Điện thoại có lẽ là thiết bị bạn tin tưởng nhất. Nó mở khóa bằng khuôn mặt hoặc vân tay của bạn, đi cùng bạn khắp mọi nơi và đã chứa sẵn tin nhắn, ảnh và các ứng dụng ngân hàng của bạn. Vì vậy, việc một ví tiền mã hóa di động — một ứng dụng ví chạy trên điện thoại — trở thành cách nhiều người lần đầu nắm giữ tiền mã hóa là điều hợp lý.
Hướng dẫn này giải thích những gì ví di động thực sự làm tốt, chúng hụt hơi ở đâu, và SSP tiếp cận chiếc điện thoại theo cách khác như thế nào. Nếu bạn hoàn toàn mới với ví, hãy bắt đầu với ví tiền mã hóa thực sự là gì — bài viết đó bao quát những kiến thức nền về khóa và địa chỉ mà bài này dựa vào.
Ví tiền mã hóa di động là gì
Một chiếc ví tiền mã hóa không lưu giữ coin. Coin sống trên blockchain — một sổ cái công khai được chia sẻ. Thứ mà chiếc ví thực sự lưu giữ là khóa riêng tư của bạn: một con số bí mật rất dài, chứng minh rằng số tiền là của bạn và cho phép bạn ủy quyền việc di chuyển nó. Ai kiểm soát khóa thì kiểm soát số tiền.
Một chiếc ví di động đơn giản là một ứng dụng ví, nơi khóa đó — và phần mềm sử dụng nó — nằm trên điện thoại thông minh của bạn. Khi bạn chạm "gửi", ứng dụng dùng khóa của bạn để tạo ra một chữ ký, một bằng chứng mật mã ủy quyền cho giao dịch, rồi phát nó tới mạng lưới.
Đó là cùng công việc mà một chương trình trên máy tính để bàn hay một ví tiện ích trình duyệt thực hiện. Khác biệt nằm ở thiết bị. Và thiết bị định hình mọi thứ: điều gì cảm thấy dễ dàng, điều gì cảm thấy rủi ro, và kẻ tấn công sẽ phải làm gì để chạm tới số tiền của bạn.
Những gì ví di động thực sự làm tốt
Điện thoại không phải là một sự thỏa hiệp. Đối với việc dùng hằng ngày, chúng có những lợi thế thật sự và cụ thể.
Luôn ở trong túi bạn
Một chiếc ví bạn mang theo là một chiếc ví bạn sử dụng. Nhận một khoản thanh toán, kiểm tra số dư, hay quét một mã để gửi tiền chỉ mất vài giây, vì thiết bị đã ở trong tay bạn. Với người xem tiền mã hóa như tiền chứ không phải như thứ gì đó bị khóa kỹ, sự sẵn sàng đó quan trọng.
Mở khóa sinh trắc học
Phần lớn điện thoại mở khóa bằng một lần quét vân tay hoặc khuôn mặt — một kiểm tra "sinh trắc học", nghĩa là nó xác minh bạn bằng một đặc điểm cơ thể thay vì một mật khẩu được gõ. Một chiếc ví di động có thể yêu cầu chính kiểm tra đó trước khi mở hoặc trước khi ký một giao dịch. Điều này thực sự hữu ích: nó nhanh, khó để người liếc qua vai bạn sao chép, và có nghĩa là một kẻ trộm giật lấy một chiếc điện thoại trông như đã mở khóa thì vẫn không thể mở ví. Sinh trắc học bảo vệ quyền truy cập vào ứng dụng; nó không thay thế việc sao lưu khóa của bạn, nhưng như một ổ khóa hằng ngày thì nó hoạt động tốt.
Phê duyệt qua thông báo đẩy
Điện thoại được tạo ra để báo cho bạn. Một chiếc ví di động được thiết kế tốt tận dụng điều này: khi một giao dịch cần bạn phê duyệt, điện thoại rung lên và hiển thị chi tiết cho bạn ngay. Bạn thấy yêu cầu, kiểm tra nó, rồi phê duyệt hoặc từ chối bằng một lần chạm. Không gì di chuyển cho đến khi bạn hành động. Điều này biến việc ký thành một bước có chủ ý và rõ ràng, thay vì một điều xảy ra lặng lẽ trong nền.
