文/Robin


Ledger 的数据泄漏大家都知道了,这里就不赘述了。在这之后,笔者收到了来自 Ledger、Ledger Affiliates Program 的邮件,以及 Kraken 的提醒邮件,里面提到一些防范措施,可以和大家分享下。

Ledger 和 Trezor 一直是硬件钱包的两大知名厂商,Ledger 销量比 Trezor 好,主要的原因是价格比 Trezor 便宜,而且客户端的质量确实不错。产品卖的便宜,Ledger 想的就是销量要更多,所以保留客户信息,然后为后续的营销作准备。Trezor 相比就要硬核很多,他们会定期删除订单信息。

既然事已至此,说太多也无用,接下来聊聊防范措施吧。

Ledger Affiliates Program 提到了 6 Ways to Face the Data Breach。这六条措施如下:

笔者注:原文可以使用 Google Translate 或者 DeepL 进行翻译,但不管怎么样,都不太适合国人的阅读习惯,所以笔者在保留原意基础上改写下,可能增加了一些内容。

第一,保持冷静。骗子进行诈骗,利用的是你的恐惧心理。他们的诈骗行为让你觉得相当紧张,但通常在紧张和压力下,你就会犯错。所以在更改密码、电子邮件或者备份设备,花点时间确保做的行为都是正确无误的。最重要的是,此次 Ledger 数据泄漏,但是你的资金是安全的,只要 Ledger 是离线存储的。硬件钱包是存储你的资产最安全的方式,你将资产转移到交易所或者软件钱包,可能会带来更大的安全隐患。

第二,永远不要分享你的助记词。如前所述,此次数据泄漏,与硬件钱包和 Ledger Live 安全没有关系,因此你的加密资产是安全的。因此,攻击者无法窃取你的敏感信息,比如助记词或者私钥,除非你自己拱手想让。与此同时,Leger 官方永远不会让你索要助记词。骗子会利用各种诈骗手段,诱导你输入助记词。后续 Ledger 会剖析各种钓鱼细节,然后在 Ledger 官网进行公布。

第三,加强你的访问安全。如果你的电子邮件地址已经在此次事件中泄漏了,Ledger 建议你更改邮件地址相关的账号密码。在设置新密码时,使用大小写、数字、字符组成的复杂密码。此外,Ledger 建议你添加二次验证。Ledger 不建议通过短信使用 2FA,因为 SIM 卡可能会有劫持风险。建议使用 Google Authenticator 或者 FreeOTP 进行二次验证设置。

第四,永远不要支付赎金。此次数据泄漏,有部分客户的真实地址、电话号码也暴露给黑客,所以你应该防范人身攻击。如果你在设备上存储了大量的加密货币,Ledger 建议你把它放在离家较远的安全且几乎无法访问的地方,就像你不会把数百万现金放在家里一样。Ledger 敦促你永远不要支付任何赎金。如果你担心自己的人身安全,认为自己处于危险之中,一定要马上联系当地政府。

第五,增加密码口令。如果你担心被敲诈,你可以在你的 Ledger 设备上添加密码口令,为你的 24 位助记词再增加一层保护。

第六,分布式备份。为了避免家庭劫持,或者你实在找不到一个足够安全的地方来存放你的备份,你可以将备份放在不同的地方。比如你可以将 24 位助记词分为 3 组,每组 8 个单词,然后存放在 3 个地方。但是这样的话,你可能会增加备份丢失或者破环的风险。更好的选择就是将备份一分为三,然后只要 2 份就可以恢复。其实这个就类似于 2/3 多签,只不过是手动处理。感兴趣还可以使用 Shamir’s Secret Sharing Scheme 进行备份。

讲解完 Ledger 的防范措施,我们来看一下 Kraken 的提醒。Kraken 的建议跟 Ledger 差不多,但是有一些 Ledger 没有提到的。

第一,Ledger 泄漏的数据,需要警惕社工以及钓鱼攻击。这些攻击很可能是以电子邮件、短信或者电话的形式出现。攻击者可能试图让你点击一个链接,或者安装恶意软件。在输入用户名和密码时要格外小心。第二,联系运营商,在 SIM 卡上加锁,国内的手机卡又称为 PIN 码。第三,更新你的电子邮件。

综合 Ledger 和 Kraken 的提醒,笔者再说一下自己的看法。第一,所有的服务,有二次验证的,建议全部开启。第二,根据服务的重要程度,区分邮件地址,也就是不同的服务,使用不同的邮件地址,这样做的好处是,即使某个数据泄漏,对你的其他服务也基本没有影响。第三,使用 1Password 之类的密码管理软件,每个服务使用不同的复杂密码。第四,网上购物,名字不用填写真实的,地址也不用精确到门牌号,最好是楼下或者附近的快递柜。第五,Ledger 还能不能继续使用,这个见仁见智吧,最稳妥的就是使用 Ledger 的同时,备一个 Trezor。

还是那句话,安全警钟长鸣。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的 Mixin: 26930


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)