Безопасность счета на криптовалютной бирже: подробный гайд

Работа с паролями - это основа кибербезопасности трейдера. Вы должны научиться управлять вашими паролями не только надежно, но и удобно. Если на поиск и ввод пароля уходит много времени, человек автоматически начинает экономить время в ущерб безопасности. Человек так устроен, с этим ничего не поделаешь.

Задача настоящего руководства – помочь трейдерам выстроить работу с доступами не только надежно, но и удобно.

Начнем с банального совета - используйте длинные и сложные пароли.

Чем длиннее пароль, тем он лучше. Если вы правильно храните пароли, то для вас нет разницы, какой длинны пароль использовать. Поэтому делайте его длиннее, чем привычные 8 знаков.

Ваши пароли должны содержать буквы обоих регистров (например, n и N), числа и служебные символы. Пароли в духе "12344321" и "iloveyou" – плохие пароли.

Правильно, если пароль сгенерирован случайным образом. Менеджеры паролей имеют для этого специальную функцию - генератор паролей. Пароль, созданный генератором паролей, надежнее пароля, созданного человеком. Даже если они одинаковой длинны.

Чем длинней, сложнее и случайнее пароль, тем проблематичнее его взломать методом перебора - брутфорсом (от англ. brute force — грубая сила).

Один пароль можно использовать только один раз. Никогда, мы повторяем, никогда не используйте пароль дважды.

Часто бывает так: трейдер запомнил один пароль и использует его везде. Это роковая ошибка. Если один аккаунт будет взломан, то под угрозой окажутся все ваши аккаунты.

Запомнить большое количество уникальных и сложных паролей невозможно. Что делать? Многие пользователи хранят доступы в браузерах (например, в Google Chrome). Это удобнее, чем хранить "в голове" или Exсel, но небезопасно.

Встроенное хранилище браузера – первое место, куда направится злоумышленник. И в большинстве случаев он попадет туда без особых проблем. Поэтому хранить пароли в браузере мы не рекомендуем.

Альтернатива хранению паролей в памяти, Excel или браузере – менеджер паролей. Это приложение для хранения логинов и паролей и безопасной авторизации. Менеджер “умеет" не только хранить, но и вставлять в пароли прямо в форму авторизации.

Компании, разрабатывающие менеджеры паролей, используют самые продвинутые технологии шифрования и инвестируют в безопасность огромные суммы. Это обеспечивает удобство и уровень надежности, значительно превышающий “записываю пароль в Excel".

Чтобы привыкнуть к менеджеру паролей, нужно время. Но это того стоит. После внедрения понадобится запомнить лишь один пароль - пароль от менеджера паролей.

Советы по выбору и использованию менеджера паролей:

Сервисы, которым вы пользуетесь, могут взломать. От этого не застрахован никто. Иногда злоумышленники публикуют или продают базы данных пользователей – логины и пароли. Чтобы обезопасить себя, нужно регулярно мониторить даркнет (от англ. DarkNet — тёмная сеть») и проверять свои аккаунты на утечку.

Проверить данные можно через агрегатор утечек: вы вводите в поисковую строку e-mail или логин, сервис выдает результаты проверки. Однако, не все агрегаторы утечек безопасны. Некоторые из них ориентированы на фишинг.

Удобно и безопасно проверять аккаунты на утечку через менеджер паролей. Введите свой e-mail и поручите менеджеру паролей его отслеживать. Если менеджер обнаружит угрозу, он вам сразу сообщит.

По правилам "старой школы", считается, что регулярная смена паролей повышает кибербезопасность. С менеджером сменить пароли легко - сделать это можно в пару кликов.

Однако, многие компании и эксперты по кибербезопасности называют смену паролей устаревшим приемом. Например, Microsoft отказалась от практики регулярной смены паролей в Windows.

Двухфакторная аутентификация (Two-Factor Authentication или 2FA) – это вход в учетную запись с двумя видами подтверждения владения аккаунтом. Обычно первый - это логин и пароль, а второй - специальный код, который высылается через СМС, e-mail или специальное приложение.

Например, вы заходите в аккаунт на бирже, вводите логин и пароль. Затем вам на телефон приходит код подтверждения. Вы вводите код и только после этого попадаете в аккаунт.

Получается, чтобы войти в аккаунт нужно два условия - знать логин/пароль и иметь доступ, например, к СМС (зависит от способа аутентификации). Может использоваться вариант с тремя условиями.

Совет по использованию с 2FA простой - всегда используйте двухфакторную аутентификацию! Если вы подключите 2FA, то усложните хакеру взлом в десятки раз. Веский аргумент, не так ли?

Есть разные варианты двухфакторной аутентификации. Наиболее распространенные - это 2FA через СМС, e-mail и специальное приложение, например Google Authenticator.

Мнение авторов - 2FA через специализированные сервисы надежнее, чем через e-mail СМС. Известны случаи взлома баз данных сотовых операторов и почтовых сервисов, а мошенники по поддельным документам могут получить контроль над sim-картой. Проделать такое с 2FA-приложениями много сложнее. Поэтому если вы можете выбрать, то выбирайте вариант с 2FA через приложение.

