho một ứng dụng hoặc thiết bị cụ thể. Một cụm từ hạt giống là một cơ chế phục hồi có thể tái tạo các khóa riêng. Nếu ai đó có được cụm từ hạt giống, họ không cần điện thoại, mã PIN, hoặc ứng dụng. Họ có thể khôi phục ví ở nơi khác.

Hiểu lầm thứ hai là "tôi sẽ xử lý việc phục hồi sau." Phục hồi không phải là một vấn đề trong tương lai. Nó là định nghĩa của những gì đã được mua khi một ví được chọn. Nếu người đọc không thể mô tả, từng bước, cách họ sẽ khôi phục trên một thiết bị mới mà không tiết lộ cụm từ hạt giống cho một máy tính bị xâm phạm, thì họ không đang chọn một ví. Họ đang chọn một sự kiện mất mát trong tương lai.

Đây cũng là nơi mà chủ đề rộng hơn trở nên quan trọng: một ví tiền điện tử không phải là nơi mà tiền xu nằm. Nó là một hệ thống khóa và phục hồi kiểm soát quyền truy cập. Thực tế ở cấp độ màn hình là đơn giản. Ứng dụng ví hiển thị số dư và nhắc nhở. Điều quan trọng là tài liệu phục hồi đứng sau nó.

Quy tắc và sự đánh đổi trong việc lưu trữ cụm từ hạt giống

Quản lý cụm từ hạt giống là một điểm thất bại duy nhất vì nó được thiết kế để như vậy. Bất kỳ ai có thể đọc cụm từ có thể khôi phục ví. Đó là lý do tại sao các quy tắc lưu trữ rất thẳng thắn. Viết cụm từ hạt giống trên giấy và lưu trữ nó một cách an toàn ngoại tuyến giảm thiểu rủi ro bị xâm phạm so với việc lưu trữ nó trên máy tính, trong lưu trữ đám mây, hoặc dưới dạng hình ảnh. Lưu trữ kỹ thuật số làm tăng khả năng phần mềm độc hại, việc chiếm đoạt tài khoản, hoặc sao lưu rò rỉ cụm từ.

Sự dư thừa là một điều chỉnh, không phải một ô kiểm. Tạo nhiều bản sao giấy được lưu trữ ở các vị trí an toàn khác nhau có thể thêm sự dư thừa nếu một bản sao bị mất hoặc bị phá hủy. Sự đánh đổi là sự tiếp xúc. Quá nhiều bản sao làm tăng số lượng nơi mà cụm từ có thể được tìm thấy.

Số lượng đúng là số mà người dùng có thể bảo vệ về mặt hoạt động, bao gồm ai có thể truy cập mỗi vị trí và điều gì xảy ra trong một cuộc di chuyển, một cuộc chia tay, hoặc một tình huống khẩn cấp gia đình.

Một tư duy diễn tập khôi phục là cách nhanh nhất để tìm ra điểm yếu. Trước khi có nguồn tài chính đáng kể, người dùng nên có khả năng trả lời ba câu hỏi mà không phải đoán: nơi lưu trữ cụm từ hạt giống, tốc độ mà nó có thể được truy xuất, và thiết bị nào sẽ được nhập vào trong quá trình phục hồi. Câu hỏi cuối cùng là cái bẫy. Một lời nhắc nhập cụm từ hạt giống vào một trang web ngẫu nhiên hoặc "công cụ hỗ trợ" là một sự kiện cảnh báo đỏ.

Kicksecure cảnh báo rằng phần mềm độc hại có thể lừa người dùng nhập cụm từ phục hồi trên một máy tính bị xâm phạm, điều này sẽ cho phép kẻ tấn công truy cập vào tài sản.

Một số nhà cung cấp tiếp thị các lựa chọn thay thế cho cụm từ hạt giống. BC Vault định vị cụm từ hạt giống như một điểm thất bại duy nhất và trích dẫn Chainalysis rằng lừa đảo đã chiếm hơn 3,8 tỷ USD trong các vụ trộm tiền điện tử vào năm 2022.

BC Vault cũng tuyên bố rằng các nghiên cứu ước tính 20% Bitcoin, khoảng 3,79 triệu BTC, bị mất do cụm từ hạt giống bị quên hoặc xử lý sai, và nó tiếp thị một thiết kế "không có hạt giống" sử dụng các bản sao được mã hóa lưu trữ trên FRAM với thời gian lưu trữ dài và tuyên bố rằng nó "chưa bao giờ bị xâm phạm."

Những tuyên bố đó không được xác thực độc lập trong gói được cung cấp, vì vậy điều cần lưu ý có thể hành động là hẹp hơn: nếu một ví thay đổi mô hình phục hồi, người dùng nên coi đó như một bộ niềm tin và chế độ thất bại mới, không phải như phép thuật.

