翻译|审稿人刘涛|孙淑娟作为一名创业者,心里难免没有安全感,尤其是在资金安全方面。无论当今数字空间中的解决方案多么强大和富有远见,人为因素仍然是资产盗窃的关键。如果您已经成立了一家公司,获得了投资,并且仍然担心您的资金安全,那么值得采取措施评估对用于公司目的的加密服务的所有威胁。本文讨论了当前的数字安全问题,并针对企业家在不久的将来可能面临的特定威胁提出了解决方案。有先发制人的思维方式有句话说得好:“未雨绸缪”,并非空穴来风。一般来说,有两样东西是必须要注意和保护的——私钥和助记词(或助记词)。心存恶意的人怎么可能轻易猜到并窃取一个呢?以下是这些人窃取资产的主要方式。1.设备黑客无论是笔记本电脑还是智能手机,存储私钥都不是一个好主意。丢失此类密钥等同于丢失信用卡或借记卡以及PIN。后果是显而易见的,无需进一步解释。如何处理?寻找其他方法来存储敏感信息。事实上,最常见的解决方案是保留私钥的硬拷贝。然而,纸似乎并不总是最可靠的存储方式,因此更有创意的方法肯定会减少丢失的机会。对企业主最有意义的解决方案是Cryptosteel、Cryptoart和使用硬盘安全模块(HSM)。2.电子邮件网络钓鱼电子邮件是业务的重要组成部分,黑客比任何人都更了解它。出于这个原因,他们通过一项服务发送电子邮件,该服务假设您习惯于要求数据执行某些操作。他们的电子邮件可能会伪装成公司代表(例如,如果您使用钱包服务)要求您分享一些个人信息,尽管官方代表从不这样做。这就是人为因素的来源,有些人被骗并提供个人信息。如何处理?当您收到此类消息时,请忽略它并立即联系您公司或服务的官方代表。作为生活常识,您应该时刻提醒自己:官方银行代表需要输入密码吗?3.假钱包不幸的是,黑客已经设法模仿由官方公司(如Trezor)开发的应用程序,从而避免在GoogleAppStore平台上被禁止。他们使用相似的名称,伪装成官方钱包。2022年,Trezor用户收到一封来自Trezor.us域的电子邮件,该邮件模仿了Trezor.io发送的消息,要求用户通过点击链接更新钱包软件——这似乎是一场旨在窃取资产的阴谋。如何处理?请务必从钱包服务的官方网站下载该应用程序。其中一些钱包甚至可能会要求您的手机号码向您发送指向应用商店的安全链接。4.恶意软件对于黑客获取数据至关重要。作为恶意软件的一种形式,键盘记录器非常适合此目的,它会记录每个密码、PIN和助记符,然后将其交给期待已久的恶意行为者。键盘记录器可以通过三种方式被感染:电子邮件从特定网站或种子密钥运行受感染的软件。当特洛伊木马完成任务后,黑客可以在您不注意的情况下快速轻松地破坏您的加密地址。此外,一些恶意软件会弄乱剪贴板,因此当您复制钱包地址进行转账时,一旦粘贴,地址就会发生变化。如何处理?确保您的防病毒系统扫描您下载的所有附件。确保有一个可靠的商业防病毒系统,以便您和您从事加密工作的员工能够及时检测到恶意软件。另外,不要忘记仔细检查您粘贴的钱包地址。5.冒充公司、加密货币交易所或特定人员是黑客经过时间考验的策略,并且仍然是实现其目标的最常用手段之一。这种方法完全基于人为因素,通常更容易使用,因为入侵计算机系统的任务更为复杂。在这种情况下,冒名顶替者的目的是窃取您的帐户,而不是黑客攻击。他们会要求您在特定地址进行交易。更狡猾的黑客会创建一个网站,您可以在其中查看您的“投资”,然后要求您共享一些数据。如何处理?这里提到的问题与我们的性格密切相关,所以要仔细检查,不要仓促决定,并将这些信息传达给员工。6.浏览器扩展安装在浏览器上的扩展可以让您的生活更轻松,但它们也会对您的安全构成潜在威胁。除了扩展程序提供的正常服务功能外,已经有很多报道称它们参与了黑客的监控和数据窃取。仅在2020年,谷歌就删除了49个被发现窃取加密钱包密钥的Chrome扩展程序。