SSP Editorial Team

Seu checklist de OpSec para cripto

·6 min de leitura·Por SSP Editorial Team
Capa de segurança da SSP com ícones de carteira, chave, escudo e chip para um checklist de OpSec cripto

A autocustódia não é uma configuração feita uma única vez — é uma rotina. Suas chaves permanecem seguras porque você as mantém seguras, trimestre após trimestre. Este é o seu checklist de segurança operacional (OpSec): uma auditoria de 15 minutos que você roda quatro vezes por ano para pegar os pequenos descuidos antes que virem incidentes. Os backups se desgastam, as extensões se acumulam, as aprovações se somam e aquele telefone em que você confiava na primavera passada acaba vendido. Nenhum desses problemas é uma emergência sozinho; juntos, após um ano de descuido, são a forma como boas configurações apodrecem em silêncio. Reserve uma noite tranquila no início de cada trimestre, imprima esta página e vá marcando as caixas. Nada disso é difícil — todo o valor está em fazer isso de forma programada, em vez de depois que algo já deu errado.

OpSec é uma disciplina emprestada de pessoas cujo modelo de ameaças é sério profissionalmente — os guias Surveillance Self-Defense da EFF são uma boa introdução a essa mentalidade. Para cripto, a mesma ideia se resume a um punhado de perguntas: minhas chaves são recuperáveis?, meus dispositivos estão limpos?, eu entendo o que estou assinando? e as contas em volta da minha carteira estão bem protegidas? Com a configuração 2 de 2 da SSP, cada gasto já precisa de uma segunda aprovação independente na sua SSP Key, de modo que um único dispositivo comprometido não deveria bastar para mover fundos — mas essa rede de segurança só se sustenta se as duas metades permanecerem saudáveis e independentes. O checklist abaixo as mantém assim.

Rode-o a cada trimestre. Marque a caixa apenas quando for realmente verdade, não quando você pretende chegar lá.

Chaves e backups

Seu material de recuperação é a única coisa que você não consegue gerar de novo, então comece por aqui e corrija qualquer ponto frágil antes de seguir — nosso guia de boas práticas para a frase semente cobre os detalhes de armazenamento. Um backup que você presume estar bem, mas não olha há um ano, é o ponto único de falha mais comum na autocustódia.

  • Localize cada backup da frase semente e confirme que cada um está fisicamente legível, completo e sem danos por água, calor ou tinta apagada.
  • Confirme que os backups ficam em pelo menos dois lugares geograficamente separados, para que um único incêndio, enchente ou roubo não leve os dois de uma vez.
  • Verifique que ambas as metades da SSP têm backup: a carteira da extensão e a SSP Key podem ser restauradas de forma independente uma da outra.
  • Verifique que nenhuma frase semente jamais foi digitada em um telefone, fotografada, enviada por e-mail ou guardada em um gerenciador de senhas ou nota na nuvem.
  • Confirme que qualquer pessoa em quem você confiou um local de backup ainda tem acesso e, igualmente importante, ainda deve ter.

Dispositivos e extensões

Um dispositivo limpo é a base sobre a qual todo outro controle se apoia, então trate seu navegador como parte da sua carteira — a higiene de extensões de navegador para usuários de cripto explica por que uma única extensão maliciosa pode reescrever em silêncio o que você assina.

  • Atualize seu sistema operacional, seu navegador e a extensão da SSP para as versões mais recentes.
  • Atualize o dispositivo SSP Key e confirme que ele ainda pareia, exibe as informações e assina corretamente.
  • Revise cada extensão de navegador instalada e remova tudo o que você não usa, não reconhece ou que não recebe mais manutenção.
  • Confirme que o editor e o ID de loja da extensão da SSP batem com o anúncio oficial — que nenhuma cópia parecida tenha se infiltrado.
  • Rode uma verificação de malware confiável tanto no computador quanto no telefone que você usa para transacionar.

Transações e aprovações

A maioria das perdas modernas não são chaves roubadas — são assinaturas que você cedeu meses atrás e esqueceu, então revise o que você concedeu com uma ferramenta como revoke.cash e releia nossa explicação sobre aprovações de tokens.

  • Revise as aprovações de tokens ativas e revogue qualquer uma que esteja obsoleta, seja ilimitada ou esteja ligada a um dapp que você não usa mais.
  • Confirme que você lê cada transação na tela da SSP Key antes de aprová-la — o valor, o destino e a rede.
  • Verifique por amostragem transações recentes de saída em um explorador de blocos contra o que você realmente pretendia enviar.
  • Verifique novamente que os favoritos salvos de contratos e dapps ainda apontam para os endereços reais e atuais, e não para um trocado.

