مهم‌ترین توصیه‌ها هنگام کار با کیف پول‌های سخت افزاری

ما با استفاده از کیف پول‌های سخت افزاری، کنترل کامل دارایی‌های دیجیتال خود را در اختیار خواهیم داشت. اما اختیار زیاد، همواره مسئولیت‌پذیریِ بیشتری نیز به دنبال دارد. استفاده از ارزهای دیجیتال مثل بیت کوین باعث می‌شود کاربرها، خودشان حکم بانک را برای خود داشته و دارایی‌شان را به دست هیچ‌کس نسپارند.

چنین امکاناتی در کنار تجهیزاتی مثل کیف پول‌های سخت افزاری می‌تواند برای کاربرها در رسیدن به هدف‌شان کمک‌کننده باشد، ولی نباید فراموش کنیم که در این مسیر، نکات امنیتی و تهدیدهای زیادی وجود دارد. طبیعی است که هر چه مطالعه و دانش بیشتری نسبت به نکات و اصول امنیتی این حوزه داشته باشیم، فعالیت مطمئن‌تری خواهیم داشت و سرمایه‌‌های ما کمتر تهدید می‌شود.

در ادامه می‌خواهیم در مورد مهمترین توصیه‌ها هنگام کار با کیف پول‌های سخت افزاری صحبت کنیم و به نکاتی اشاره کنیم که رعایت آن‌ها، تأثیر زیادی در فعالیت‌های کاربرها در حوزه‌ کریپتوکارنسی‌ها خواهد داشت.

۵ قانون طلایی اولیه

• قانون اول: هیچ‌گاه و تحت هیچ شرایطی نباید کلمات بازیابی حساب خود را در اختیار فرد دیگری قرار دهید.
• قانون دوم: هیچ‌گاه و تحت هیچ شرایطی نباید کلمات بازیابی حساب خود را روی یک کامپیوتر یا موبایل ذخیره کنید.
• قانون سوم: کلمات بازیابی را در جایی نگهداری کنید که امکان سرقت، گم‌شدن یا آتش‌سوزی و… وجود نداشته باشد.
• قانون چهارم: هنگام انجام تراکنش، فقط به اطلاعات نمایش داده شده روی صفحه‌نمایش کیف پول اعتماد کنید (نه اطلاعات روی کامپیوتر و موبایل) و همواره آدرس گیرنده را با آدرس روی کیف پول مقایسه کنید.
• قانون پنجم: همیشه این احتمال را بدهید که امکان دستکاری اطلاعاتی که روی صفحه‌نمایش کامپیوتر یا موبایل نمایش داده می‌شود، وجود دارد.

کلمات بازیابی

می‌دانیم زمانی‌که برای اولین بار وارد یک کیف پول سخت افزاری می‌شویم، در مراحل راه‌اندازی اولیه، یک عبارت متشکل از چند کلمه‌ انگلیسی تحت عنوان کلمات بازیابی یا Recovery Phrases به ما نمایش داده خواهد شد. این کلمات در کیف پول‌های لجر ۲۴ تا هستند که بلافاصه از کاربر خواسته می‌شود آن‌ها را روی کاغذ یادداشت کند. این عبارات با استفاده از یک استاندارد رمزنگاری به نام BIP 39 ساخته می‌شوند و به یک رشته‌ باینری (مجموعه‌ای از صفر و یک‌ها‌) با نام Master Seed‌ اشاره می‌کند.

این Master Seed قادر است تمام آدرس‌های عمومی و کلیدهای خصوصی مرتبط با آن‌ها را تولید کند و به‌عنوان راهی برای بازیابی اطلاعات کیف پول‌ها به کار می‌رود. اگر مایلید نحوه‌ ساخته‌شدن این کلمات را بدانید، می‌توانید به مقاله «فرایند ساخت کلمات بازیابی در استاندارد BIP 39» مراجعه کنید. به کمک این کلمات می‌توان در هر زمانی، اطلاعات یک کیف پول مثل لجر را روی یک کیف پول لجر دیگر یا سایر کیف پول‌های سازگار با این فناوری، بازیابی کرد.

