ما با استفاده از کیف پولهای سخت افزاری، کنترل کامل داراییهای دیجیتال خود را در اختیار خواهیم داشت. اما اختیار زیاد، همواره مسئولیتپذیریِ بیشتری نیز به دنبال دارد. استفاده از ارزهای دیجیتال مثل بیت کوین باعث میشود کاربرها، خودشان حکم بانک را برای خود داشته و داراییشان را به دست هیچکس نسپارند.
چنین امکاناتی در کنار تجهیزاتی مثل کیف پولهای سخت افزاری میتواند برای کاربرها در رسیدن به هدفشان کمککننده باشد، ولی نباید فراموش کنیم که در این مسیر، نکات امنیتی و تهدیدهای زیادی وجود دارد. طبیعی است که هر چه مطالعه و دانش بیشتری نسبت به نکات و اصول امنیتی این حوزه داشته باشیم، فعالیت مطمئنتری خواهیم داشت و سرمایههای ما کمتر تهدید میشود.
در ادامه میخواهیم در مورد مهمترین توصیهها هنگام کار با کیف پولهای سخت افزاری صحبت کنیم و به نکاتی اشاره کنیم که رعایت آنها، تأثیر زیادی در فعالیتهای کاربرها در حوزه کریپتوکارنسیها خواهد داشت.
۵ قانون طلایی اولیه
- قانون اول: هیچگاه و تحت هیچ شرایطی نباید کلمات بازیابی حساب خود را در اختیار فرد دیگری قرار دهید.
- قانون دوم: هیچگاه و تحت هیچ شرایطی نباید کلمات بازیابی حساب خود را روی یک کامپیوتر یا موبایل ذخیره کنید.
- قانون سوم: کلمات بازیابی را در جایی نگهداری کنید که امکان سرقت، گمشدن یا آتشسوزی و… وجود نداشته باشد.
- قانون چهارم: هنگام انجام تراکنش، فقط به اطلاعات نمایش داده شده روی صفحهنمایش کیف پول اعتماد کنید (نه اطلاعات روی کامپیوتر و موبایل) و همواره آدرس گیرنده را با آدرس روی کیف پول مقایسه کنید.
- قانون پنجم: همیشه این احتمال را بدهید که امکان دستکاری اطلاعاتی که روی صفحهنمایش کامپیوتر یا موبایل نمایش داده میشود، وجود دارد.
کلمات بازیابی
میدانیم زمانیکه برای اولین بار وارد یک کیف پول سخت افزاری میشویم، در مراحل راهاندازی اولیه، یک عبارت متشکل از چند کلمه انگلیسی تحت عنوان کلمات بازیابی یا Recovery Phrases به ما نمایش داده خواهد شد. این کلمات در کیف پولهای لجر ۲۴ تا هستند که بلافاصه از کاربر خواسته میشود آنها را روی کاغذ یادداشت کند. این عبارات با استفاده از یک استاندارد رمزنگاری به نام BIP 39 ساخته میشوند و به یک رشته باینری (مجموعهای از صفر و یکها) با نام Master Seed اشاره میکند.
این Master Seed قادر است تمام آدرسهای عمومی و کلیدهای خصوصی مرتبط با آنها را تولید کند و بهعنوان راهی برای بازیابی اطلاعات کیف پولها به کار میرود. اگر مایلید نحوه ساختهشدن این کلمات را بدانید، میتوانید به مقاله «فرایند ساخت کلمات بازیابی در استاندارد BIP 39» مراجعه کنید. به کمک این کلمات میتوان در هر زمانی، اطلاعات یک کیف پول مثل لجر را روی یک کیف پول لجر دیگر یا سایر کیف پولهای سازگار با این فناوری، بازیابی کرد.
نکات امنیتی کلمات بازیابی
یک کاربر همواره باید به کلمات بازیابی خود دسترسی داشته باشد تا بتواند:
- در هنگام دزدیده، گم یا خراب شدن کیف پول سخت افزاری به کمک آن کلمات، به حساب و سرمایه خود دسترسی داشته باشد.