Ниже мы подготовили кратко описание сервисов 2FA, которые используются для защиты аккаунтов на популярных криптовалютных биржах.

Большинство криптовалютных бирж поддерживают двухфакторную аутентификацию через Google Authenticator (GA). Это простое и удобное приложение, не требующее создания аккаунта и каких-либо настроек. Достаточно установить GA и подключить его к аккаунту. Данные хранятся только на устройстве пользователя. Google Authenticator доступен на iOS, Android и BlackBerry OS.

Биржи: Binance, FTX, Bybit, OKX (OKEx), EXMO, Bitfinex, BitMEX.

Для использования Authy необходимо создать аккаунт, привязанный к номеру телефона. Приложение хранит данные пользователей на облачном сервере, поэтому получить доступ к ним с любого из подключенных устройств. Authy поддерживает работу с macOS, Windows, iOS, Android и Chrome.

Биржи: FTX, BitMEX.

Binance Authenticator – собственное приложение Binance. Данные пользователей хранятся в облаке, поэтому для использования приложения необходимо завести аккаунт. Binance Authenticator используется для прохождения двухфакторной аутентификации только на Binance.

Когда вы включаете аутентификацию через приложение, сервис генерирует секретный ключ. На основе этого ключа создаются одноразовые коды для входа в аккаунт. Секретный ключ может выглядеть как набор символов или QR-код. Сохраните ключ в надежном месте на случай утери устройства. Например, напишите его на полях любимой книги.

Популярные приложения-аутентификаторы, за исключением Google Authenticator, предлагают хранить секретный ключ в облаке и автоматически синхронизировать хранилища паролей на разных устройствах. Но для этого нужно завести аккаунт, привязанный к телефону или e-mail.

Еще один способ хранения секретного ключа – в менеджере паролей, в защищенных заметках. Также вы можете записать ключ на бумаге или распечатать (если это QR-код). Если вы выбираете второй вариант, учитывайте риски, связанные с хранением “бумажной" версии ключа.

Безопасность аккаунтов также зависит от безопасности устройства, которым вы пользуетесь. Разберем правила безопасности устройства: компьютера, планшета, смартфона.

Регулярно обновляйте ОС (Windows, macOS, iOS и т. д.) и используемые приложения, например приложение биржи. Практически каждое обновление содержит заплатки на обнаруженные уязвимости. Если вы не обновляетесь, то возможна ситуация, когда уязвимость уже обнаружена и всем известна, а у вас она еще "открыта".

Используйте лицензированный антивирус, скачанный с официального сайта разработчика. Если вы скачали и установили пиратскую версию антивируса, не рассчитывайте на надежность и безопасность. Антивирус должен иметь обновляющуюся базу. Его также необходимо регулярно обновлять.

Когда вы работаете через незнакомую сеть, используйте VPN. Это безопасное зашифрованное подключение, которое позволяет сохранить конфиденциальность данных и обойти локальные ограничения. Если вы собираетесь использовать VPN постоянно, тщательно настройте его, чтобы обеспечить безопасность.

Регистрируйте аккаунт на криптовалютной бирже на e-mail, который вы больше нигде не используете. Если у вас десять аккаунтов на бирже, зарегистрируйте десять электронных адресов.

Важно! Почту тоже нужно защищать 2FA.

Фишинг – способ получения мошенниками данных пользователей (логинов и паролей). Фишинг проводится разными способами. Например, злоумышленники могут провести электронную рассылку от имени Binance. В письме – ссылка на поддельный сайт, который визуально нельзя отличить от настоящего сайта Binance. Если вы введете на таком сайте логин и пароль, то они попадут в руки мошенников.

Для борьбы с фишингом на некоторых криптовалютных биржах предусмотрена функция антифишинга. В настройках безопасности аккаунта вы можете установить код, которым биржа подписывать все свои письма. Выглядит это так:

Код есть – письмо настоящее. Если пришло письмо без кода, насторожитесь.

На некоторых биржах есть возможность задавать мастер-пароли.

Мастер-пароль - это дополнительный пароль для отдельных действий. Например, войти в аккаунт можно с помощью обычной связки логин/пароль, а чтобы вывести активы нужно знать еще и мастер-пароль.

Обязательно используйте мастер-пароли, если храните на биржи значительные суммы.

Белый список позволяет задать адреса, вывод на которые будет проходит с минимальными проверками. Внесите в этот список свои адреса и делать транзакции с этими адресами станет быстрее и удобнее.

Идеально, если для торговли на криптовалютной бирже вы используете отдельное устройство, с которого не “серфите" по Интернету.

Если вам для трейдинга не нужен большой монитор (вы торгуете не активно), то делайте сделки с телефона через приложение биржи. Других устройств для входа в биржевой аккаунт не используйте.

Стоит понимать, что у разных устройств разный уровень защищенности. Считается, что в силу архитектуры, iPhone защищен от вирусов и взломов надежнее, чем ПК на Windows.

