SSP Editorial Team

Danh sách kiểm tra OpSec tiền mã hóa của bạn

·6 phút đọc·Bởi SSP Editorial Team
Ảnh bìa bảo mật SSP với biểu tượng ví, khóa, khiên và chip cho danh sách kiểm tra OpSec tiền mã hóa

Tự lưu ký không phải là một lần thiết lập rồi thôi — đó là một thói quen. Khóa của bạn an toàn vì bạn giữ chúng an toàn, quý này qua quý khác. Đây là danh sách kiểm tra an ninh vận hành (OpSec) của bạn: một cuộc rà soát 15 phút mà bạn thực hiện bốn lần mỗi năm để bắt những sai lệch nhỏ trước khi chúng trở thành sự cố. Bản sao lưu phai mờ, tiện ích mở rộng chồng chất, các phê duyệt tích tụ, và chiếc điện thoại bạn tin tưởng mùa xuân năm ngoái cuối cùng bị bán đi. Không vấn đề nào trong số đó tự nó là một tình huống khẩn cấp; gộp lại, sau một năm lơ là, đó là cách những thiết lập tốt âm thầm mục ruỗng. Hãy dành một buổi tối yên tĩnh vào đầu mỗi quý, in trang này ra và đánh dấu từng ô. Không điều nào trong đây là khó — toàn bộ giá trị nằm ở việc làm theo lịch thay vì sau khi có chuyện đã xảy ra.

OpSec là một kỷ luật vay mượn từ những người mà mô hình mối đe dọa của họ nghiêm túc như một nghề — các hướng dẫn Surveillance Self-Defense của EFF là phần giới thiệu tốt cho lối tư duy này. Với tiền mã hóa, cùng ý tưởng đó thu lại còn vài câu hỏi: khóa của tôi có khôi phục được không, thiết bị của tôi có sạch không, tôi có hiểu mình đang ký gì không, và các tài khoản xung quanh ví của tôi có được khóa chặt không? Với thiết lập 2-trên-2 của SSP, mỗi lần chi tiêu đã cần một phê duyệt thứ hai, độc lập trên SSP Key của bạn, nên một thiết bị bị xâm phạm đơn lẻ không nên đủ để chuyển tiền — nhưng tấm lưới an toàn đó chỉ giữ được khi cả hai nửa vẫn lành mạnh và độc lập. Danh sách kiểm tra bên dưới giữ chúng như vậy.

Hãy chạy nó mỗi quý. Chỉ đánh dấu ô khi điều đó thực sự đúng, chứ không phải khi bạn dự định sẽ làm.

Khóa và bản sao lưu

Vật liệu khôi phục là thứ duy nhất bạn không thể tạo lại, vì vậy hãy bắt đầu từ đây và sửa mọi thứ lung lay trước khi đi tiếp — hướng dẫn thực hành tốt nhất cho cụm từ khôi phục của chúng tôi trình bày các chi tiết lưu trữ. Một bản sao lưu bạn cho là ổn nhưng đã một năm chưa xem lại là điểm hỏng đơn lẻ phổ biến nhất trong tự lưu ký.

  • Tìm mọi bản sao lưu cụm từ khôi phục và xác nhận mỗi bản còn đọc được về mặt vật lý, đầy đủ và không hư hại do nước, nhiệt hay mực phai.
  • Xác nhận các bản sao lưu nằm ở ít nhất hai nơi cách xa nhau về địa lý, để một vụ hỏa hoạn, lũ lụt hay trộm cắp không lấy được cả hai cùng lúc.
  • Kiểm tra cả hai nửa của SSP đều có bản sao lưu: ví tiện ích mở rộng và SSP Key có thể được khôi phục độc lập với nhau.
  • Kiểm tra rằng không có cụm từ khôi phục nào từng được gõ vào điện thoại, chụp ảnh, gửi qua email hay lưu trong trình quản lý mật khẩu hoặc ghi chú đám mây.
  • Xác nhận bất kỳ ai bạn đã tin tưởng giao một vị trí sao lưu vẫn còn quyền truy cập — và, quan trọng không kém, vẫn nên có.