- بتواند بهعنوان یکی از راههای بکاپ گرفتن از کیف پول سخت افزاری، آن کلمات را در کیف پول دیگری وارد کند. میدانیم که اگر کلمات بازیابی حساب خود را در کیف پول دیگری وارد کنیم، یک کپی از کیف پول و تمام داراییهای آن ایجاد خواهد شد. برای مثال، میتوان یک کیف پول را در محل کار و دیگری را در منزل استفاده کرد، بدون اینکه نیاز به جابهجایی کیف پولها بین منزل و محل کار باشد. همچنین میتوان برای استفاده از یک محصول جدیدتر، از این قابلیت بهره گرفت.
گفتنی است که کلمات بازیابی را نمیتوان با PIN ورود به دستگاه، محافظت کرد و عملا این دو ربطی به هم ندارند. PIN یک لایه امنیتی اضافه برای محدود کردن دسترسی به کیف پول است؛ اما اگر فردی کلمات بازیابی ما را در اختیار داشته باشد، بهراحتی، در هر لحظه میتواند بدون نیاز به دانستن هیچ اطلاعات دیگری، به داراییهای دیجیتال ما دسترسی پیدا کند.
پس بهتر است نکاتی که در ادامه در مورد نحوه نگهداری کلمات بازیابی بیان میکنیم را با دقت بخوانید.
- هرگز با موبایلتان از کلمات بازیابی عکس نگیرید: گوشیهای هوشمند هرگز جای امنی برای ذخیره اطلاعات حساس نیستند، مخصوصا اینکه میتوانند به طور خودکار از اطلاعات شما بکاپ بگیرند و آن را به فضای ذخیرهسازی ابری ارسال کنند.
- هیچوقت کلمات بازیابی را در کامپیوتر و موبایل وارد نکنید: به خاطر امکان وجود انواع نرمافزارهای مخرب و سرقتکننده اطلاعات مثل Keyloggerها، حتی اطلاعات رمزنگاری شده هم میتواند شنود و کپی شود. یادمان نرود که علت استفاده از کیف پول سختافزاری دور بودن از فضای آنلاین و اینترنت است.
- هیچوقت کلمات بازیابی خود را با فرد دیگری به اشتراک نگذارید: دوست، اعضای خانواده یا همکار، تفاوتی نمیکند. اگر زمانی خواستید کلمات بازیابی را به یکی از این افراد بدهید، باید از قبل مطلع باشید که اختیار دسترسی و خرج کردن تمام سرمایه دیجیتال خود را به او خواهید سپرد. آیا ارزشش را دارد؟
- کلمات بازیابی را در جایی امن نگهداری کنید: جایی را برای نگهداری کاغذ یا کارت حاوی کلمات بازیابی انتخاب کنید که دور از نور خورشید، رطوبت و خطر آتشسوزی باشد. اگر به هر دلیلی این کلمات را از دست دادید، بلافاصله باید داراییهای خود را به یک کیف پول دیگر با کلمات بازیابی جدید منتقل کنید.
علاوهبر این موارد، باید دقت داشته باشید که هیچوقت از یک کیف پول سخت افزاری با کلمات بازیابیِ از قبل ساختهشده کار نکنید و همیشه تنها کسی که باید تنظیمات اولیه کیف پول را انجام میدهد، شخصِ شما باشید. خلاصه کلام این که شما باید تنها فرد روی کره زمین باشید که درباره این کلمات و محل نگهداری آنها اطلاع دارد.
