Для всех владельцев цифровой валюты вопрос ее надежного и безопасного хранения является наиболее актуальным. В этой серии статей мы попробуем собрать все лучшие практики обеспечения безопасности биткойнов.
Онлайн-сервисы страдают от киберкраж
В тот день, когда курс биткойна достиг очередного рекорда, мир криптовалют сотрясла ещё одна крупная кража. Онлайн-кошелек inputs.io сообщил, что его взломали хакеры. Взломщики смогли проникнуть в сервер и увести 4100 биткойнов (около 1,2 млн долларов США). По словам администратора сервиса Tradefortress, для проведения атаки хакеры использовали старые почтовые учётные записи одновременно со сбросом пароля: «они смогли обойти двухфакторную авторизацию из-за уязвимостей на стороне сервера».
Это не первый случай такого рода – на протяжении нескольких лет подобные инциденты происходили на различных сервисах хранения и обмена биткойнов. В качестве примеров можно привести кражи с сервиса Bitconica в июле 2012 г. (украдено 58000 биткойнов), взломы сервиса Linode в марте 2012 г. (украдено 46000 биткойнов) и кража с сервиса Bitfloor в сентябре 2012 (украдено около 24000 биткойнов).
Все эти инциденты произошли из-за глупых ошибок операторов сервисов. Кража с Bitfloor произошла из-за того, что нешифрованная резервная копия кошелька по ошибке хранилась на некоторых серверах. Кража с Bitconica произошла из-за взлома почтовой учетной записи с высшими привилегиями, что дало доступ к серверу хостинг-провайдера Rackspace, где хранился кошелёк. Подобных примеров достаточно много.
Как надёжно хранить биткойны
Биткойн – это сильная и жизнеспособная валюта, но ее недаром сравнивают с “цифровой наличкой”. Если вы оставите весь свой запас наличных у всех на виду или в небезопасном месте, будьте готовы к тому, что их просто стырят. Так же и в случае с биткойнами, их безопасность в конечном счёте зависит только от их владельцев. Если пользователи не могут поддерживать безопасность своих собственных кошельков, велик шанс, что они потеряют свои цифровые монеты.
Если у вас есть чуть больше, чем пара биткойнов, насущный для вас вопрос – как их надёжно хранить. В этой серии статей мы используем информацию различных информационных ресурсов для того, чтобы ответить на этот вопрос. Мы перечислим все основные способы хранения монет, в порядке увеличения их надежности, и вкратце опишем лучшие практики обеспечения безопасности для каждого из этих способов. Также, дадим несколько практических советов, основанных на нашем личном опыте работы с биткойнами.
Общие вопросы безопасности
Прежде всего, не слишком-то доверяйте онлайн-сервисам, которые предлагают хранить ваши монеты за вас. Да, они удобны – но любой сервис может быть взломан или может просто исчезнуть с вашими деньгами. Самому хранить биткойны (например, в оффлайн-кошельке) сложнее, но предпочтительнее с точки зрения безопасности.
Все пароли и кодовые фразы к кошелькам и онлайн-хранилищам биткойнов должны быть ДОСТАТОЧНО сложными. Никогда не используйте для биткойн-сервисов те же пароли, что и для других сайтов. Изучите практики создания надежных паролей. Используйте специальные программы-генераторы паролей (желательно опенсорсные), если вам не хватает фантазии. Однако, как и в любом случае, не надо фанатизма. Если вы придумали изумительно сложный пароль для кошелька, а через некоторое время просто забыли его – вы ПОТЕРЯЕТЕ доступ к своим биткойнам, насовсем. “Сбросить пароль” в большинстве случаев просто невозможно.
После того как вы перевели свои биткойны в оффлайн-кошелёк и защитили надёжным паролем, а пароль надежно запомнили, убедитесь в том, что ваш компьютер защищен хорошим надёжным антивирусом, и что на нём установлены все последние обновления ПО. Если биткойнов у вас очень много, следует хранить их в кошельке на компьютере, который вообще не связан с интернетом. А для тех, кто совсем не дружит с компьютером, есть такое экстремальное решение, как выделенное устройство хранения или бумажный кошелек.
Не держите все яйца в одной корзине
Вашим первым принципом работы с биткойнами должна стать диверсификация. Лучшая стратегия их использования – это «не держать все яйца в одной корзине». Для кратковременного и долговременного хранения используйте разные подходы.
Самые гибкие решения зачастую являются наименее надёжными. Например, для повседневных расчетов очень удобно пользоваться мобильным кошельком на вашем телефоне или онлайн-кошельком. Однако, онлайн-кошельки наиболее подвержены хакерским атакам, а смартфон легко просто-напросто потерять. Что же теперь, совсем отказаться от этого удобного способа хранения? Нет, но абсолютно незачем держать на смартфоне или, например, в кошельке Blockchain.info ВСЕ ваши биткойны – вполне достаточно недельного запаса. А раз в неделю можно пополнять счёт из гораздо более надёжного и защищенного долговременного хранилища.