Quét mã QR
Địa chỉ tiền mã hóa là những chuỗi dài các ký tự trông ngẫu nhiên, và chỉ một ký tự gõ sai thôi cũng gửi tiền tới nơi sai — vĩnh viễn. Điện thoại có camera, nên ví di động cho phép bạn quét một mã QR thay vì gõ. Người kia hiển thị một mã, bạn hướng camera vào, và địa chỉ được thu lại chính xác. Điều này loại bỏ một trong những sai lầm phổ biến nhất và tốn kém nhất của người mới.
Ví di động hụt hơi ở đâu
Một hướng dẫn trung thực gọi tên những đánh đổi. Không điều nào trong số này khiến điện thoại trở nên vô dụng — nhưng bạn nên biết chúng.
Màn hình nhỏ khiến việc xác minh khó hơn
Trước khi phê duyệt một giao dịch, bạn nên kiểm tra địa chỉ đích và số tiền. Trên một màn hình nhỏ, một địa chỉ dài dễ bị lướt qua, và các ứng dụng đôi khi chỉ hiển thị vài ký tự đầu và cuối. Phần mềm độc hại tinh vi khai thác đúng điều này: nó tráo một địa chỉ đã sao chép bằng địa chỉ của kẻ tấn công. Cách khắc phục là một thói quen — xác minh địa chỉ đầy đủ mỗi lần, dù màn hình có nhỏ đến đâu.
Điện thoại bị mất và bị trộm
Điện thoại là một vật nhỏ sống trong túi và trên bàn quán cà phê. Nó có thể bị mất, bị trộm hoặc bị hỏng. Nếu khóa của ví bạn chỉ tồn tại trên một chiếc điện thoại đó và bạn không có bản sao lưu, mất điện thoại nghĩa là mất tiền. Đây không phải một khiếm khuyết riêng của ví di động — đó là thực tế của việc tự lưu ký — nhưng tính di động của điện thoại khiến kịch bản này dễ xảy ra hơn so với một thiết bị ở yên trong nhà. Một bản sao lưu khóa đáng tin cậy, được giữ ở một nơi riêng biệt, là điều thiết yếu.
Cửa hàng ứng dụng thêm một phụ thuộc về niềm tin
Bạn cài một chiếc ví di động từ một cửa hàng ứng dụng — App Store của Apple hoặc Google Play. Điều đó tiện lợi, và các cửa hàng thực sự có xét duyệt ứng dụng và quét phần mềm độc hại: xem tổng quan về bảo mật App Store của Apple và Google Play Protect. Nhưng nó thêm một bên ở giữa bạn và nhà phát triển. Các ứng dụng ví giả mạo bắt chước ứng dụng thật đã từng xuất hiện trong các cửa hàng ứng dụng. Cách phòng vệ thực tế rất đơn giản: chỉ cài từ liên kết chính thức của nhà phát triển, kiểm tra tên nhà xuất bản, và nghi ngờ những thứ trông giống.
SSP tiếp cận chiếc điện thoại như thế nào: SSP Key
SSP đi một con đường khác. Thay vì đặt toàn bộ ví của bạn — và chiếc khóa duy nhất của bạn — lên điện thoại, SSP chia quyền kiểm soát qua hai thiết bị và yêu cầu cả hai phê duyệt bất kỳ giao dịch nào. Điều này được gọi là đa chữ ký 2-of-2: có hai khóa, và cần hai trong hai chữ ký để di chuyển tiền.
Một khóa sống trong tiện ích trình duyệt SSP, trên máy tính của bạn. Khóa kia sống trong SSP Key, một ứng dụng trên điện thoại của bạn. Đây là cách hình dung quan trọng nhất đối với người mới bắt đầu:
SSP Key là một bên ký, không phải một chiếc ví độc lập. Nó giữ một trong hai khóa và nhiệm vụ của nó là phê duyệt các giao dịch. Tự thân nó, SSP Key không thể di chuyển tiền của bạn — nó chỉ giữ một khóa, và một khóa trên hai là không đủ. Tiện ích trình duyệt cũng không thể tự mình di chuyển tiền, vì đúng cùng một lý do. Không nửa nào là một chiếc ví hoàn chỉnh. Việc chi tiêu đòi hỏi điện thoại và máy tính phải đồng ý.
