Безопасность счета на криптовалютной бирже: подробный гайд

Мы подготовили руководство по безопасности счета на криптобирже для трейдеров. Рассказываем, как защититься от хакеров без покупки аппаратного ключа и прочих сложностей. Прочитайте статью (около 20 минут), воспользуйтесь советами и обезопасьте свой аккаунт на бирже от мошенников.
Статья подготовлена командой бесплатного торгового терминала CScalp. Чтобы получить CScalp, оставьте свой e-mail в форме ниже.
Нажимая на кнопку, вы соглашаетесь c Политикой хранения персональных данных

Правила работы с паролями

Работа с паролями - это основа кибербезопасности трейдера. Вы должны научиться управлять вашими паролями не только надежно, но и удобно. Если на поиск и ввод пароля уходит много времени, человек автоматически начинает экономить время в ущерб безопасности. Человек так устроен, с этим ничего не поделаешь.

Задача настоящего руководства – помочь трейдерам выстроить работу с доступами не только надежно, но и удобно.
Просмотреть данное видео можно и на других площадках

Сложность пароля

Начнем с банального совета - используйте длинные и сложные пароли.

Чем длиннее пароль, тем он лучше. Если вы правильно храните пароли, то для вас нет разницы, какой длинны пароль использовать. Поэтому делайте его длиннее, чем привычные 8 знаков.

Ваши пароли должны содержать буквы обоих регистров (например, n и N), числа и служебные символы. Пароли в духе "12344321" и "iloveyou" – плохие пароли.

Правильно, если пароль сгенерирован случайным образом. Менеджеры паролей имеют для этого специальную функцию - генератор паролей. Пароль, созданный генератором паролей, надежнее пароля, созданного человеком. Даже если они одинаковой длинны.

Чем длинней, сложнее и случайнее пароль, тем проблематичнее его взломать методом перебора - брутфорсом (от англ. brute force — грубая сила).

Одноразовый пароль

Один пароль можно использовать только один раз. Никогда, мы повторяем, никогда не используйте пароль дважды.

Часто бывает так: трейдер запомнил один пароль и использует его везде. Это роковая ошибка. Если один аккаунт будет взломан, то под угрозой окажутся все ваши аккаунты.

Пароли и браузер

Запомнить большое количество уникальных и сложных паролей невозможно. Что делать? Многие пользователи хранят доступы в браузерах (например, в Google Chrome). Это удобнее, чем хранить "в голове" или Exсel, но небезопасно.

Встроенное хранилище браузера – первое место, куда направится злоумышленник. И в большинстве случаев он попадет туда без особых проблем. Поэтому хранить пароли в браузере мы не рекомендуем.

Менеджер паролей

Альтернатива хранению паролей в памяти, Excel или браузере – менеджер паролей. Это приложение для хранения логинов и паролей и безопасной авторизации. Менеджер “умеет" не только хранить, но и вставлять в пароли прямо в форму авторизации.

Компании, разрабатывающие менеджеры паролей, используют самые продвинутые технологии шифрования и инвестируют в безопасность огромные суммы. Это обеспечивает удобство и уровень надежности, значительно превышающий “записываю пароль в Excel".

Чтобы привыкнуть к менеджеру паролей, нужно время. Но это того стоит. После внедрения понадобится запомнить лишь один пароль - пароль от менеджера паролей.

Советы по выбору и использованию менеджера паролей:

Проверка аккаунтов

Сервисы, которым вы пользуетесь, могут взломать. От этого не застрахован никто. Иногда злоумышленники публикуют или продают базы данных пользователей – логины и пароли. Чтобы обезопасить себя, нужно регулярно мониторить даркнет (от англ. DarkNet — тёмная сеть») и проверять свои аккаунты на утечку.

Проверить данные можно через агрегатор утечек: вы вводите в поисковую строку e-mail или логин, сервис выдает результаты проверки. Однако, не все агрегаторы утечек безопасны. Некоторые из них ориентированы на фишинг.

Удобно и безопасно проверять аккаунты на утечку через менеджер паролей. Введите свой e-mail и поручите менеджеру паролей его отслеживать. Если менеджер обнаружит угрозу, он вам сразу сообщит.

Обновление паролей

По правилам "старой школы", считается, что регулярная смена паролей повышает кибербезопасность. С менеджером сменить пароли легко - сделать это можно в пару кликов.

