Работа с паролями

Работа с паролями - это основа кибербезопасности трейдера. Вы должны научиться управлять вашими паролями не только надежно, но и удобно. Если на поиск и ввод пароля уходит много времени, человек автоматически начинает экономить время в ущерб безопасности.

Сложность пароля:
Начнем с банального совета - используйте длинные и сложные пароли. Чем длиннее пароль, тем он лучше. Если вы правильно храните пароли, то для вас нет разницы, какой длинны пароль использовать. Поэтому делайте его длиннее, чем привычные 8 знаков.
Ваши пароли должны содержать буквы обоих регистров (например, n и N), числа и служебные символы. Пароли в духе "12344321" и "iloveyou" – плохие пароли.
Правильно, если пароль сгенерирован случайным образом. Менеджеры паролей имеют для этого специальную функцию - генератор паролей. Пароль, созданный генератором паролей, надежнее пароля, созданного человеком. Даже если они одинаковой длинны.
Чем длинней, сложнее и случайнее пароль, тем проблематичнее его взломать методом перебора - брутфорсом (от англ. brute force — грубая сила).

Одноразовый пароль:
Один пароль можно использовать только один раз. Никогда не используйте пароль дважды.
Часто бывает так: трейдер запомнил один пароль и использует его везде. Это роковая ошибка. Если один аккаунт будет взломан, то под угрозой окажутся все ваши аккаунты.

Пароли и браузер:
Запомнить большое количество уникальных и сложных паролей невозможно. Что же делать? Многие пользователи хранят доступы в браузерах (например, в Google Chrome). Это удобнее, чем хранить "в голове" или Exсel, но небезопасно.
Встроенное хранилище браузера – первое место, куда направится злоумышленник. И в большинстве случаев он попадет туда без особых проблем. Поэтому хранить пароли в браузере мы не рекомендуем.

Менеджер паролей:
Альтернатива хранению паролей в памяти, Excel или браузере – менеджер паролей. Это приложение для хранения логинов и паролей и безопасной авторизации. Менеджер “умеет" не только хранить, но и вставлять в пароли прямо в форму авторизации.
Компании, разрабатывающие менеджеры паролей, используют самые продвинутые технологии шифрования и инвестируют в безопасность огромные суммы. Это обеспечивает удобство и уровень надежности, значительно превышающий “записываю пароль в Excel".
Чтобы привыкнуть к менеджеру паролей, нужно время. Но это того стоит. После внедрения понадобится запомнить лишь один пароль - пароль от менеджера паролей.

Обновление паролей:
По правилам "старой школы" считается, что регулярная смена паролей повышает кибербезопасность. С менеджером сменить пароли легко - сделать это можно в пару кликов.

Двухфакторная аутентификация:
Двухфакторная аутентификация (Two-Factor Authentication или 2FA) – это вход в учетную запись с двумя видами подтверждения владения аккаунтом. Обычно первый - это логин и пароль, а второй - специальный код, который высылается через СМС, e-mail или специальное приложение.
Например, вы заходите в аккаунт на бирже, вводите логин и пароль. Затем вам на телефон приходит код подтверждения. Вы вводите код и только после этого попадаете в аккаунт.
Получается, чтобы войти в аккаунт нужно два условия - знать логин/пароль и иметь доступ, например, к СМС (зависит от способа аутентификации). Может использоваться вариант с тремя условиями.
Совет по использованию с 2FA простой - всегда используйте двухфакторную аутентификацию! Если вы подключите 2FA, то усложните хакеру взлом в десятки раз.
Есть разные варианты двухфакторной аутентификации. Наиболее распространенные - это 2FA через СМС, e-mail и специальное приложение, например: Google Authenticator.

Наше мнение - 2FA через специализированные сервисы надежнее, чем через e-mail СМС. Известны случаи взлома баз данных сотовых операторов и почтовых сервисов, а мошенники по поддельным документам могут получить контроль над sim-картой. Проделать такое с 2FA-приложениями много сложнее. Поэтому если вы можете выбрать, то выбирайте вариант с 2FA через приложение.

Google Authenticator:
Большинство криптовалютных бирж поддерживают двухфакторную аутентификацию через Google Authenticator (GA). Это простое и удобное приложение, не требующее создания аккаунта и каких-либо настроек. Достаточно установить GA и подключить его к аккаунту. Данные хранятся только на устройстве пользователя. Google Authenticator доступен на iOS, Android и BlackBerry OS.
Биржи: Binance, FTX, Bybit, OKX (OKEx), EXMO, Bitfinex, BitMEX.

Binance Authenticator:
Binance Authenticator – собственное приложение Binance. Данные пользователей хранятся в облаке, поэтому для использования приложения необходимо завести аккаунт. Binance Authenticator используется для прохождения двухфакторной аутентификации только на Binance.

Резервная копия:
Когда вы включаете аутентификацию через приложение, сервис генерирует секретный ключ. На основе этого ключа создаются одноразовые коды для входа в аккаунт. Секретный ключ может выглядеть как набор символов или QR-код. Сохраните ключ в надежном месте на случай утери устройства. Например, напишите его на полях любимой книги.
Популярные приложения-аутентификаторы, за исключением Google Authenticator, предлагают хранить секретный ключ в облаке и автоматически синхронизировать хранилища паролей на разных устройствах. Но для этого нужно завести аккаунт, привязанный к телефону или e-mail.

