人在江湖飄，怎麼不挨刀？幣圈防“刀”(盜)指南

幣圈 LastPass · 發表 2018-10-08 20:56:52

摘要：從幣圈小韭菜一路“打怪升級”的路上，每一位小萌新都免不了丟失私鑰、忘記助記詞的糗事。小編也不例外，曾經Primas的助記詞因為換手機丟失，遺失了幾百個PST。這使得小編對幣圈安全更加重視。與其等著第三方提供服務坐以待斃，不如自己在安全上加強管理。關於幣圈的賬戶、密碼、私鑰、隱私...

從幣圈小韭菜一路“打怪升級”的路上，每一位小萌新都免不了丟失私鑰、忘記助記詞的糗事。小編也不例外，曾經Primas的助記詞因為換手機丟失，遺失了幾百個PST。這使得小編對幣圈安全更加重視。與其等著第三方提供服務坐以待斃，不如自己在安全上加強管理。

關於幣圈的賬戶、密碼、私鑰、隱私的安全就不再贅述，本文會重點從密碼管理、私鑰管理、安全環境三方面給到一些意見。

一、密碼管理

1. 為什麼需要密碼管理

簡單一句話回答：密碼多到我的大腦已經記憶不過來了，所以需要密碼管理，那麼需要管理的到底有多少呢？

截止到今天，小編的密碼管理軟體上統計到的密碼如下，累計達到了 341 個，還不包括大量未使用密碼管理器的網站，也就是說至少 400 個密碼需要我來記憶和儲存。

咳咳，這時候對於大多數人來說，為了省事，乾脆400個都用一個密碼就好了。細思極恐，資訊洩露時代這是非常不安全的。

2. 什麼樣的密碼是安全的

在查詢了很多資料之後，發現這個問題很難用一兩句話講清楚，那我們就反問一下，什麼樣的密碼是不安全的？

最典型和突出的的就是使用同一個密碼

不管這個密碼的複雜性和位數有多高，都是不安全的，一旦某一個網站因為各種原因導致密碼洩露，黑客就可以使用撞庫的手段（通俗點解釋就是碰運氣的用已經洩露的A網站的賬號密碼，去登陸B網站）來登陸其他網站，這個危害性非常的大。

所以千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，千萬不要使用同一個密碼行天下，這句話說了10遍，希望你能引起重視。
密碼不要有意義

據我所知很多人的賬號密碼就是名字的縮寫，需要數字的，會加上出生年月日，例如小王生日是1992年9月1日，那麼密碼就寫成xw19920901或xw0901，莫名躺槍的你們在留言區舉個手，我們看看多少人是這樣的。

基於以上兩不要原則，我們可以使用這樣一條設定密碼的原則：

一定要設定成自己也記不住的密碼，並經常更換！

看到這裡你可能會吐槽，我自己都記不住的密碼我怎麼去填寫密碼呢？當然是使用專業的密碼管理軟體了

3.使用密碼管理軟體

常用的密碼管理軟體提供的基礎功能一般都有：隨機生成密碼、密碼儲存管理、密碼填充

小編自己使用的是 LastPass （1Password 也是大家比較常用的密碼管理軟體），LastPass 的優點在於全平臺通吃，你能想到的平臺它都支援，LastPass 通過自動雲端同步，讓使用者只需記住一個主密碼就可隨時隨地、不受裝置數量限制地享受密碼自動填充、安全筆記、好友密碼共享等功能，最重要的是 LastPass 在桌面端是完全免費使用的，免費使用者可在桌面瀏覽器之間實時同步密碼庫，使用完整的密碼管理功能，這也是我使用它的主要原因之一，而且對我來說免費版已經足夠使用了。接下來簡單介紹一下 LastPass 的是使用：

設定一個主密碼

這個密碼是開啟其他密碼的鑰匙，重要性不言而喻，所以一定要足夠長、並且大小寫、特殊字元啥的都要有，重點是還要方便記憶，可以考慮對你有意義的一段話、你的座右銘什麼的。
當不小心遺忘 LastPass 的主密碼後，LastPass 無法提供傳統的密碼找回功能，只能通過密碼提示幫助你回憶密碼

隨機生成密碼
以 LastPass 在 chrome 瀏覽器的外掛為例演示：點選 LastPass 的標識，隨後點選生成安全密碼，可以看到 LastPass 會生成一個毫無意義的 12 位字元，你還可以隨意調整密碼長度或者使用高階選項增強密碼強度
網站註冊自動儲存
以 OTCBTC 交易所的註冊為例，點選下圖密碼框上鎖的圖示，然後點選生成並填充密碼，LastPass 會自動生成高強度的密碼，並自動填寫到密碼框和確認密碼框，關鍵是：全程你並不知道你的密碼是啥
註冊完成之後，會彈出一條訊息詢問你是否儲存到 LastPass ，建議選擇儲存，交由 LastPass 統一管理密碼就好

網站登入自動填充
以 OTCBTC 交易所的登入為例，如果 LastPass 外掛右下角標有數字說明 LastPass 儲存有當前網站的密碼，點選下面的 LastPass 表示就可以填充密碼，如下圖所示

4.使用谷歌雙重驗證

谷歌雙重驗證類似簡訊驗證碼校驗，但是簡訊驗證碼本質上是非常不安全的，具體可以參考： ofollow,noindex" target="_blank">簡訊驗證碼：是時候說再見了，此處不展開討論。

幣圈的很多交易所在安全中心一般都會通過谷歌的雙重驗證功能，這個強烈建議大家開啟，可以杜絕很多安全隱患，一般都會提供下載的地址，如果沒有可以去應用市場下載，應用寶搜尋谷歌動態口令即可，具體開啟步驟可以參考少數派的這篇文章—手把手教你設定 Google 兩步驗證

二、私鑰管理

保持一個核心原則：不要給任何人私鑰，不要給任何人私鑰，不要給任何人私鑰

具體給出以下幾點建議：
自己去買一個筆記本，保管好，存在保管櫃或者家裡面，記錄私鑰，做好冷備份
手機上不要儲存私鑰的截圖或者明文未加密的密碼、私鑰、還有助記詞
賬號、密碼、助記詞、私鑰、或者提示語，不要記錄在桌面(EXCEL+WORD+記事本)，不要記在便籤上，尤其是不要通過網路傳送，比如郵箱，微信，QQ，簡訊等（keystore可以發郵箱，但密碼和私鑰、助記詞等千萬不能通過網路傳輸）

三、安全環境

這部分會給出一些和使用環境相關的一些建議：
下載錢包、以及應用時，最好去官網下載，不要安裝來歷不明的錢包應用
電腦或者手機終端，定期做防毒，定期升級補丁（Windows或者Mac）
不建議使用國產的防毒軟體，推薦使用國外的，Windows 用自帶的就可以
非要使用國產的話建議使用火絨安全
儘量在私人的區域網和自己電腦或手機裝置上網操作
選擇主流交易平臺，以及主流的錢包應用
儘量不要使用私人電腦挖礦，因為很多竊取隱私的軟體會偽裝成挖礦軟體

好了，今天的早間播報就到這裡，明天我們不見不散！

咳咳，Everybody，使用一個密碼走天下的在留言區舉個手，看看有多少同類。