Однако, многие компании и эксперты по кибербезопасности называют смену паролей устаревшим приемом. Например, Microsoft отказалась от практики регулярной смены паролей в Windows.

Двухфакторная аутентификация

Двухфакторная аутентификация (Two-Factor Authentication или 2FA) – это вход в учетную запись с двумя видами подтверждения владения аккаунтом. Обычно первый - это логин и пароль, а второй - специальный код, который высылается через СМС, e-mail или специальное приложение.

Например, вы заходите в аккаунт на бирже, вводите логин и пароль. Затем вам на телефон приходит код подтверждения. Вы вводите код и только после этого попадаете в аккаунт.

Получается, чтобы войти в аккаунт нужно два условия - знать логин/пароль и иметь доступ, например, к СМС (зависит от способа аутентификации). Может использоваться вариант с тремя условиями.

Совет по использованию с 2FA простой - всегда используйте двухфакторную аутентификацию! Если вы подключите 2FA, то усложните хакеру взлом в десятки раз. Веский аргумент, не так ли?

Варианты 2FA

Есть разные варианты двухфакторной аутентификации. Наиболее распространенные - это 2FA через СМС, e-mail и специальное приложение, например Google Authenticator.

Мнение авторов - 2FA через специализированные сервисы надежнее, чем через e-mail СМС. Известны случаи взлома баз данных сотовых операторов и почтовых сервисов, а мошенники по поддельным документам могут получить контроль над sim-картой. Проделать такое с 2FA-приложениями много сложнее. Поэтому если вы можете выбрать, то выбирайте вариант с 2FA через приложение.

Сервисы для 2FA

Ниже мы подготовили кратко описание сервисов 2FA, которые используются для защиты аккаунтов на популярных криптовалютных биржах.

Google Authenticator

Большинство криптовалютных бирж поддерживают двухфакторную аутентификацию через Google Authenticator (GA). Это простое и удобное приложение, не требующее создания аккаунта и каких-либо настроек. Достаточно установить GA и подключить его к аккаунту. Данные хранятся только на устройстве пользователя. Google Authenticator доступен на iOS, Android и BlackBerry OS.

Биржи: Binance, FTX, Bybit, OKX (OKEx), EXMO, Bitfinex, BitMEX.

Authy

Для использования Authy необходимо создать аккаунт, привязанный к номеру телефона. Приложение хранит данные пользователей на облачном сервере, поэтому получить доступ к ним с любого из подключенных устройств. Authy поддерживает работу с macOS, Windows, iOS, Android и Chrome.

Биржи: FTX, BitMEX.

Binance Authenticator

Binance Authenticator – собственное приложение Binance. Данные пользователей хранятся в облаке, поэтому для использования приложения необходимо завести аккаунт. Binance Authenticator используется для прохождения двухфакторной аутентификации только на Binance.

Резервная копия

Когда вы включаете аутентификацию через приложение, сервис генерирует секретный ключ. На основе этого ключа создаются одноразовые коды для входа в аккаунт. Секретный ключ может выглядеть как набор символов или QR-код. Сохраните ключ в надежном месте на случай утери устройства. Например, напишите его на полях любимой книги.

Популярные приложения-аутентификаторы, за исключением Google Authenticator, предлагают хранить секретный ключ в облаке и автоматически синхронизировать хранилища паролей на разных устройствах. Но для этого нужно завести аккаунт, привязанный к телефону или e-mail.

Еще один способ хранения секретного ключа – в менеджере паролей, в защищенных заметках. Также вы можете записать ключ на бумаге или распечатать (если это QR-код). Если вы выбираете второй вариант, учитывайте риски, связанные с хранением “бумажной" версии ключа.

Безопасность устройства

Безопасность аккаунтов также зависит от безопасности устройства, которым вы пользуетесь. Разберем правила безопасности устройства: компьютера, планшета, смартфона.

Регулярные обновления

Регулярно обновляйте ОС (Windows, macOS, iOS и т. д.) и используемые приложения, например приложение биржи. Практически каждое обновление содержит заплатки на обнаруженные уязвимости. Если вы не обновляетесь, то возможна ситуация, когда уязвимость уже обнаружена и всем известна, а у вас она еще "открыта".

Антивирус

Используйте лицензированный антивирус, скачанный с официального сайта разработчика. Если вы скачали и установили пиратскую версию антивируса, не рассчитывайте на надежность и безопасность. Антивирус должен иметь обновляющуюся базу. Его также необходимо регулярно обновлять.

