SSP Editorial Team

Checklist OpSec Kripto Anda

·6 mnt baca·Oleh SSP Editorial Team
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip untuk checklist OpSec kripto

Penyimpanan mandiri bukanlah penyiapan sekali jadi — itu sebuah rutinitas. Kuncimu tetap aman karena kamu menjaganya tetap aman, kuartal demi kuartal. Inilah checklist keamanan operasional (OpSec) milikmu: audit 15 menit yang kamu jalankan empat kali setahun untuk menangkap penyimpangan kecil sebelum menjadi insiden. Cadangan memudar, ekstensi menumpuk, persetujuan bertambah, dan ponsel yang kamu percayai musim semi lalu akhirnya terjual. Tidak ada satu pun masalah itu yang dengan sendirinya menjadi keadaan darurat; bersama-sama, setelah setahun terabaikan, begitulah cara penyiapan yang baik membusuk diam-diam. Sisihkan satu malam yang tenang di awal setiap kuartal, cetak halaman ini, dan tandai kotaknya satu per satu. Tidak ada yang sulit di sini — seluruh nilainya ada pada melakukannya secara terjadwal, bukan setelah sesuatu sudah telanjur salah.

OpSec adalah disiplin yang dipinjam dari orang-orang yang model ancamannya serius sebagai profesi — panduan Surveillance Self-Defense dari EFF adalah pengantar yang baik untuk pola pikir ini. Untuk kripto, gagasan yang sama menyempit menjadi segelintir pertanyaan: apakah kunciku bisa dipulihkan, apakah perangkatku bersih, apakah aku memahami apa yang aku tanda tangani, dan apakah akun-akun di sekitar dompetku terkunci rapat? Dengan penyiapan 2-dari-2 milik SSP, setiap pengeluaran sudah membutuhkan persetujuan kedua yang independen di SSP Key-mu, sehingga satu perangkat yang disusupi seharusnya tidak cukup untuk memindahkan dana — tetapi jaring pengaman itu hanya bertahan jika kedua bagian tetap sehat dan independen. Checklist di bawah ini menjaganya tetap demikian.

Jalankan setiap kuartal. Tandai kotaknya hanya saat itu benar-benar nyata, bukan saat kamu berniat mengerjakannya.

Kunci & cadangan

Materi pemulihanmu adalah satu-satunya hal yang tidak bisa kamu buat ulang, jadi mulailah dari sini dan perbaiki apa pun yang goyah sebelum melangkah — panduan praktik terbaik frasa seed kami membahas detail penyimpanan. Cadangan yang kamu anggap baik-baik saja tetapi belum kamu lihat selama setahun adalah titik kegagalan tunggal yang paling umum dalam penyimpanan mandiri.

  • Temukan setiap cadangan frasa seed dan pastikan masing-masing terbaca secara fisik, lengkap, dan tidak rusak oleh air, panas, atau tinta yang memudar.
  • Pastikan cadangan berada di setidaknya dua tempat yang terpisah secara geografis, agar satu kebakaran, banjir, atau pencurian tidak mengambil keduanya sekaligus.
  • Verifikasi kedua bagian SSP dicadangkan: dompet ekstensi dan SSP Key dapat dipulihkan secara independen satu sama lain.
  • Periksa bahwa tidak ada frasa seed yang pernah diketik ke ponsel, difoto, dikirim lewat email, atau disimpan di pengelola kata sandi atau catatan cloud.
  • Pastikan siapa pun yang kamu percayai memegang lokasi cadangan masih memiliki akses — dan, yang sama pentingnya, masih seharusnya memilikinya.

Perangkat & ekstensi

Perangkat yang bersih adalah fondasi di bawah setiap kontrol lain, jadi perlakukan peramban seperti bagian dari dompetmu — kebersihan ekstensi peramban untuk pengguna kripto menjelaskan mengapa satu ekstensi berbahaya bisa diam-diam menulis ulang apa yang kamu tanda tangani.

  • Perbarui sistem operasi, peramban, dan ekstensi SSP ke versi terbaru.
  • Perbarui perangkat SSP Key dan pastikan ia masih dapat dipasangkan, menampilkan, dan menandatangani dengan benar.
  • Tinjau setiap ekstensi peramban yang terpasang dan hapus apa pun yang tidak terpakai, tidak dikenal, atau tidak lagi dipelihara.
  • Pastikan penerbit dan ID toko ekstensi SSP cocok dengan daftar resmi — tidak ada salinan tiruan yang menyelinap masuk.
  • Jalankan pemindaian malware tepercaya pada komputer maupun ponsel yang kamu gunakan untuk bertransaksi.

Transaksi & persetujuan

Sebagian besar kerugian modern bukanlah kunci yang dicuri — melainkan tanda tangan yang kamu berikan berbulan-bulan lalu dan lupakan, jadi tinjau apa yang telah kamu berikan dengan alat seperti revoke.cash dan baca ulang penjelasan kami tentang persetujuan token.