نکات امنیتی کلمات بازیابی

یک کاربر همواره باید به کلمات بازیابی خود دسترسی داشته باشد تا بتواند:

• در هنگام دزدیده، گم یا خراب شدن کیف پول سخت افزاری به کمک آن کلمات، به حساب و سرمایه‌ خود دسترسی داشته باشد.
• بتواند به‌عنوان یکی از راه‌های بکاپ گرفتن از کیف پول سخت افزاری، آن‌ کلمات را در کیف پول دیگری وارد کند. می‌دانیم که اگر کلمات بازیابی حساب خود را در کیف پول دیگری وارد کنیم، یک کپی از کیف پول و تمام دارایی‌های آن ایجاد خواهد شد. برای مثال، می‌توان یک کیف پول را در محل کار و دیگری را در منزل استفاده کرد، بدون اینکه نیاز به جابه‌جایی کیف پول‌ها بین منزل و محل کار باشد. هم‌چنین می‌توان برای استفاده از یک محصول جدیدتر، از این قابلیت بهره گرفت.

گفتنی است که کلمات بازیابی را نمی‌توان با PIN‌ ورود به دستگاه، محافظت کرد و عملا این دو ربطی به هم ندارند. PIN‌ یک لایه‌ امنیتی اضافه برای محدود کردن دسترسی به کیف پول است؛ اما اگر فردی کلمات بازیابی ما را در اختیار داشته باشد، به‌راحتی، در هر لحظه می‌تواند بدون نیاز به دانستن هیچ اطلاعات دیگری، به دارایی‌های دیجیتال ما دسترسی پیدا کند.

پس بهتر است نکاتی که در ادامه در مورد نحوه‌ نگهداری کلمات بازیابی بیان می‌کنیم را با دقت بخوانید.

• هرگز با موبایل‌تان از کلمات بازیابی عکس نگیرید: گوشی‌های هوشمند هرگز جای امنی برای ذخیره‌ اطلاعات حساس نیستند، مخصوصا اینکه می‌توانند به طور خودکار از اطلاعات شما بکاپ بگیرند و آن را به فضای ذخیره‌سازی ابری ارسال کنند.
• هیچ‌وقت کلمات بازیابی را در کامپیوتر و موبایل وارد نکنید: به خاطر امکان وجود انواع نرم‌افزارهای مخرب و سرقت‌کننده اطلاعات مثل Keyloggerها، حتی اطلاعات رمزنگاری شده هم می‌تواند شنود و کپی شود. یادمان نرود که علت استفاده از کیف پول سخت‌افزاری دور بودن از فضای آنلاین و اینترنت است.
• هیچ‌وقت کلمات بازیابی خود را با فرد دیگری به اشتراک نگذارید: دوست، اعضای خانواده یا همکار،‌ تفاوتی نمی‌کند. اگر زمانی خواستید کلمات بازیابی را به یکی از این افراد بدهید، باید از قبل مطلع باشید که اختیار دسترسی و خرج کردن تمام سرمایه‌ دیجیتال خود را به او خواهید سپرد. آیا ارزشش را دارد؟
• کلمات بازیابی را در جایی امن نگهداری کنید: جایی را برای نگهداری کاغذ یا کارت حاوی کلمات بازیابی انتخاب کنید که دور از نور خورشید، رطوبت و خطر آتش‌سوزی باشد. اگر به هر دلیلی این کلمات را از دست دادید، بلافاصله باید دارایی‌های خود را به یک کیف پول دیگر با کلمات بازیابی جدید منتقل کنید.

علاوه‌بر این موارد، باید دقت داشته باشید که هیچ‌وقت از یک کیف پول سخت افزاری با کلمات بازیابیِ از قبل ساخته‌شده کار نکنید و همیشه تنها کسی که باید تنظیمات اولیه کیف پول را انجام می‌دهد، شخصِ شما باشید. خلاصه‌ کلام این که شما باید تنها فرد روی کره زمین باشید که درباره‌ این کلمات و محل نگهداری آن‌ها اطلاع دارد.