VPN

Когда вы работаете через незнакомую сеть, используйте VPN. Это безопасное зашифрованное подключение, которое позволяет сохранить конфиденциальность данных и обойти локальные ограничения. Если вы собираетесь использовать VPN постоянно, тщательно настройте его, чтобы обеспечить безопасность.

Безопасность биржевого аккаунта

Отдельный e-mail

Регистрируйте аккаунт на криптовалютной бирже на e-mail, который вы больше нигде не используете. Если у вас десять аккаунтов на бирже, зарегистрируйте десять электронных адресов.

Важно! Почту тоже нужно защищать 2FA.

Антифишинг

Фишинг – способ получения мошенниками данных пользователей (логинов и паролей). Фишинг проводится разными способами. Например, злоумышленники могут провести электронную рассылку от имени Binance. В письме – ссылка на поддельный сайт, который визуально нельзя отличить от настоящего сайта Binance. Если вы введете на таком сайте логин и пароль, то они попадут в руки мошенников.

Для борьбы с фишингом на некоторых криптовалютных биржах предусмотрена функция антифишинга. В настройках безопасности аккаунта вы можете установить код, которым биржа подписывать все свои письма. Выглядит это так:
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Код есть – письмо настоящее. Если пришло письмо без кода, насторожитесь.

Мастер-пароль

На некоторых биржах есть возможность задавать мастер-пароли.

Мастер-пароль - это дополнительный пароль для отдельных действий. Например, войти в аккаунт можно с помощью обычной связки логин/пароль, а чтобы вывести активы нужно знать еще и мастер-пароль.

Обязательно используйте мастер-пароли, если храните на биржи значительные суммы.

Белый список

Белый список позволяет задать адреса, вывод на которые будет проходит с минимальными проверками. Внесите в этот список свои адреса и делать транзакции с этими адресами станет быстрее и удобнее.

Отдельное устройство

Идеально, если для торговли на криптовалютной бирже вы используете отдельное устройство, с которого не “серфите" по Интернету.

Если вам для трейдинга не нужен большой монитор (вы торгуете не активно), то делайте сделки с телефона через приложение биржи. Других устройств для входа в биржевой аккаунт не используйте.

Стоит понимать, что у разных устройств разный уровень защищенности. Считается, что в силу архитектуры, iPhone защищен от вирусов и взломов надежнее, чем ПК на Windows.

Ключи API

Ключи API – это аналог логина (Api Key) и пароля (Api Secret). Они нужны, чтобы подключить к счету на бирже стороннее приложение.

API-ключи имеют параметры настройки. Например, вы можете настроить ключи так, что по ним можно будет только получать биржевую информацию (ключи "read only"), а совершать сделки будет запрещено.
Пример №1: трейдер хочет торговать на криптовалютной бирже через торговый терминал, например CScalp. Для этого он создает на бирже API-ключи с разрешением торговли и вводит их в терминале. CScalp подключается к бирже, можно торговать.
Пример №2: для отслеживания и анализа сделок трейдер подключает к торговому счету специальный сервис, например, Free trader’s diaries. Для этого ему достаточно создать ключи API “Только для чтения”. Он вводит ключи в дневнике, начинают поступать данные по сделкам.
Подробнее о ключах API читайте в этой статье.

Одна пара ключей API – одно подключение

Используйте отдельную связку API-ключей для каждого сервиса. Например, одну пару для CScalp, вторую для дневника трейдера и т. д. Удаляйте ключи, которые больше не нужным вам. Доступ к счету по ним сразу пропадет.

Ограничение по IP

Вы можете установить ограничение по IP в настройках API-ключей, внеся доверенные IP-адреса в белый список. После этого подключиться через ключи к торговому счету можно будет только с указанного вами IP.

Этот параметр рекомендован, если у вас статический (постоянный) IP-адрес. Также IP может быть динамическим, то есть меняться. Узнать тип IP и подключить статический IP-адрес вы можете у своего провайдера.