Contas em volta da sua carteira

Os atacantes raramente quebram a carteira primeiro — eles quebram a conta de e-mail ou de corretora ao lado e avançam para dentro, então o Secure Our World da CISA é uma base em linguagem simples e o 2FA móvel bem feito cobre as armadilhas específicas de cripto.

  • Tire o e-mail, a corretora e as contas na nuvem do 2FA por SMS e mude para TOTP ou passkeys, que não podem sofrer SIM swap.
  • Confirme uma senha única e forte em cada conta que toca suas criptos, gerada e guardada em um gerenciador de senhas.
  • Revise seu catálogo de endereços salvo e remova ou verifique novamente qualquer entrada pela qual você não possa mais responder pessoalmente.
  • Verifique as opções de recuperação de cada conta — e-mail de backup, número de telefone, perguntas de segurança — em busca de elos fracos por onde um atacante poderia passar.

Preparação contra phishing

Phishing é o ataque que você realmente vai enfrentar, e ele fica cada vez mais convincente, então mantenha os padrões frescos com ataques de phishing direcionados a usuários de cripto e ensaie seus próprios reflexos antes que uma isca real chegue.

  • Salve novamente nos favoritos o site oficial da SSP e suas corretoras, e acesse-os apenas por esses favoritos — nunca por um anúncio de busca ou um link de mensagem direta.
  • Confirme que você nunca aprova uma transação nem digita uma frase semente em resposta a uma mensagem, ligação ou "agente de suporte" não solicitados.
  • Revise e-mails e mensagens diretas recentes em busca de algo em que você clicou e não deveria — e troque as credenciais afetadas se estiver em dúvida.
  • Lembre qualquer pessoa que compartilhe suas finanças de que a SSP, e qualquer suporte legítimo, nunca vai pedir uma frase semente.

Simulação de recuperação e herança

Um backup que você nunca testou é um palpite, então uma vez por trimestre prove que você realmente conseguiria recuperar, em vez de presumir — comece por recuperar a SSP quando você perde o navegador.

  • Faça um exercício de perda do navegador: restaure a extensão da SSP a partir do backup em um perfil limpo e confirme que seus saldos aparecem.
  • Faça um exercício de perda do telefone: confirme que você consegue restabelecer a SSP Key e completar uma aprovação 2 de 2 de ponta a ponta.
  • Documente o acesso de emergência e de herança — onde estão os backups, o que é necessário e quem contatar — para alguém de sua confiança.
  • Confirme que esse documento está guardado com segurança e que a pessoa de confiança sabe que ele existe, sem aprender os segredos antes da hora.

Imprima e agende

Um checklist só funciona se realmente roda, então faça a auditoria do próximo trimestre ser automática em vez de depender da memória.

  • Imprima este checklist ou salve-o offline em algum lugar onde você realmente vá vê-lo de novo.
  • Coloque um lembrete trimestral recorrente no seu calendário, marcado para a mesma semana a cada trimestre.
  • Anote a data em que você concluiu a auditoria de hoje e tudo o que deixou pendente, para que o próximo trimestre comece exatamente onde este terminou.

Compartilhar este artigo

Artigos relacionados

Frase semente de doze palavras impressa em um cartão de papel ao lado de uma carteira de hardware

Boas práticas para a frase semente

O que é de fato uma frase semente, como guardá-la sem perder nem vazar, e como o multisig 2-of-2 do SSP muda o modelo de ameaças.

7 min read
Capa de segurança do SSP com ícones de carteira, chave, escudo e chip, ilustrando um guia sobre ataques de phishing cripto.

Ataques de Phishing Contra Usuários de Cripto (e Como Identificá-los)

O phishing cripto mira em você, não na criptografia. Aprenda os padrões — wallet drainers, approval phishing, envenenamento de endereços — e como o SSP ajuda.

7 min read
Capa de seguranca da SSP com icones de carteira, chave, escudo e chip em um cartao quadrado azul-marinho

Higiene de extensoes de navegador para usuarios de cripto

Seguranca de extensoes de navegador na autocustodia: avalie o que instala, use privilegio minimo e LavaMoat, e deixe o 2 de 2 da SSP conter uma extensao ruim.

6 min read