如何处理?在安装扩展程序之前,请验证其背后的公司或开发人员。在线复习(recheck)也是一个好主意。7.绕过2FA受信任的钱包提供商始终使用双因素身份验证来确保某些操作背后有真人。虽然2FA仍然是保护用户免受欺诈的有效方法,但在某些情况下,黑客已经找到了绕过这一安全层的方法。例如,由于数据传输协议中的漏洞,攻击者可能会拦截SMS消息。黑客还可能预先用恶意软件感染智能手机,克隆移动运营商卡,并破解网站上的用户帐户。其目的是控制所有访问者使用的保护措施。从那时起,黑客攻击加密钱包就不再那么令人担忧了:骗子已经转向加密货币。如何处理?密切关注您收到的通知并记住此处所说的一切。更进一步,考虑多重签名钱包和冷钱包。到目前为止,这些隐藏因素会影响热钱包(始终连接到互联网)以及个人私钥,但在考虑安全性时需要考虑很多因素。让我们来看看可以提高安全级别的解决方案,这样您就不必担心被黑客入侵或损失大量资金。如何在冷热钱包之间找到合适的平衡一直是一个相关的问题,现在可以通过使用冷热钱包来解决。一方面,热钱包非常有用但缺乏安全性。另一方面,冷钱包非常安全,但功能不全。现在的问题是:如何选择?那些长期使用加密货币的人可以通过将资金存储在物理设备(如Ledger或Trezor)上并通过互联网转移资金,从混合体验中受益。硬件钱包不如热钱包方便,因为它们必须开机然后连接到互联网。此外,它们的价格从50美元到200美元不等。尽管如此,为保护企业免于损失所有资金而付出的代价很小,因为这些设备旨在抵御黑客攻击。然而,热钱包也因其在接收、存储、交换和发送付款方面的易用性而受到企业的青睐。因为它们始终在线,所以无需在离线和在线之间切换以进行加密货币交易。该钱包用于与合作伙伴进行即时支付和结账,以及从一个钱包向多个账户地址进行不同的加密货币支付。对于大额交易,有些系统需要至少2名账户管理员批准交易才能签署。也就是说,如果您想要一个完全低风险的决策,混合策略是必经之路。多重签名钱包多重签名钱包(多重签名)可能是加密业务中最??有价值的工具之一。但是你可能会问,什么是多钱包?多重签名钱包是一种特殊的加密钱包,只有同时输入两个或多个签名才能使用。它实际上是多钥匙保险箱的数字版本,只能通过将多把钥匙插入多把锁来打开。当多个用户输入他们唯一的签名或密钥时,也会在此类钱包中进行交易。用户可以创建一个规则,确定完成一个操作/交易需要多少个签名:1/2、2/3、5/8等。这样的交易不会过期,系统不会结束它的待处理状态,直到所有所需的密钥已签署交易。多重签名钱包没有层次结构,这意味着不需要特定的签名来验证和完成交易。多重签名钱包对于不想依赖单一私钥持有人的企业来说是必不可少的。使用多重签名程序可以帮助企业确保资金安全,并允许不同的员工根据需要进行交易。除了提高安全性之外,使用多重签名钱包的主要优势之一是当一组私钥持有人共同控制资金时的决策制定。每个人都可以看到预算,提出不同的意见,但谁也不能把钱转到自己的账户上。钱包主要用作一种投票形式,即使大多数用户同意,交易也无法通过。至于缺点,使用这个钱包会影响交易速度,因为它需要多个签名。但这里最常见的障碍可能是设置多重签名钱包所需的技术知识。此外,还有一些法律上的细微差别没有跟上新技术的步伐。幸运的是,有第三方钱包提供商和公司(例如BitPay或Casa)可以帮助企业解决这些问题,尤其是在使用多重签名钱包时。结论如上所述,有许多方法可以提高您的业务安全性,必须仔细考虑。其中,多重签名钱包的使用已被证明是解决安全问题的一个很好的解决方案,同时也让人们能够公平地控制他们的资金。话虽如此,在与多方开展业务时,多重签名钱包更为重要。译者介绍刘涛,社区编辑,某大型央企系统在线检测管控负责人。原标题:企业如何在加密世界中防止资金损失并保持安全?,作者:AdamStieb