چند قانون کلی امنیتی در دنیای واقعی

هر چقدر هم که مهم‌ترین توصیه‌ها هنگام کار با کیف پول های سخت افزاری را رعایت کنیم، این نکات فقط در دنیای دیجیتال از ما محافظت می‌کنند؛ ولی قادر نخواهند بود در هنگام تهدید‌های فیزیکی در دنیای واقعی به دادمان برسند. در شرایط زورگیری، گروگان‌گیری یا تهدید با اسلحه و… دیگر محل نگهداری کلمات بازیابی کمکی به ما نخواهد کرد و احتمالا برای حفظ جان خود، اطلاعات حساب‌مان را در اختیار مهاجم قرار خواهیم داد. پس رعایت نکات زیر را فراموش نکنید:

• تا جای ممکن به کسی نگویید که دارایی‌هایی از نوع ارز دیجیتال در اختیار دارید: اگر در شرایطی مجبور به گفتن این موضوع شدید، هیچ‌وقت مقدار دقیق موجودی خود را به کسی نگویید. اگر کسی پرسید چند تا بیت کوین دارید، می‌توانید از او بپرسید: دارایی شما چند دلار است؟
• تا جای ممکن با هویت واقعی خود در گروه‌های کریپتویی فعالیت نکنید: همیشه مراقب مقدار اطلاعاتی که از خود در اختیار دیگران قرار می‌دهید باشد، همیشه ممکن است یک هدف برای سارق‌ها شوید.
• صندوق امانات بانک جای بهتری نسبت به گاوصندوق خانگی است: ترجیحا کلمات بازیابی را در یک صندوق امانات بانکی نگهداری کنید. هرچند با این کار، دسترسی لحظه‌ای به آن‌ها نخواهید داشت، اما نسبت به تهدید‌های فیزیکی امنیت بیشتری خواهید داشت.

به جز کیف پول سخت افزاری، به دستگاه دیگری اعتماد نکنید

کیف پول‌های سخت افزاری برای ارتباط با کاربرها و همچنین دنیای اینترنت به یک نرم‌افزار واسط نیاز دارند. این نرم‌افزار می‌تواند امکاناتی مثل نمایش موجودی،‌ تاریخچه‌ تراکنش‌ها و همچنین امکان ارسال تراکنش جدید را به کاربر بدهد. مثلا کیف پول‌های لجر برای این کار از برنامه‌ای به نام «لجر لایو» (Ledger Live) استفاده می‌کنند.

نکته‌ مهمی که در ارتباط با استفاده از نرم‌افزارهای کامپیوتری وجود دارد این است که هیچ‌وقت نباید به آن‌ها اعتماد کنیم. زیرا تشخیص صحت عملکرد آن‌ها برای کاربرهای عادی، کار دشواری است. پس همواره باید این احتمال را بدهیم که ممکن است چیزی که در صفحه‌نمایش کامپیوتر خود مشاهده می‌کنیم، دستکاری شده باشد. به همین دلیل است که توصیه می‌شود به جز کیف پول سخت افزاری، به دستگاه دیگری اعتماد نکنید.

نکات امنیتی هنگام دریافت تراکنش

بهتر است قبل از ارسال آدرس کیف پول خود ازطریق اسکن کد QR، آدرس روی کیف پول را با آدرس نمایش داده شده روی کامپیوتر مقایسه کنید.

می‌دانیم که برای دریافت ارز دیجیتال، باید آدرس کیف پول‌مان را برای فرستنده ارسال کنیم. در چنین مواقعی باید مراقب حملاتی مثل «Man in the middle Attack» باشیم. در چنین حمله‌ای، هکر می‌تواند کنترل اطلاعات صفحه‌نمایش کامپیوتر را به دست گرفته و آدرس یک کیف پول اشتباه را به شما نمایش دهد. دراین‌حالت، درصورت عدم توجه ما، ممکن است آدرس کیف پول هکر را برای فرستنده ارسال کنیم و مبلغ تراکنش به کیف پول هکر واریز شود. به همین دلیل لازم است قبل از ارسال اطلاعات، آدرس نمایش داده‌شده روی کامپیوتر را با آدرس روی صفحه‌نمایش کیف پول تطبیق دهیم.

درخصوص مواقعی که می‌خواهیم آدرس کیف پول را از طریق اسکن کد QR برای گیرنده ارسال کنیم، باز هم باید قبل از فرستادن، آدرس روی کیف پول را با آنچه در کامپیوتر نمایش داده می‌شود، تطبیق دهیم.

