SSP Editorial Team

Kripto OpSec Kontrol Listeniz

·6 dk okuma·Yazar: SSP Editorial Team
Kripto OpSec kontrol listesi için cüzdan, anahtar, kalkan ve çip simgeleriyle SSP güvenlik kapağı

Öz saklama tek seferlik bir kurulum değildir — bir rutindir. Anahtarların güvende kalır çünkü onları çeyrek çeyrek sen güvende tutarsın. İşte operasyonel güvenlik (OpSec) kontrol listen: küçük sapmaları olaylara dönüşmeden yakalamak için yılda dört kez yaptığın 15 dakikalık bir denetim. Yedekler solar, eklentiler birikir, onaylar üst üste yığılır ve geçen bahar güvendiğin telefon satılır. Bunların hiçbiri tek başına bir acil durum değildir; bir yıllık ihmalden sonra hepsi bir araya gelince, iyi kurulumların sessizce çürümesinin yolu budur. Her çeyreğin başında sakin bir akşamı ayır, bu sayfayı yazdır ve kutuları tek tek işaretle. Bunların hiçbiri zor değil — bütün değer, bir şey ters gittikten sonra değil, programlı biçimde yapmakta.

OpSec, tehdit modeli mesleği gereği ciddi olan insanlardan ödünç alınmış bir disiplindir — EFF'in Surveillance Self-Defense kılavuzları bu zihniyete iyi bir giriştir. Kripto için aynı fikir bir avuç soruya iner: anahtarlarım kurtarılabilir mi, cihazlarım temiz mi, imzaladığım şeyi anlıyor muyum ve cüzdanımın çevresindeki hesaplar kilitli mi? SSP'nin 2'ye 2 kurulumuyla her harcama, SSP Key'inde zaten ikinci, bağımsız bir onay gerektirir; böylece tek bir ele geçirilmiş cihaz fonları taşımaya yetmemelidir — ama bu güvenlik ağı yalnızca iki yarı da sağlıklı ve bağımsız kaldığında tutar. Aşağıdaki kontrol listesi onları öyle tutar.

Bunu her çeyrekte uygula. Kutuyu yalnızca gerçekten doğruysa işaretle, yapmaya niyetlendiğinde değil.

Anahtarlar ve yedekler

Kurtarma malzemen yeniden üretemeyeceğin tek şeydir, bu yüzden buradan başla ve devam etmeden önce sallantıdaki her şeyi düzelt — tohum ifadesi en iyi uygulamaları kılavuzumuz saklama ayrıntılarını ele alır. İyi olduğunu varsaydığın ama bir yıldır bakmadığın bir yedek, öz saklamada en yaygın tekil hata noktasıdır.

  • Her tohum ifadesi yedeğini bul ve her birinin fiziksel olarak okunabilir, eksiksiz ve su, ısı ya da solmuş mürekkep nedeniyle hasarsız olduğunu doğrula.
  • Yedeklerin coğrafi olarak ayrı en az iki yerde durduğunu doğrula ki tek bir yangın, sel ya da hırsızlık ikisini birden alamasın.
  • Her iki SSP yarısının da yedeklendiğini doğrula: eklenti cüzdanı ve SSP Key birbirinden bağımsız olarak geri yüklenebilir.
  • Hiçbir tohum ifadesinin asla bir telefona yazılmadığını, fotoğraflanmadığını, e-postayla gönderilmediğini ya da bir parola yöneticisinde veya bulut notunda saklanmadığını kontrol et.
  • Bir yedek konumu için güvendiğin herkesin hâlâ erişimi olduğunu — ve aynı derecede önemlisi, hâlâ olması gerektiğini — doğrula.

Cihazlar ve eklentiler

Temiz bir cihaz, diğer her denetimin altındaki temeldir, bu yüzden tarayıcına cüzdanının bir parçası gibi davran — kripto kullanıcıları için tarayıcı eklentisi hijyeni tek bir kötü amaçlı eklentinin imzaladığın şeyi neden sessizce yeniden yazabildiğini açıklar.

  • İşletim sistemini, tarayıcını ve SSP eklentisini en son sürümlerine güncelle.
  • SSP Key cihazını güncelle ve hâlâ eşleştiğini, gösterdiğini ve doğru imzaladığını doğrula.
  • Yüklü her tarayıcı eklentisini gözden geçir ve kullanılmayan, tanımadığın ya da artık bakımı yapılmayan her şeyi kaldır.
  • SSP eklentisinin yayıncısının ve mağaza kimliğinin resmi listeyle eşleştiğini doğrula — taklit bir kopya sızmamış olmalı.
  • İşlem yaptığın hem bilgisayarda hem de telefonda saygın bir kötü amaçlı yazılım taraması çalıştır.

İşlemler ve onaylar

Modern kayıpların çoğu çalınan anahtarlar değildir — aylar önce verip unuttuğun imzalardır, bu yüzden revoke.cash gibi bir araçla neler verdiğini gözden geçir ve token onayları açıklamamızı yeniden oku.

  • Etkin token onaylarını gözden geçir ve eskimiş, sınırsız ya da artık kullanmadığın bir dapp'e bağlı olanların hepsini iptal et.
  • Onaylamadan önce her işlemi SSP Key ekranında okuduğunu doğrula — tutar, hedef ve ağ.
  • Son giden işlemleri bir blok gezgininde, gerçekte göndermeyi amaçladığın şeyle karşılaştırarak örnekle kontrol et.
  • Kayıtlı sözleşme ve dapp yer imlerinin hâlâ gerçek, güncel adreslere işaret ettiğini, değiştirilmiş bir adrese değil, yeniden doğrula.