Điều này định hình lại những rủi ro di động ở trên:
- Một chiếc điện thoại bị mất hay bị trộm không phải là một chiếc ví bị mất. Ai có điện thoại của bạn thì chỉ giữ một khóa. Họ vẫn cần khóa thứ hai, trên máy tính của bạn, để chi tiêu bất cứ thứ gì.
- Việc phê duyệt là có chủ ý theo thiết kế. Tiện ích trình duyệt đề xuất một giao dịch; SSP Key trên điện thoại của bạn hiển thị nó cho bạn và yêu cầu bạn xác nhận. Hai thiết bị, hai chốt kiểm tra — bước xác minh trên màn hình nhỏ được củng cố bởi một màn hình thứ hai.
- Sinh trắc học vẫn bảo vệ ứng dụng. SSP Key dùng việc mở khóa bằng vân tay hoặc khuôn mặt của điện thoại làm ổ khóa cho chiếc khóa duy nhất đó.
Ví di động yêu cầu điện thoại là toàn bộ chiếc ví. SSP yêu cầu điện thoại là một nửa đáng tin cậy của nó. Đó là khác biệt thực tế đằng sau mô hình 2-of-2.
Cách chọn cấu hình của bạn
Không có một ví tiền mã hóa di động tốt nhất duy nhất cho mọi người — điều đó tùy thuộc vào việc bạn đang bảo vệ thứ gì và bạn dùng nó ra sao. Một vài câu hỏi trung thực sẽ giúp ích:
- Bạn đang nắm giữ bao nhiêu? Những khoản nhỏ, tiền để chi tiêu, trên một chiếc ví di động duy nhất là một đánh đổi hợp lý để lấy sự tiện lợi. Khoản tiết kiệm lớn hơn xứng đáng với bước thêm là một thiết bị thứ hai.
- Bạn có một bản sao lưu không? Dù bạn chọn gì, khóa của bạn phải có thể khôi phục được nếu điện thoại biến mất. Không sao lưu, không khôi phục.
- Bạn đang cài từ nguồn thật chứ? Xác nhận nhà xuất bản và dùng liên kết chính thức của nhà phát triển.
Nếu một điểm hỏng hóc duy nhất khiến bạn không an tâm, mô hình hai thiết bị của SSP được dựng nên để loại bỏ nó. Khi bạn sẵn sàng thiết lập một chiếc, hướng dẫn từng bước trong thiết lập chiếc ví SSP đầu tiên của bạn sẽ dẫn bạn qua việc ghép nối tiện ích trình duyệt với SSP Key.
Điều cần ghi nhớ
Ví di động làm đúng rất nhiều thứ: chúng luôn ở bên bạn, mở khóa bằng vân tay hoặc khuôn mặt, biến việc phê duyệt thành một lần chạm rõ ràng, và quét mã QR để bạn không bao giờ gõ sai một địa chỉ. Chúng cũng mang theo những đánh đổi thật sự — màn hình nhỏ khiến việc kiểm tra chi tiết khó hơn, điện thoại bị mất, và cửa hàng ứng dụng thêm một lớp niềm tin.
Câu trả lời của SSP không phải là từ bỏ chiếc điện thoại, mà là giao cho nó một nhiệm vụ hẹp hơn, an toàn hơn. SSP Key là một bên ký: nó giữ một trong hai khóa và phê duyệt các giao dịch, nhưng không thể tự mình di chuyển tiền — và tiện ích trình duyệt cũng vậy. Hai thiết bị, hai lần phê duyệt, một chiếc ví. Đó là cách đơn giản nhất để giữ lấy sự tiện lợi của một chiếc điện thoại mà không đặt cược tất cả vào một thiết bị duy nhất.