Инструкции по безопасности на криптобиржах

Binance

Зайдите на Binance и кликните на иконку пользователя в верхнем меню. Откроется боковое меню: здесь вы можете настроить двухфакторную аутентификацию в разделе “Безопасность” и ключи API в разделе “Управление API”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Подключите двухфакторную аутентификацию через Binance Authenticator или Google Authenticator. Чтобы настроить вход, понадобится установить одно из приложений на телефон.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Ниже, в разделе “Устройства и активность”, укажите антифишинговый код. Все письма от Binance будут подписываться этим кодом.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Также вы можете указать адреса для вывода криптовалюты (белый список). Выводить средства можно будет только на эти адреса. Например, вы можете настроить вывод только на адрес вашего криптовалютного кошелька.

В разделе “Управление API" вы можете создать ключи API и создать параметры для них.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Для торговли на спотовом и фьючерсном рынках Binance через торговый терминал поставьте галочки возле пунктов “Включить спотовую и маржинальную торговлю” и “Включить фьючерсы”. Для подключения к дневнику используйте ключи “Разрешить чтение”. Добавьте свой IP-адрес в белый список, если используйте статический IP.

Bybit

Настройки безопасности аккаунта Bybit расположены в разделе “Аккаунт и безопасность”, API-ключей в разделе “API”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Перейдите в раздел “Аккаунт и безопасность” и подключите двухфакторную аутентификацию через Google Authenticator. Без этого шага вы не сможете создать ключи API.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
В разделе “API” можно настроить ключи по параметрам “Чтение и запись” и “Только чтение”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Также вы можете добавить свой IP-адрес в белый список.

OKX (OKEx)

На OKX настройки безопасности аккаунта расположены в разделе “Безопасность”, настройки ключей в разделе “API”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
В настройках безопасности подключите двухфакторную аутентификацию через Google Authenticator и укажите антифишинговый код. Также вы можете задать пароль и включить двухфакторную аутентификацию для вывода средств.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Параметры ключей API OKX указываются при создании. Вы можете создать ключи “Чтение” или “Торговля”, добавить свой IP-адрес в белый список и задать пароль для API.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация

EXMO

Зайдите на сайт EXMO и кликните на логин пользователя. В появившемся списке откройте “Настройки”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
В разделе “Безопасность” включите двухфакторную аутентификацию через Google Authenticator. В разделе “API” вы можете добавить свой IP-адрес в белый список
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Дополнительные настройки API-ключей EXMO на текущий момент не предусмотрены.

BitMEX

На BitMEX настройки безопасности аккаунта расположены в разделе “Центр безопасности”, настройки API-ключей в разделе “Ключи API”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
В центре безопасности включите двухфакторную аутентификацию через Authy или Google Authenticator. Для этого кликните “Добавить TOTP”. Добавьте свой IP в белый список, если у вас статический IP-адрес.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Также вы можете включить PGP-шифрование электронной почты.

Параметры ключей API BitMEX задаются при создании. Вы можете указать IP-адрес для ограничения ключа.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Прочие настройки ключей API на BitMEX на текущий момент не предусмотрены.

Bitfinex

На Bitfinex настройки безопасности расположены в разделе “Безопасность”, настройки ключей в разделе “Ключи API”.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Включите двухфакторную аутентификацию через Google Authenticator. Также вы можете настроить шифрование писем, установить параметры сеанса, добавить адреса для вывода криптовалюты и настроить вывод средств.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация
Ключи API настраиваются при создании. Если вам нужны ключи для торговли, включите параметр “Создавать и отменять ордера”. Нужны ключи для чтения – оставьте его выключенным.
безопасность Binance, безопасность аккаунта на бирже, безопасность торгового счета, криптобиржа безопасность, Binance двухфакторная аутентификация

Заключение

В реальной жизни, трейдеры не всегда выполняют рекомендации из нашего руководства.

Мы советуем относиться к рекомендациям так: каждый пункт усложняет хакеру взлом вашего аккаунта. Чем больше рекомендаций вы используете, тем надежнее защищен ваш счет.

Если вы храните на счете незначительные активы, то усложнять себе жизнь не стоит. Если же вы храните на счете много денег, то стоит соблюдать все правила из руководства, чтобы "спать спокойно".

Больше интересного в блоге CScalp!

В нашем блоге вы найдете материалы о трейдинге и скальпинге, обзоры на криптовалютные биржи и торговые терминалы, подборки популярных криптовалютных сервисов и статьи по DeFi и блокчейну.

Рекомендуем начинающим трейдерам ознакомиться с нашим бесплатным курсом скальпинга. Также вы можете использовать наши бесплатные сигналы и анализировать торговую историю в Дневнике трейдера.