Khi nào ví phần cứng giúp đỡ và khi nào thì không

Ví phần cứng được giải thích tốt bắt đầu từ những gì chúng thực sự làm. Một ví phần cứng là một thiết bị vật lý lưu trữ khóa riêng ngoại tuyến, giảm thiểu sự tiếp xúc với các mối đe dọa trực tuyến như hack và phần mềm độc hại. CoinTracker mô tả các mô hình tiêu dùng phổ biến như Ledger và Trezor và định hình chúng như những lựa chọn phổ biến cho lưu trữ dài hạn.

Sự tinh tế liên quan đến nhà giao dịch là "khóa ngoại tuyến" chỉ quan trọng nếu quy trình ký được sử dụng đúng cách. Mô hình mối đe dọa của Kicksecure vạch ra một ranh giới cứng giữa màn hình máy tính không đáng tin cậy, "màn hình không an toàn," và màn hình thiết bị của ví phần cứng, "màn hình an toàn." Điểm quan trọng là những gì bạn thấy là những gì bạn ký, thường được viết tắt là WYSIWYS.

Nếu phần mềm độc hại có thể thay đổi những gì được hiển thị trên máy tính, thì việc phê duyệt dựa trên màn hình máy tính sẽ làm mất đi mục đích.

Đây là lý do tại sao "một ví phần cứng làm cho tôi không thể bị hack" là mô hình tư duy sai. Kicksecure lập luận rằng ví phần cứng chỉ có thể cải thiện bảo mật dưới một số mô hình mối đe dọa và rằng nhiều người dùng vẫn mất quỹ do sự hiểu lầm về quy trình làm việc và mô hình mối đe dọa. Chế độ thất bại phổ biến nhất không phải là một hacker xâm nhập vào thiết bị. Đó là người dùng bị kỹ thuật xã hội lừa nhập cụm từ hạt giống vào một máy tính bị xâm phạm hoặc quy trình phục hồi giả.

Ví phần cứng cũng có những cạm bẫy UX xuất hiện trên màn hình. Kicksecure lưu ý rằng việc xác minh địa chỉ người nhận có thể khó khăn trên các màn hình thiết bị nhỏ, điều này tạo ra khoảng trống cho các cuộc tấn công kiểu clipboard nơi người dùng chỉ kiểm tra ký tự đầu tiên và cuối cùng.

Thói quen phòng thủ là nhàm chán nhưng hiệu quả: xác minh địa chỉ đầy đủ và số tiền trên màn hình thiết bị, đặc biệt là cho các lần rút tiền lần đầu và các đối tác mới.

Đối với nhiều người dùng, thiết lập sạch sẽ là hai cấp: một ví nóng cho hoạt động hàng ngày và một ví lạnh cho lưu trữ dài hạn. Đó không phải là một khuyến nghị thương hiệu. Đó là một sự phân tách quy trình làm việc hạn chế phạm vi ảnh hưởng khi môi trường trình duyệt trở nên lộn xộn.

Quyền riêng tư, niềm tin và kiểm tra rủi ro nhà cung cấp

Một ví có thể giữ khóa ngoại tuyến và vẫn tạo ra rủi ro mới thông qua phần mềm và quy trình cập nhật của nó. Mô hình của Kicksecure rõ ràng rằng ví phần cứng yêu cầu niềm tin vào nhà sản xuất, và rằng các bản cập nhật firmware là thường xuyên và được đẩy đến người dùng cuối. Mỗi bản cập nhật là một sự kiện hoạt động. Nó có thể sửa lỗi, nhưng nó cũng có thể giới thiệu những lỗi mới. Người dùng không thể coi thiết bị như một kho lưu trữ vĩnh viễn và phớt lờ mối quan hệ với nhà cung cấp.

Quyền riêng tư là chi phí khác không được định giá đúng. Kicksecure lưu ý rằng ứng dụng của nhà cung cấp cho ví phần cứng thường là ví SPV, có nghĩa là chúng dựa vào máy chủ để lấy dữ liệu blockchain thay vì xác thực hoàn toàn mọi thứ tại chỗ. Hệ quả thực tiễn là rò rỉ siêu dữ liệu. Những máy chủ đó có thể học địa chỉ, lịch sử giao dịch và địa chỉ IP, điều này có thể được liên kết theo thời gian.

Điều đó không có nghĩa là ví "không an toàn," nhưng nó có nghĩa là người dùng nên chấp nhận sự đánh đổi một cách có ý thức hoặc giảm thiểu nó bằng phần mềm và vệ sinh mạng khác nhau.

Việc thẩm định ở đây không chỉ là đọc các trang tiếp thị mà còn là đặt ra các câu hỏi về hoạt động. Điều gì sẽ xảy ra nếu ứng dụng của nhà cung cấp bị ngừng hoạt động. Điều gì sẽ xảy ra nếu người dùng phải cập nhật firmware để giao dịch. Dữ liệu nào được chia sẻ khi ví đồng bộ. Đường phục hồi là gì nếu thiết bị bị mất. Những câu hỏi này áp dụng cho bất kỳ ví không lưu ký nào, không chỉ riêng phần cứng.

