SSP Editorial Team

你的加密 OpSec 检查清单

·阅读 6 分钟·作者:SSP Editorial Team
为加密 OpSec 检查清单设计的 SSP 安全封面,带有钱包、钥匙、盾牌和芯片图标

自我保管不是一次性的设置,而是一种例行习惯。你的密钥之所以安全,是因为你季度复一季度地让它保持安全。这就是你的运营安全(OpSec)检查清单:一项每年做四次、每次 15 分钟的审查,用来在小偏差演变成事故之前把它们抓出来。备份会褪色,扩展会堆积,授权会累加,去年春天你信任的那部手机最终也会被卖掉。这些问题单独看都算不上紧急;可一年疏忽下来叠加在一起,好的设置正是这样悄无声息地腐坏的。在每个季度初留出一个安静的夜晚,把这一页打印出来,从上往下逐项打勾。这里没有任何难事——全部价值都在于按计划去做,而不是等到出了事之后才做。

OpSec 是一门借鉴自那些以严肃威胁模型为职业的人的纪律——EFF 的 Surveillance Self-Defense 指南是了解这种思维方式的良好入门。对加密资产而言,同样的思路可以收敛成几个问题:我的密钥可恢复吗,我的设备干净吗,我是否理解自己在签署什么,我钱包周围的账户是否都锁好了?在 SSP 的 2-of-2 设置下,每一笔支出都已经需要在你的 SSP Key 上获得第二次、独立的批准,所以单台设备被攻破不应足以转移资金——但这张安全网只有在两半都保持健康且相互独立时才成立。下面的清单让它们保持这种状态。

每个季度都执行一次。只有当某项确实属实时才打勾,而不是在你打算去做的时候。

密钥与备份

你的恢复材料是唯一无法重新生成的东西,所以从这里开始,在继续之前先修好任何不牢靠的地方——我们的助记词最佳实践指南讲解了保管细节。一份你以为没问题、却已经一年没看过的备份,是自我保管中最常见的单点故障。

  • 找到每一份助记词备份,确认每份都能在物理上读清、完整无缺,且没有因水、热或墨迹褪色而受损。
  • 确认备份位于至少两个地理上分隔的地点,使一次火灾、水灾或盗窃无法一次带走两份。
  • 核实 SSP 的两半都已备份:扩展钱包和 SSP Key 可以彼此独立地各自恢复。
  • 检查任何助记词都从未被输入手机、拍照、通过电子邮件发送,或保存在密码管理器或云端笔记中。
  • 确认你托付了备份地点的人是否仍有访问权——同样重要的是,是否仍然应当拥有。

设备与扩展

干净的设备是其他一切防护之下的地基,所以把浏览器当作钱包的一部分来对待——面向加密用户的浏览器扩展卫生解释了为什么单个恶意扩展就能悄悄改写你所签署的内容。

  • 将操作系统、浏览器和 SSP 扩展更新到最新版本。
  • 更新 SSP Key 设备,并确认它仍能配对、显示并正确签名。
  • 审查每个已安装的浏览器扩展,移除一切不再使用、不熟悉或不再维护的扩展。
  • 确认 SSP 扩展的发布者与商店 ID 与官方条目一致——没有仿冒的分叉混进来。
  • 在你用于交易的电脑和手机上都运行一次可信的恶意软件扫描。

交易与授权

如今的大多数损失并非被盗的密钥,而是你几个月前授予又忘掉的签名,所以用 revoke.cash 这样的工具审查你已经授予的内容,并重读我们关于代币授权的讲解。

  • 审查有效的代币授权,撤销一切过期的、无上限的,或绑定到你已不再使用的 dapp 的授权。
  • 确认你在批准前都会在 SSP Key 屏幕上阅读每一笔交易——金额、目的地址和网络。
  • 在区块浏览器中抽查近期的转出交易,与你实际打算发送的内容相对照。
  • 重新核实已保存的合约和 dapp 书签仍指向真实、最新的地址,而不是被掉包的地址。

钱包周围的账户

攻击者很少先攻破钱包——他们攻破旁边的电子邮件或交易所账户,再向内渗透,所以 CISA 的 Secure Our World 是一套通俗易懂的基础,而正确使用手机 2FA讲解了加密领域特有的陷阱。

  • 把电子邮件、交易所和云端账户从短信 2FA 迁移到无法被 SIM 调包的 TOTP 或通行密钥。
  • 为每一个触及你加密资产的账户确认一个唯一且强的密码,由密码管理器生成并保存。
  • 审查已保存的地址簿,移除或重新核实任何你已无法亲自担保的条目。
  • 检查每个账户的恢复选项——备用邮箱、电话号码、安全问题——找出攻击者可能借以渗透的薄弱环节。

钓鱼防范

钓鱼是你真正会遇到的攻击,而且越来越逼真,所以用针对加密用户的钓鱼攻击让这些套路保持鲜活,并在真正的诱饵到来之前演练你自己的本能反应。

  • 重新把官方 SSP 站点和你的交易所加入书签,并且只通过这些书签访问它们——绝不通过搜索广告或私信链接。
  • 确认你从不为回应未经请求的消息、来电或“客服”人员而批准交易或输入助记词。
  • 审查近期的电子邮件和私信,查看是否点过本不该点的链接——如有疑虑就更换受影响的凭据。
  • 提醒任何与你共享财务的人,SSP 以及任何正规支持都绝不会索要助记词。

恢复与传承演练

一份你从未测试过的备份只是猜测,所以每季度一次,证明你真的能够恢复,而不是想当然——从当你失去浏览器时恢复 SSP开始。

  • 做一次“丢失浏览器”演练:在干净的配置文件中从备份恢复 SSP 扩展,并确认你的余额能显示出来。
  • 做一次“丢失手机”演练:确认你能重新建立 SSP Key,并从头到尾完成一次完整的 2-of-2 批准。
  • 为你信任的人记录紧急与传承访问方式——备份在哪里、需要什么、联系谁。
  • 确认该文档被安全保管,且受托人知道它的存在,同时不会过早得知其中的秘密。

打印它,排上日程

清单只有真正被执行才有用,所以让下个季度的审查自动发生,而不是依赖记忆。

  • 打印这份清单,或把它离线保存到一个你真的会再看到的地方。
  • 在日历上设置一个每季度重复的提醒,固定在每个季度的同一周。
  • 记下你完成今天审查的日期以及任何推迟的事项,让下个季度正好从这个季度结束的地方开始。

分享本文

相关文章

一张纸卡上印着十二个助记词,旁边放着一台硬件钱包

助记词保管最佳实践

助记词究竟是什么、如何保管才能既不丢失也不泄露,以及 SSP 的 2-of-2 多重签名如何改变威胁模型。

7 min read
SSP 安全封面,展示钱包、密钥、盾牌和芯片图标,说明加密货币钓鱼攻击防范指南。

针对加密货币用户的钓鱼攻击(及识别方法)

加密货币钓鱼攻击针对的是你,而非密码学。了解常见模式——钱包窃取器、授权钓鱼、地址污染——以及 SSP 如何提供帮助。

7 min read
SSP 安全封面,深蓝色方形卡片上配有钱包、钥匙、盾牌和芯片图标

加密用户的浏览器扩展卫生

面向自我托管的浏览器扩展安全:审慎安装、施行最小权限、借力 LavaMoat,并让 SSP 的 2/2 为恶意扩展兜底。

6 min read