چند قانون کلی امنیتی در دنیای واقعی
هر چقدر هم که مهمترین توصیهها هنگام کار با کیف پول های سخت افزاری را رعایت کنیم، این نکات فقط در دنیای دیجیتال از ما محافظت میکنند؛ ولی قادر نخواهند بود در هنگام تهدیدهای فیزیکی در دنیای واقعی به دادمان برسند. در شرایط زورگیری، گروگانگیری یا تهدید با اسلحه و… دیگر محل نگهداری کلمات بازیابی کمکی به ما نخواهد کرد و احتمالا برای حفظ جان خود، اطلاعات حسابمان را در اختیار مهاجم قرار خواهیم داد. پس رعایت نکات زیر را فراموش نکنید:
- تا جای ممکن به کسی نگویید که داراییهایی از نوع ارز دیجیتال در اختیار دارید: اگر در شرایطی مجبور به گفتن این موضوع شدید، هیچوقت مقدار دقیق موجودی خود را به کسی نگویید. اگر کسی پرسید چند تا بیت کوین دارید، میتوانید از او بپرسید: دارایی شما چند دلار است؟
- تا جای ممکن با هویت واقعی خود در گروههای کریپتویی فعالیت نکنید: همیشه مراقب مقدار اطلاعاتی که از خود در اختیار دیگران قرار میدهید باشد، همیشه ممکن است یک هدف برای سارقها شوید.
- صندوق امانات بانک جای بهتری نسبت به گاوصندوق خانگی است: ترجیحا کلمات بازیابی را در یک صندوق امانات بانکی نگهداری کنید. هرچند با این کار، دسترسی لحظهای به آنها نخواهید داشت، اما نسبت به تهدیدهای فیزیکی امنیت بیشتری خواهید داشت.
به جز کیف پول سخت افزاری، به دستگاه دیگری اعتماد نکنید
کیف پولهای سخت افزاری برای ارتباط با کاربرها و همچنین دنیای اینترنت به یک نرمافزار واسط نیاز دارند. این نرمافزار میتواند امکاناتی مثل نمایش موجودی، تاریخچه تراکنشها و همچنین امکان ارسال تراکنش جدید را به کاربر بدهد. مثلا کیف پولهای لجر برای این کار از برنامهای به نام «لجر لایو» (Ledger Live) استفاده میکنند.
نکته مهمی که در ارتباط با استفاده از نرمافزارهای کامپیوتری وجود دارد این است که هیچوقت نباید به آنها اعتماد کنیم. زیرا تشخیص صحت عملکرد آنها برای کاربرهای عادی، کار دشواری است. پس همواره باید این احتمال را بدهیم که ممکن است چیزی که در صفحهنمایش کامپیوتر خود مشاهده میکنیم، دستکاری شده باشد. به همین دلیل است که توصیه میشود به جز کیف پول سخت افزاری، به دستگاه دیگری اعتماد نکنید.
نکات امنیتی هنگام دریافت تراکنش
بهتر است قبل از ارسال آدرس کیف پول خود ازطریق اسکن کد QR، آدرس روی کیف پول را با آدرس نمایش داده شده روی کامپیوتر مقایسه کنید.
میدانیم که برای دریافت ارز دیجیتال، باید آدرس کیف پولمان را برای فرستنده ارسال کنیم. در چنین مواقعی باید مراقب حملاتی مثل «Man in the middle Attack» باشیم. در چنین حملهای، هکر میتواند کنترل اطلاعات صفحهنمایش کامپیوتر را به دست گرفته و آدرس یک کیف پول اشتباه را به شما نمایش دهد. دراینحالت، درصورت عدم توجه ما، ممکن است آدرس کیف پول هکر را برای فرستنده ارسال کنیم و مبلغ تراکنش به کیف پول هکر واریز شود. به همین دلیل لازم است قبل از ارسال اطلاعات، آدرس نمایش دادهشده روی کامپیوتر را با آدرس روی صفحهنمایش کیف پول تطبیق دهیم.
درخصوص مواقعی که میخواهیم آدرس کیف پول را از طریق اسکن کد QR برای گیرنده ارسال کنیم، باز هم باید قبل از فرستادن، آدرس روی کیف پول را با آنچه در کامپیوتر نمایش داده میشود، تطبیق دهیم.