Еще один способ хранения секретного ключа – в менеджере паролей, в защищенных заметках. Также вы можете записать ключ на бумаге или распечатать (если это QR-код). Если вы выбираете второй вариант, учитывайте риски, связанные с хранением "бумажной" версии ключа.

Безопасность биржевого аккаунта

Отдельный e-mail
Регистрируйте аккаунт на криптовалютной бирже на e-mail, который вы больше нигде не используете. Если у вас десять аккаунтов на бирже, зарегистрируйте десять электронных адресов. Важно! Почту тоже нужно защищать 2FA.

Антифишинг
Фишинг – способ получения мошенниками данных пользователей (логинов и паролей). Фишинг проводится разными способами. Например, злоумышленники могут провести электронную рассылку от имени Binance. В письме – ссылка на поддельный сайт, который визуально нельзя отличить от настоящего сайта Binance. Если вы введете на таком сайте логин и пароль, то они попадут в руки мошенников.
Для борьбы с фишингом на некоторых криптовалютных биржах предусмотрена функция антифишинга. В настройках безопасности аккаунта вы можете установить код, которым биржа подписывать все свои письма. Код есть – письмо настоящее. Если пришло письмо без кода, насторожитесь.

Мастер-пароль
На некоторых биржах есть возможность задавать мастер-пароли.
Мастер-пароль - это дополнительный пароль для отдельных действий. Например, войти в аккаунт можно с помощью обычной связки логин/пароль, а чтобы вывести активы нужно знать еще и мастер-пароль.
Обязательно используйте мастер-пароли, если храните на биржи значительные суммы.

Белый список
Белый список позволяет задать адреса, вывод на которые будет проходит с минимальными проверками. Внесите в этот список свои адреса и делать транзакции с этими адресами станет быстрее и удобнее.

Отдельное устройство
Идеально, если для торговли на криптовалютной бирже вы используете отдельное устройство, с которого не “серфите" по Интернету.
Если вам для трейдинга не нужен большой монитор (вы торгуете не активно), то делайте сделки с телефона через приложение биржи. Других устройств для входа в биржевой аккаунт не используйте.
Стоит понимать, что у разных устройств разный уровень защищенности. Считается, что в силу архитектуры, iPhone защищен от вирусов и взломов надежнее, чем ПК на Windows.

Ключи API
Ключи API – это аналог логина (Api Key) и пароля (Api Secret). Они нужны, чтобы подключить к счету на бирже стороннее приложение.
API-ключи имеют параметры настройки. Например, вы можете настроить ключи так, что по ним можно будет только получать биржевую информацию (ключи "read only"), а совершать сделки будет запрещено.

Пример №1: трейдер хочет торговать на криптовалютной бирже через торговый терминал, например  CScalp . Для этого он создает на бирже API- ключи с разрешением торговли и вводит их в терминале. CScalp подключается к бирже, можно торговать.

Пример №2: для отслеживания и анализа сделок трейдер подключает к торговому счету специальный сервис, например, Free trader’s diaries. Для этого ему достаточно создать ключи API “Только для чтения”. Он вводит ключи в дневнике, начинают поступать данные по сделкам.
Одна пара ключей API – одно подключение
Используйте отдельную связку API-ключей для каждого сервиса. Например, одну пару для CScalp, вторую для дневника трейдера и т. д. Удаляйте ключи, которые больше не нужным вам. Доступ к счету по ним сразу пропадет.

Ограничение по IP
Вы можете установить ограничение по IP в настройках API-ключей, внеся доверенные IP-адреса в белый список. После этого подключиться через ключи к торговому счету можно будет только с указанного вами IP.
Этот параметр рекомендован, если у вас статический (постоянный) IP-адрес. Также IP может быть динамическим, то есть меняться. Узнать тип IP и подключить статический IP-адрес вы можете у своего провайдера.

Безопасность устройства

Безопасность аккаунтов также зависит от безопасности устройства, которым вы пользуетесь. Разберем правила безопасности устройства: компьютера, планшета, смартфона.

Регулярные обновления:
Регулярно обновляйте ОС (Windows, macOS, iOS и т. д.) и используемые приложения, например приложение биржи. Практически каждое обновление содержит заплатки на обнаруженные уязвимости. Если вы не обновляетесь, то возможна ситуация, когда уязвимость уже обнаружена и всем известна, а у вас она еще "открыта".

Антивирус:
Используйте лицензированный антивирус, скачанный с официального сайта разработчика. Если вы скачали и установили пиратскую версию антивируса, не рассчитывайте на надежность и безопасность. Антивирус должен иметь обновляющуюся базу. Его также необходимо регулярно обновлять.

VPN:
Когда вы работаете через незнакомую сеть, используйте VPN. Это безопасное зашифрованное подключение, которое позволяет сохранить конфиденциальность данных и обойти локальные ограничения. Если вы собираетесь использовать VPN постоянно, тщательно настройте его, чтобы обеспечить безопасность.