Сделайте бэкап своих цифровых сокровищ
Наконец, уникальным свойством биткойн-кошелька является то, что его можно просто “сохранить”, то есть создать его резервную копию. Если вы используете стандартный клиент (Bitcoin-Qt) на компьютере, вашим файлом-кошельком является wallet.dat. Этот файл можно скопировать на другой компьютер, на записываемый CD/DVD или на обычную USB-флэшку.
Для чего это может понадобиться? Представьте, что все монеты лежат на вашем ноутбуке. А у него вдруг “сдох” жесткий диск. Или полетела операционная система. Или вы потащили ноутбук с собой на реку, да и утопили его. Или у вас его просто свистнули в метро. Вот тут-то вам бэкап и пригодится. Устанавливаете биткойн-клиент на другом компьютере. Копируете туда “сохраненный” ранее wallet.dat. Переводите монеты на новый адрес, на всякий случай. Все, ваши цифровые сокровища спасены.
Только помните, что тот, кто получил ваш “бэкап” в свое распоряжение и знает ваш пароль, сможет получить доступ к монетам. Если ваш пароль недостаточно сложный, его даже можно попытаться взломать. Поэтому храните носитель с бэкапом в надежном месте, куда только вы имеете доступ (локер или сейф будет в самый раз). А для еще бОльшей безопасности на носителе можно сначала создать “зашифрованный диск” и записать файл-кошелек на этот диск.
В дальнейших статьях этой серии мы опишем различные виды биткойн-кошельков и методы обеспечения безопасности при работе с онлайн- и оффлайн-кошельками.
По материалам: bitcoininfo, Securelist, Oleganza
Решил подзаработать на росте Bitcoin. Мой друг который сделал на этом уже состояние посоветовал мне вот этот кошелек https://apibtc.com/ Очень удобный и простой в исползовании, а так как он онлайн можно зайти с любого гаджета. Есть служба поддержки работающая 24/7.
Еще раз спасибо. за подсказку. Но до сегодняшнего дня понятие "разделение секрета" было чем-то непонятным и неприменимым на практике. Сегодня я понял как это делать на практике, прочитав вот этот топик и загрузив программу html, которая работает по алгоритму Шамира (теперь знаю такие умные слова).
http://www.reddit.com/r/Bitcoin/comments/1v5zkh/n…
Статья полезная ,спасибо.Однако хотелось бы более подробную инструкцию,со скриншотами,стрелочками и т.п. или видео,что будет большой помощью для неопытных пользователей.
Меня мучает один вопрос. Если я внезапно умру или потеряю память, то все мои биткойны будут навечно заблокированы (умрут вместе со мной)? Потому что никто из моей семьи не имеет доступа к ним и даже не знают где находятся мои кошельки. Давайте вместе подумаем над решением. Я этот же вопрос задал на reddit, все думаем дружно! Вопрос очень важный.
У меня есть подробная инструкция для близких, как извлечь биткойны “в случае чего”. Эта инструкция запечатана в конверт, и лежит в месте, которое им известно. И еще есть копия этих инструкций, которая лежит в банковской ячейке, опять же на всякий случай. Можно пойти еще дальше, и разделить такие инструкции на две части, например по такой схеме.
Можно воспользоваться сервисом, который присылает вашим близким инструкции, если вы не даете периодически знать, что с вами все в порядке: http://www.deadmansswitch.net/
Вопрос, действительно, серьезный и с учетом роста курса биткойна в будущем станет еще актуальнее.
Спасибо за наводку на http://www.deadmansswitch.net/. А как мы можем быть уверены, что злодеи не взломают этот сайт и не залезут в мои кошельки?
Я написал письмо на GMail, преложил им такую идею: Чтобы можно было написать письмо, которое отправится автоматически если я не залогинюсь сколько-то месяцев. Я бы такое написал своим родственникам.
Ну, так кошельки-то у вас на компьютере – с Deadmansswitch приходят только инструкции и пароли. И то их можно зашифровать, а пароль персонально вручить близким. Нет предела для создания уровней защиты информации.
Есть еще одна идея. Метод хранения Pay to Script Hash (P2SH).
Если коротко: Есть три ключа: A,B,C. A+B могут проводить транзакции. а A+C или B+C могут восстановить доступ, в случае если изчезнет B или A соответственно. Этот метод хранения предлагает bitgo.com. Сам bitgo.com имеет только ключ А. Копию ключа B я отдаю родственникам (или Гугл извещает родственников после моей неактивности где можно ключ B взять). Ключ C положить в банковскую ячейку, а у нотариуса оставить конверт для вскрытия после моей смерти, в котором написано в каком банке ячейка.
Вот, как-то так..
маленькая поправка. Копию ключа B (под паролем) отдать родственникам (а Гугл после моей неактивности сообщает родственникам пароль).
О. мне на reddit подсказали, что оказывается на гугле уже есть такое!
https://www.google.com/settings/account/inactive
Отличная кстати идея, спасибо – гмэйлом многие пользуются, не надо никакого дополнительного сервиса. Ну, если вы уверены что Гугл не сбрасывает все ваши данные NSA, конечно. 😉 Впрочем, и в этом случае есть выход – зашифровать инструкции, а близким дать пароль.
Ссылка "выделенное устройство хранения" ведёт не туда
Спасибо, Андрей! Поправил.