اگر از نرمافزاری استفاده میکنید که امکاناتی مثل اسکن کد QR را پشتیبانی نمیکند، پیشنهاد میشود ابتدا یک تراکنش آزمایشی با مبلغ خیلی کم به آدرس مورد نظر ارسال کنید و درصورت صحیح بودن، همان آدرس را برای فرستنده تراکنش ارسال کنید.
نکات امنیتی هنگام ارسال تراکنش
برای ارسال تراکنش، به آدرس کیف پول مقصد نیاز داریم و در اکثر موارد این آدرس را از روی یک وبسایت یا اپلیکیشنهای پیامرسان کپی میکنیم. یکی از سادهترین انواع حمله در این مورد این است که یک نرمافزار مخرب، آدرس کپی شده را با آدرس دیگری جایگزین کند. چنین برنامههایی قادرند فضای Clipboard را مانیتور کرده و آدرس کپیشده را با آدرس دیگری جایگزین کنند. (وقتی چیزی را در موبایل یا کامپیوتر کپی میکنیم به یک حافظه موقت به نام Clipboard منتقل میشود).
برای جلوگیری از این حملات، همواره باید آدرس گیرنده را قبل از تأیید تراکنش، مجدد بررسی کنیم. همچنین میتوان این آدرس را در دو کانال ارتباطی مختلف بررسی کرد. مثلا اگر آدرس گیرنده ازطریق SMS برای ما ارسال شده، میتوانیم از گیرنده بخواهیم که آدرس خود را ازطریق ایمیل یا یک برنامه دیگر هم برای ما ارسال کند. اگر در حال ارسال رمزارز به یک صرافی هستیم، میتوان از تکنیک واریز دو مرحلهای استفاده کنیم؛ یعنی ابتدا یک مقدار خیلی کم و سپس مبلغ اصلی را به همان آدرس تست شده ارسال کنیم. بهطورکلی، افراد قبل از ارسال تراکنش به آدرسهای دیگر، باید برای امنیت بیشتر کارهای زیر را انجام دهند:
- بررسی مجدد آدرس گیرنده قبل از تایید تراکنش؛
- بررسی آدرس در دو کانال ارتباطی مختلف (یعنی از گیرنده بخواهیم تا آدرس را از دو کانال (SMS و ایمیل) ارسال کند)؛
- استفاده از تکنیک واریز دومرحلهای برای ارسال رمزارز به صرافی.
سخن پایانی
هرچند استفاده از کیف پولهای سخت افزاری یکی از امنترین روشها برای ذخیره ارزهای دیجیتال به شمار میرود، اما نباید فراموش کنیم که در فضای غیرمتمرکز و بلاک چین و بهطورکلی در دنیای فناوری دیجیتال، راههای بیشماری برای نفوذ به سیستمهای مختلف وجود دارد. درست است که از هیچ راه آنلاینی نمیتوان به کلیدهای خصوصی یک کیف پول سخت افزاری دسترسی پیدا کرد، اما بهراحتی میتوان به کامپیوترها، برنامههای پیامرسان یا حافظه موقت Clipboard در کامپیوتر و موبایل نفوذ کرد و آدرسهای کپی شده در آنها را دستکاری کرد.
در مقاله مهمترین توصیهها هنگام کار با کیف پولهای سخت افزاری، با اهمیت کلمات بازیابی و نحوه صحیح نگهداری از آنها آشنا شدیم. همچنین نکاتی در مورد به اشتراکگذاری اطلاعات بیان شد و اینکه تنها فردی که باید در مورد میزان دارایی و کلمات بازیابی حساب کاربری شما اطلاعات داشته باشد، خود شما هستید.
در انتها هم به نکاتی در مورد نحوه ارسال و دریافت آدرسهای تراکنشها و خطراتی مثل «Man in the middle attack» اشاره شد. امیدواریم با بکارگیری نکات ایمنی لازم، فعالیت اقتصادی و سرمایهگذاری امنی را تجربه کنید.