Pitch của BC Vault thực sự là một gói tin cậy khác: nó mô tả sản phẩm của mình là "không có hạt giống," sử dụng các bản sao lưu được mã hóa lưu trữ trên FRAM và tuyên bố giữ lâu dài và rằng nó "chưa bao giờ bị xâm phạm." Ngay cả khi một người dùng bị thu hút bởi mô hình đó, quy trình lựa chọn vẫn nên giống nhau. Xác định tài liệu phục hồi, xác định ai có thể truy cập nó, và xác định điều gì phải được tin tưởng để phục hồi và ký.

Danh sách kiểm tra lựa chọn ví thực tế

Đây là quy trình ra quyết định biến "cách chọn ví crypto" thành điều mà một người có thể thực hiện mà không cần đoán. Nó được thiết kế để đưa hai điểm căng thẳng ra ngoài: xử lý cụm từ hạt giống và xác minh giao dịch.

1. Quyết định xem ví sẽ là lưu ký hay tự lưu giữ. Nếu mục tiêu là tự lưu giữ, cam kết thực hiện quy trình làm việc của ví không lưu ký nơi người dùng kiểm soát tài liệu phục hồi. 2. Phân loại việc sử dụng thành hai nhóm: ký hàng ngày và lưu trữ dài hạn. Nếu cả hai đều tồn tại, lập kế hoạch một ngăn xếp phân chia sử dụng ví nóng và ví lạnh để một sự thỏa hiệp không ảnh hưởng đến mọi thứ. 3.

Xác nhận mô hình phục hồi trước khi cài đặt bất kỳ thứ gì. Xác định xem ví sử dụng cụm từ hạt giống 12 hay 24 từ, và xác nhận rằng việc nhập nó vào một ví mới có thể tái tạo khóa riêng tương ứng và khôi phục quyền truy cập. 4. Viết cụm từ hạt giống ra giấy và lưu trữ nó một cách an toàn ngoại tuyến. Tránh ảnh, ghi chú đám mây, trình quản lý mật khẩu và tệp máy tính vì lưu trữ kỹ thuật số làm tăng rủi ro xâm phạm. 5.

Thiết lập sự dư thừa một cách có chủ đích. Tạo nhiều bản sao giấy được lưu trữ ở các vị trí an toàn ngoại tuyến riêng biệt chỉ khi người dùng có thể giải thích ai có thể truy cập mỗi vị trí và cách rủi ro tiếp xúc thay đổi với mỗi bản sao. 6. Thực hiện một bài tập phục hồi với số tiền nhỏ.

Xác minh rằng người dùng có thể khôi phục trên một thiết bị mới bằng cách nhập các từ theo đúng thứ tự mà không cần ứng biến hoặc tìm kiếm các công cụ "kiểm tra cụm từ hạt giống." 7. Nếu sử dụng ví phần cứng, hãy coi màn hình thiết bị là sự thật. Xác minh địa chỉ người nhận và số tiền trên màn hình an toàn, không phải màn hình không an toàn của máy tính, vì WYSIWYS là toàn bộ ý nghĩa. 8.

Kiểm tra niềm tin của nhà cung cấp và giả định về quyền riêng tư. Giả định rằng các ứng dụng của nhà cung cấp có thể là ví SPV với các thỏa hiệp về quyền riêng tư, và coi các bản cập nhật firmware là các sự kiện rủi ro cần chú ý.

Danh sách kiểm tra này cũng là cách nhanh nhất để chọn ví crypto tốt nhất cho người mới bắt đầu. Ví thân thiện với người mới là ví mà làm cho các bước 3 đến 7 khó bị sai, vì đó là những bước quyết định xem quỹ có sống sót sau khi mất thiết bị, một cuộc tấn công lừa đảo, hoặc một chiếc laptop bị xâm phạm hay không.

Lời kết

Tôi đã chứng kiến nhiều tổn thất hơn từ "quản trị cụm từ hạt giống" hơn là từ bất kỳ khai thác kỳ lạ nào. Mô hình luôn giống nhau: ai đó tài trợ cho một ví mới, không bao giờ thực hiện bài tập phục hồi, rồi bị tấn công bởi một thông báo "xác minh" giả và nhập 12 hoặc 24 từ vào một máy tính bị xâm phạm. Cảnh báo của Kicksecure về việc phần mềm độc hại thu thập cụm từ phục hồi không phải là lý thuyết. Đó là sách hướng dẫn.

Thói quen sạch sẽ là coi việc chọn ví như một quy trình làm việc mà bạn có thể thực hiện dưới áp lực. Nếu một màn hình bao giờ hỏi về cụm từ hạt giống trong quá trình sử dụng bình thường, đó là một sự kiện cảnh báo đỏ. Và nếu một ví phần cứng có trong ngăn xếp, màn hình thiết bị là nguồn sự thật, không phải bất cứ điều gì mà laptop hiện lên ngày hôm đó.

Nguồn

• Crypto.com University
• Kicksecure
• CoinTracker
• BC Vault