  • Tinjau persetujuan token yang aktif dan cabut semua yang usang, tak terbatas, atau terikat ke dapp yang tidak lagi kamu gunakan.
  • Pastikan kamu membaca setiap transaksi di layar SSP Key sebelum menyetujuinya — jumlah, tujuan, dan jaringan.
  • Periksa secara acak transaksi keluar terbaru di penjelajah blok terhadap apa yang sebenarnya ingin kamu kirim.
  • Verifikasi ulang bahwa bookmark kontrak dan dapp yang tersimpan masih menunjuk ke alamat asli dan terkini, bukan yang telah ditukar.

Akun di sekitar dompetmu

Penyerang jarang membobol dompet terlebih dahulu — mereka membobol akun email atau bursa di sebelahnya lalu menyusup ke dalam, jadi Secure Our World dari CISA adalah dasar berbahasa sederhana dan 2FA seluler yang benar membahas jebakan khusus kripto.

  • Pindahkan akun email, bursa, dan cloud dari 2FA via SMS ke TOTP atau passkey, yang tidak bisa terkena SIM swap.
  • Pastikan kata sandi unik dan kuat di setiap akun yang menyentuh kriptomu, dibuat dan disimpan di pengelola kata sandi.
  • Tinjau buku alamat tersimpanmu dan hapus atau verifikasi ulang setiap entri yang tidak lagi bisa kamu jamin secara pribadi.
  • Periksa opsi pemulihan tiap akun — email cadangan, nomor telepon, pertanyaan keamanan — untuk mata rantai lemah yang bisa ditembus penyerang.

Kesiapan terhadap phishing

Phishing adalah serangan yang benar-benar akan kamu hadapi, dan ia terus makin meyakinkan, jadi jaga polanya tetap segar dengan serangan phishing yang menargetkan pengguna kripto dan latih refleksmu sendiri sebelum umpan asli datang.

  • Bookmark ulang situs resmi SSP dan bursa-bursamu, dan akses hanya melalui bookmark itu — jangan pernah lewat iklan pencarian atau tautan pesan langsung.
  • Pastikan kamu tidak pernah menyetujui transaksi atau memasukkan frasa seed sebagai tanggapan atas pesan, panggilan, atau "agen dukungan" yang tak diminta.
  • Tinjau email dan pesan langsung terbaru untuk apa pun yang kamu klik padahal seharusnya tidak — dan ganti kredensial yang terdampak jika ragu.
  • Ingatkan siapa pun yang berbagi keuanganmu bahwa SSP, dan dukungan sah mana pun, tidak akan pernah meminta frasa seed.

Latihan pemulihan & warisan

Cadangan yang belum pernah kamu uji adalah tebakan, jadi sekali per kuartal buktikan kamu benar-benar bisa memulihkan alih-alih sekadar berasumsi — mulai dari memulihkan SSP saat kehilangan peramban.

  • Jalankan latihan kehilangan peramban: pulihkan ekstensi SSP dari cadangan pada profil yang bersih dan pastikan saldomu muncul.
  • Jalankan latihan kehilangan ponsel: pastikan kamu bisa menyiapkan ulang SSP Key dan menyelesaikan satu persetujuan 2-dari-2 secara penuh dari awal sampai akhir.
  • Dokumentasikan akses darurat dan warisan — di mana cadangannya, apa yang dibutuhkan, dan siapa yang dihubungi — untuk seseorang yang kamu percayai.
  • Pastikan dokumen itu disimpan dengan aman dan orang tepercaya tahu bahwa ia ada, tanpa mempelajari rahasianya terlalu dini.

Cetak, jadwalkan

Sebuah checklist hanya berguna jika benar-benar dijalankan, jadi buat audit kuartal berikutnya berjalan otomatis alih-alih mengandalkan ingatan.

  • Cetak checklist ini atau simpan offline di tempat yang benar-benar akan kamu lihat lagi.
  • Pasang pengingat kuartalan berulang di kalendermu, disetel pada minggu yang sama setiap kuartal.
  • Catat tanggal kamu menyelesaikan audit hari ini dan apa pun yang kamu tunda, agar kuartal berikutnya dimulai tepat di tempat kuartal ini berakhir.

Bagikan artikel ini

Artikel terkait

Seed phrase dua belas kata tercetak di kartu kertas di samping hardware wallet

Praktik terbaik seed phrase

Apa sebenarnya seed phrase, cara menyimpannya tanpa hilang atau bocor, dan bagaimana multisig 2-of-2 SSP mengubah model ancamannya.

7 min read
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip, yang menggambarkan panduan serangan phishing kripto.

Serangan Phishing yang Menarget Pengguna Kripto (dan Cara Mengenalinya)

Phishing kripto menargetkan Anda, bukan kriptografinya. Pelajari polanya — wallet drainer, approval phishing, address poisoning — dan bagaimana SSP membantu.

7 min read
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip pada kartu persegi biru navy

Higiene Ekstensi Browser untuk Pengguna Kripto

Keamanan ekstensi browser untuk self-custody: periksa yang dipasang, terapkan least privilege, andalkan LavaMoat, biarkan 2-dari-2 SSP menahan ekstensi jahat.

6 min read