Thiết bị và tiện ích mở rộng

Một thiết bị sạch là nền tảng dưới mọi biện pháp kiểm soát khác, vì vậy hãy coi trình duyệt như một phần của ví — vệ sinh tiện ích mở rộng trình duyệt cho người dùng tiền mã hóa giải thích vì sao một tiện ích mở rộng độc hại đơn lẻ có thể âm thầm viết lại những gì bạn ký.

  • Cập nhật hệ điều hành, trình duyệt và tiện ích mở rộng SSP lên các phiên bản mới nhất.
  • Cập nhật thiết bị SSP Key và xác nhận nó vẫn ghép nối, hiển thị và ký đúng.
  • Rà soát mọi tiện ích mở rộng trình duyệt đã cài và gỡ bỏ bất cứ thứ gì không dùng, không quen hay không còn được bảo trì.
  • Xác nhận nhà phát hành và ID cửa hàng của tiện ích mở rộng SSP khớp với mục niêm yết chính thức — không có bản sao nhái nào lọt vào.
  • Chạy một lần quét phần mềm độc hại đáng tin cậy trên cả máy tính lẫn điện thoại bạn dùng để giao dịch.

Giao dịch và phê duyệt

Phần lớn tổn thất hiện đại không phải là khóa bị đánh cắp — đó là những chữ ký bạn đã cấp từ nhiều tháng trước và quên mất, vì vậy hãy rà soát những gì bạn đã cấp bằng một công cụ như revoke.cash và đọc lại phần giải thích của chúng tôi về phê duyệt token.

  • Rà soát các phê duyệt token đang hoạt động và thu hồi bất kỳ phê duyệt nào đã cũ, không giới hạn hoặc gắn với một dapp bạn không còn dùng.
  • Xác nhận bạn đọc mỗi giao dịch trên màn hình SSP Key trước khi phê duyệt — số tiền, đích đến và mạng.
  • Kiểm tra ngẫu nhiên các giao dịch đi gần đây trong trình khám phá khối so với những gì bạn thực sự định gửi.
  • Xác minh lại rằng các dấu trang hợp đồng và dapp đã lưu vẫn trỏ tới địa chỉ thật, hiện hành, chứ không phải một địa chỉ bị tráo.

Các tài khoản quanh ví của bạn

Kẻ tấn công hiếm khi phá ví trước — chúng phá tài khoản email hoặc sàn giao dịch ngay bên cạnh rồi lấn vào trong, nên Secure Our World của CISA là nền tảng bằng ngôn ngữ dễ hiểu và 2FA di động làm đúng cách đề cập những cái bẫy riêng của tiền mã hóa.

  • Chuyển tài khoản email, sàn giao dịch và đám mây khỏi 2FA qua SMS sang TOTP hoặc passkey, những thứ không thể bị SIM swap.
  • Xác nhận một mật khẩu mạnh, duy nhất trên mọi tài khoản có liên quan tới tiền mã hóa của bạn, được tạo và lưu trong trình quản lý mật khẩu.
  • Rà soát sổ địa chỉ đã lưu và xóa hoặc xác minh lại bất kỳ mục nào bạn không còn tự mình bảo đảm được.
  • Kiểm tra các tùy chọn khôi phục của mỗi tài khoản — email dự phòng, số điện thoại, câu hỏi bảo mật — tìm những mắt xích yếu mà kẻ tấn công có thể luồn qua.

Sẵn sàng trước lừa đảo

Lừa đảo là cuộc tấn công bạn thực sự sẽ đối mặt, và nó ngày càng thuyết phục hơn, vì vậy hãy giữ các mẫu thức tươi mới với các cuộc tấn công lừa đảo nhắm vào người dùng tiền mã hóa và tập dượt phản xạ của chính bạn trước khi một mồi nhử thật xuất hiện.