اگر از نرم‌افزاری استفاده می‌کنید که امکاناتی مثل اسکن کد QR را پشتیبانی نمی‌کند، پیشنهاد می‌شود ابتدا یک تراکنش آزمایشی با مبلغ خیلی کم به آدرس مورد نظر ارسال کنید و درصورت صحیح بودن، همان آدرس را برای فرستنده‌ تراکنش ارسال کنید.

نکات امنیتی هنگام ارسال تراکنش

برای ارسال تراکنش، به آدرس کیف پول مقصد نیاز داریم و در اکثر موارد این آدرس را از روی یک وب‌سایت یا اپلیکیشن‌های پیام‌رسان کپی می‌کنیم. یکی از ساده‌ترین انواع حمله در این مورد این است که یک نرم‌افزار مخرب، آدرس کپی شده را با آدرس دیگری جایگزین کند. چنین برنامه‌هایی قادرند فضای Clipboard را مانیتور کرده و آدرس کپی‌شده را با آدرس دیگری جایگزین کنند. (وقتی چیزی را در موبایل یا کامپیوتر کپی می‌کنیم به یک حافظه‌ موقت به نام Clipboard منتقل می‌شود).

برای جلوگیری از این حملات، همواره باید آدرس گیرنده را قبل از تأیید تراکنش،‌ مجدد بررسی کنیم. همچنین می‌توان این آدرس را در دو کانال ارتباطی مختلف بررسی کرد. مثلا اگر آدرس گیرنده ازطریق SMS برای ما ارسال شده، می‌توانیم از گیرنده بخواهیم که آدرس خود را ازطریق ایمیل یا یک برنامه‌ دیگر هم برای ما ارسال کند. اگر در حال ارسال رمزارز به یک صرافی هستیم، می‌توان از تکنیک واریز دو مرحله‌ای استفاده کنیم؛ یعنی ابتدا یک مقدار خیلی کم و سپس مبلغ اصلی را به همان آدرس تست شده ارسال کنیم. به‌طورکلی، افراد قبل از ارسال تراکنش به آدرس‌های دیگر، باید برای امنیت بیشتر کارهای زیر را انجام دهند:

• بررسی مجدد آدرس گیرنده قبل از تایید تراکنش؛
• بررسی آدرس در دو کانال ارتباطی مختلف (یعنی از گیرنده بخواهیم تا آدرس را از دو کانال (SMS و ایمیل) ارسال کند)؛
• استفاده از تکنیک واریز دومرحله‌ای برای ارسال رمزارز به صرافی.

سخن پایانی

هرچند استفاده از کیف پول‌های سخت افزاری یکی از امن‌ترین روش‌ها برای ذخیره‌ ارزهای دیجیتال به شمار می‌رود، اما نباید فراموش کنیم که در فضای غیرمتمرکز و بلاک چین و به‌طورکلی در دنیای فناوری دیجیتال، راه‌های بی‌شماری برای نفوذ به سیستم‌های مختلف وجود دارد. درست است که از هیچ راه آنلاینی نمی‌توان به کلیدهای خصوصی یک کیف پول سخت افزاری دسترسی پیدا کرد، اما به‌راحتی می‌توان به کامپیوتر‌ها، برنامه‌های پیام‌رسان یا حافظه‌ موقت Clipboard در کامپیوتر و موبایل نفوذ کرد و آدرس‌های کپی شده در آن‌ها را دستکاری کرد.

در مقاله‌ مهم‌ترین توصیه‌ها هنگام کار با کیف پول‌های سخت افزاری، با اهمیت کلمات بازیابی و نحوه‌ صحیح نگهداری از آن‌ها آشنا شدیم. همچنین نکاتی در مورد به اشتراک‌گذاری اطلاعات بیان شد و اینکه تنها فردی که باید در مورد میزان دارایی و کلمات بازیابی حساب کاربری شما اطلاعات داشته باشد،‌ خود شما هستید.

در انتها هم به نکاتی در مورد نحوه‌ ارسال و دریافت آدرس‌های تراکنش‌ها و خطراتی مثل «Man in the middle attack» اشاره شد. امیدواریم با بکارگیری نکات ایمنی لازم، فعالیت اقتصادی و سرمایه‌گذاری امنی را تجربه کنید.