Ключи API – это аналог логина (Api Key) и пароля (Api Secret). Они нужны, чтобы подключить к счету на бирже стороннее приложение.

API-ключи имеют параметры настройки. Например, вы можете настроить ключи так, что по ним можно будет только получать биржевую информацию (ключи "read only"), а совершать сделки будет запрещено.

Подробнее о ключах API читайте в этой статье.

Используйте отдельную связку API-ключей для каждого сервиса. Например, одну пару для CScalp, вторую для дневника трейдера и т. д. Удаляйте ключи, которые больше не нужным вам. Доступ к счету по ним сразу пропадет.

Вы можете установить ограничение по IP в настройках API-ключей, внеся доверенные IP-адреса в белый список. После этого подключиться через ключи к торговому счету можно будет только с указанного вами IP.

Этот параметр рекомендован, если у вас статический (постоянный) IP-адрес. Также IP может быть динамическим, то есть меняться. Узнать тип IP и подключить статический IP-адрес вы можете у своего провайдера.

Зайдите на Binance и кликните на иконку пользователя в верхнем меню. Откроется боковое меню: здесь вы можете настроить двухфакторную аутентификацию в разделе “Безопасность” и ключи API в разделе “Управление API”.

Подключите двухфакторную аутентификацию через Binance Authenticator или Google Authenticator. Чтобы настроить вход, понадобится установить одно из приложений на телефон.

Ниже, в разделе “Устройства и активность”, укажите антифишинговый код. Все письма от Binance будут подписываться этим кодом.

Также вы можете указать адреса для вывода криптовалюты (белый список). Выводить средства можно будет только на эти адреса. Например, вы можете настроить вывод только на адрес вашего криптовалютного кошелька.

В разделе “Управление API" вы можете создать ключи API и создать параметры для них.

Для торговли на спотовом и фьючерсном рынках Binance через торговый терминал поставьте галочки возле пунктов “Включить спотовую и маржинальную торговлю” и “Включить фьючерсы”. Для подключения к дневнику используйте ключи “Разрешить чтение”. Добавьте свой IP-адрес в белый список, если используйте статический IP.

Настройки безопасности аккаунта Bybit расположены в разделе “Аккаунт и безопасность”, API-ключей в разделе “API”.

Перейдите в раздел “Аккаунт и безопасность” и подключите двухфакторную аутентификацию через Google Authenticator. Без этого шага вы не сможете создать ключи API.

В разделе “API” можно настроить ключи по параметрам “Чтение и запись” и “Только чтение”.

Также вы можете добавить свой IP-адрес в белый список.

На OKX настройки безопасности аккаунта расположены в разделе “Безопасность”, настройки ключей в разделе “API”.

В настройках безопасности подключите двухфакторную аутентификацию через Google Authenticator и укажите антифишинговый код. Также вы можете задать пароль и включить двухфакторную аутентификацию для вывода средств.

Параметры ключей API OKX указываются при создании. Вы можете создать ключи “Чтение” или “Торговля”, добавить свой IP-адрес в белый список и задать пароль для API.

Зайдите на сайт EXMO и кликните на логин пользователя. В появившемся списке откройте “Настройки”.

В разделе “Безопасность” включите двухфакторную аутентификацию через Google Authenticator. В разделе “API” вы можете добавить свой IP-адрес в белый список

Дополнительные настройки API-ключей EXMO на текущий момент не предусмотрены.

На BitMEX настройки безопасности аккаунта расположены в разделе “Центр безопасности”, настройки API-ключей в разделе “Ключи API”.

В центре безопасности включите двухфакторную аутентификацию через Authy или Google Authenticator. Для этого кликните “Добавить TOTP”. Добавьте свой IP в белый список, если у вас статический IP-адрес.

Также вы можете включить PGP-шифрование электронной почты.

Параметры ключей API BitMEX задаются при создании. Вы можете указать IP-адрес для ограничения ключа.

Прочие настройки ключей API на BitMEX на текущий момент не предусмотрены.

На Bitfinex настройки безопасности расположены в разделе “Безопасность”, настройки ключей в разделе “Ключи API”.

Включите двухфакторную аутентификацию через Google Authenticator. Также вы можете настроить шифрование писем, установить параметры сеанса, добавить адреса для вывода криптовалюты и настроить вывод средств.

Ключи API настраиваются при создании. Если вам нужны ключи для торговли, включите параметр “Создавать и отменять ордера”. Нужны ключи для чтения – оставьте его выключенным.

В реальной жизни, трейдеры не всегда выполняют рекомендации из нашего руководства.

Мы советуем относиться к рекомендациям так: каждый пункт усложняет хакеру взлом вашего аккаунта. Чем больше рекомендаций вы используете, тем надежнее защищен ваш счет.

Если вы храните на счете незначительные активы, то усложнять себе жизнь не стоит. Если же вы храните на счете много денег, то стоит соблюдать все правила из руководства, чтобы "спать спокойно".