  • Đánh dấu lại trang chính thức của SSP và các sàn của bạn, và chỉ truy cập chúng qua các dấu trang đó — không bao giờ qua một quảng cáo tìm kiếm hay một liên kết trong tin nhắn riêng.
  • Xác nhận bạn không bao giờ phê duyệt một giao dịch hay nhập cụm từ khôi phục để đáp lại một tin nhắn, cuộc gọi hay "nhân viên hỗ trợ" không mời mà đến.
  • Rà soát email và tin nhắn riêng gần đây xem có gì bạn đã bấm vào mà lẽ ra không nên — và đổi thông tin đăng nhập bị ảnh hưởng nếu không chắc.
  • Nhắc bất kỳ ai chia sẻ tài chính với bạn rằng SSP, và mọi hỗ trợ hợp pháp, sẽ không bao giờ hỏi cụm từ khôi phục.

Diễn tập khôi phục và thừa kế

Một bản sao lưu bạn chưa bao giờ thử là một phỏng đoán, vì vậy mỗi quý một lần hãy chứng minh bạn thực sự có thể khôi phục thay vì cho là vậy — bắt đầu từ khôi phục SSP khi bạn mất trình duyệt.

  • Chạy bài diễn tập mất trình duyệt: khôi phục tiện ích mở rộng SSP từ bản sao lưu trên một hồ sơ sạch và xác nhận số dư của bạn hiện ra.
  • Chạy bài diễn tập mất điện thoại: xác nhận bạn có thể thiết lập lại SSP Key và hoàn tất một phê duyệt 2-trên-2 trọn vẹn từ đầu đến cuối.
  • Ghi lại quyền truy cập khẩn cấp và thừa kế — các bản sao lưu ở đâu, cần những gì và liên hệ với ai — cho một người bạn tin tưởng.
  • Xác nhận tài liệu đó được lưu trữ an toàn và người được tin tưởng biết nó tồn tại, mà không biết trước các bí mật.

In ra, lên lịch

Một danh sách kiểm tra chỉ hữu ích nếu nó thực sự được chạy, vì vậy hãy làm cho cuộc rà soát quý sau diễn ra tự động thay vì dựa vào trí nhớ.

  • In danh sách kiểm tra này hoặc lưu ngoại tuyến ở nơi bạn thật sự sẽ nhìn thấy lại.
  • Đặt một lời nhắc định kỳ hằng quý trên lịch, đặt vào cùng một tuần mỗi quý.
  • Ghi ngày bạn hoàn tất cuộc rà soát hôm nay và mọi thứ bạn hoãn lại, để quý sau bắt đầu đúng nơi quý này kết thúc.

Chia sẻ bài viết này

Bài viết liên quan

Seed phrase mười hai từ in trên thẻ giấy đặt cạnh một hardware wallet

Thực hành tốt cho seed phrase

Seed phrase thực sự là gì, cách lưu giữ để không bị mất hay rò rỉ, và multisig 2-of-2 của SSP thay đổi mô hình mối đe dọa ra sao.

7 min read
Ảnh bìa bảo mật SSP với các biểu tượng ví, khóa, khiên và chip, minh họa hướng dẫn về các cuộc tấn công phishing crypto.

Tấn công phishing nhắm vào người dùng crypto (và cách nhận biết)

Phishing nhắm vào bạn, không phải mật mã học. Tìm hiểu các mô hình — wallet drainer, approval phishing, address poisoning — và cách SSP hỗ trợ bạn.

7 min read
Ảnh bìa bảo mật SSP với các biểu tượng ví, khóa, khiên và chip trên thẻ vuông màu xanh navy

Vệ sinh tiện ích mở rộng trình duyệt cho người dùng crypto

Bảo mật tiện ích mở rộng trình duyệt cho tự lưu ký: kiểm duyệt thứ bạn cài, áp đặc quyền tối thiểu, dựa vào LavaMoat, để SSP 2 trên 2 chặn tiện ích xấu.

6 min read