Cüzdanının çevresindeki hesaplar

Saldırganlar nadiren önce cüzdanı kırar — yanındaki e-posta ya da borsa hesabını kırıp içeri doğru ilerler, bu yüzden CISA'nın Secure Our World içeriği sade bir temeldir ve mobil 2FA'yı doğru yapmak kriptoya özgü tuzakları ele alır.

  • E-posta, borsa ve bulut hesaplarını SMS 2FA'dan, SIM swap yapılamayan TOTP ya da passkey'lere taşı.
  • Kriptona dokunan her hesapta, bir parola yöneticisinde üretilip saklanan benzersiz, güçlü bir parola doğrula.
  • Kayıtlı adres defterini gözden geçir ve artık kişisel olarak kefil olamayacağın her girişi kaldır ya da yeniden doğrula.
  • Her hesabın kurtarma seçeneklerini — yedek e-posta, telefon numarası, güvenlik soruları — bir saldırganın geçebileceği zayıf halkalar için kontrol et.

Kimlik avına hazırlık

Kimlik avı, gerçekten karşılaşacağın saldırıdır ve giderek daha inandırıcı hale gelir, bu yüzden kalıpları kripto kullanıcılarını hedef alan kimlik avı saldırıları ile taze tut ve gerçek bir yem gelmeden önce kendi reflekslerini prova et.

  • Resmi SSP sitesini ve borsalarını yeniden yer imine ekle ve onlara yalnızca bu yer imleri üzerinden ulaş — asla bir arama reklamı ya da DM bağlantısı üzerinden değil.
  • İstenmeyen bir mesaja, aramaya ya da bir "destek" temsilcisine yanıt olarak asla bir işlemi onaylamadığını veya bir tohum ifadesi girmediğini doğrula.
  • Son e-postalarını ve DM'lerini, tıklamaman gereken bir şeye tıklayıp tıklamadığın açısından gözden geçir — ve emin değilsen etkilenen kimlik bilgilerini değiştir.
  • Finansını paylaştığın herkese SSP'nin ve herhangi bir meşru desteğin asla tohum ifadesi istemeyeceğini hatırlat.

Kurtarma ve miras provası

Hiç test etmediğin bir yedek bir tahmindir, bu yüzden çeyrekte bir kez varsaymak yerine gerçekten kurtarabileceğini kanıtla — tarayıcını kaybettiğinde SSP'yi kurtarma ile başla.

  • Bir tarayıcı kaybı tatbikatı yap: SSP eklentisini temiz bir profilde yedekten geri yükle ve bakiyelerinin göründüğünü doğrula.
  • Bir telefon kaybı tatbikatı yap: SSP Key'i yeniden kurabildiğini ve baştan sona tam bir 2'ye 2 onayı tamamlayabildiğini doğrula.
  • Acil durum ve miras erişimini — yedeklerin nerede olduğunu, neyin gerektiğini ve kiminle iletişime geçileceğini — güvendiğin biri için belgele.
  • O belgenin güvenli biçimde saklandığını ve güvendiğin kişinin, sırları vaktinden önce öğrenmeden, var olduğunu bildiğini doğrula.

Yazdır, planla

Bir kontrol listesi yalnızca gerçekten uygulanırsa işe yarar, bu yüzden gelecek çeyreğin denetimini hafızaya güvenmek yerine otomatik hale getir.

  • Bu kontrol listesini yazdır ya da gerçekten yeniden göreceğin bir yere çevrimdışı kaydet.
  • Takvimine yinelenen üç aylık bir hatırlatıcı koy, her çeyrek aynı haftaya ayarlı.
  • Bugünkü denetimi tamamladığın tarihi ve ertelediğin her şeyi not et ki gelecek çeyrek tam bu çeyreğin bittiği yerden başlasın.

Bu makaleyi paylaş

İlgili makaleler

Bir donanım cüzdanının yanında kâğıt karta basılmış on iki kelimelik tohum cümlesi

Tohum cümlesi en iyi uygulamaları

Tohum cümlesi gerçekten nedir, nasıl kaybetmeden ve sızdırmadan saklanır ve SSP'nin 2-of-2 çoklu imzası tehdit modelini nasıl değiştirir.

7 min read
SSP güvenlik kapağı; cüzdan, anahtar, kalkan ve çip simgeleri ile kripto phishing saldırılarına yönelik bir kılavuzu göstermektedir.

Kripto Kullanıcılarını Hedef Alan Phishing Saldırıları (ve Nasıl Fark Edilir)

Kripto phishing sizi hedef alır, kriptografiyi değil. Cüzdan boşaltıcıları, onay phishing'i ve adres zehirlemeyi öğrenin; SSP nasıl yardımcı olur görün.

7 min read
Lacivert kare kart üzerinde cüzdan, anahtar, kalkan ve çip simgeleri olan SSP güvenlik kapağı

Kripto Kullanıcıları İçin Tarayıcı Eklentisi Hijyeni

Öz saklama için tarayıcı eklentisi güvenliği: ne kurduğunuzu inceleyin, en az ayrıcalığı uygulayın ve SSP'nin 2/2 yapısı kötü eklentiyi engellesin.

6 min read