Przechowywanie danych logowania, słów kluczowych i kluczy prywatnych
Stworzenie bezpiecznych haseł logowania nie zagwarantuje nam bezpieczeństwa jeżeli będziemy je źle przechowywać lub niewłaściwie używać. Poniżej kilka fundamentalnych zasad o których musimy pamiętać, aby nasze hasła i klucze prywatne było bezpieczne:
- nie udostępniaj swoich haseł i kluczy prywatnej osobom co do których nie masz 100% zaufania
- nie zapamiętuj haseł i danych logowania w przeglądarkach do najbardziej wrażliwych kont, jak np: e-mail, giełda kryptowalutowa, zwłaszcza na urządzeniach współdzielonych, tj takich gdzie mogą mieć dostęp osoby nieupoważnione np. komputery firmowe, komputery w “kafejkach internetowych”
- przechowuj dane offline – wyjątkowo ważne informacje, takie jak seedy czy klucze prywatne przechowuj na urządzeniach nie podłączonych do internetu, np. na zaszyfrowanym dysku USB lub w formie fizycznej (np. kartka papieru, metalowe tabliczki) w dobrze ukrytym miejscu. Nie przechowuj wrażliwych danych “w chmurze”.
- stwórz kopie zapasowe – pamiętaj aby mieć kopie zapasowe swoich haseł, seedów czy kluczy prywatnych, aby w przypadku utraty głównego źródła danych (np. pożar, zagubienie) móc odzyskać swoje hasła. Upewnij się, że kopie zapasowe są również bezpiecznie zaszyfrowane.
- regularnie sprawdzaj stan swoich kopii zapasowych, aby upewnić się, że nie uległy one zagubieniu, zniszczeniu lub degradacji.
- nigdy nie podawaj haseł, danych logowania, seedów, kluczy prywatnych w wiadomościach e-mail, korespondencji na platformach społecznościowych, czy na komunikatorach typu Discord, Telegram, Messenger. Jeżeli od kogokolwiek otrzymasz prośbę lub żądanie podania takich danych, to z całą pewnością jest to próba oszustwa
- nie wpisuj haseł, gdy ktoś patrzy Ci przez ramię lub masz podejrzenie, że Twoje ruchy mogą być nagrywane, np. kamerą przemysłową.
- korzystaj z bezpiecznych sieci internetowych, np. zaszyfrowana sieć domowa czy hot-spot własnego telefonu komórkowego – unikaj otwartych sieci Wi-Fi, z których to korzystanie może nas narazić na niebezpieczeństwo, takie jak np. ataki typu “Man in the Middle” czy “Evil Twin”
- zmieniaj hasło natychmiast jeśli masz choć cień podejrzenia, że ktoś mógł wejść w posiadanie twoich danych logowania. W przypadku gdy mogły wyciec Twoje seedy lub klucze prywatne, dla bezpieczeństwa natychmiast prześlij swoje środki na inny portfel.
- zwracaj uwagę na synchronizację danych z innymi urządzeniami – sprawdź czy Twoje dane wrażliwe, np. dane logowania do witryn nie są automatycznie synchronizowane z innymi urządzeniami, które mają niższy poziom zabezpieczeń.
- na urządzeniach, z których korzystasz, używaj blokad ekranu, takich jak hasła, wzory, odciski palców lub rozpoznawanie twarzy. Pamiętaj aby ustawić czas po jakim włączy się blokada, w przypadku braku aktywności na danym urządzeniu.
- zainstaluj i regularnie aktualizuj oprogramowanie antywirusowe i antymalware, aby chronić swoje urządzenie przed złośliwym oprogramowaniem, np. typu Keylogger
- używaj menedżera haseł, jeżeli masz problem z zarządzaniem danymi – menedżery haseł, takie jak LastPass, 1Password, czy KeePass, są zaprojektowane do bezpiecznego przechowywania haseł i innych wrażliwych danych. Szyfrują one Twoje dane i pozwalają na dostęp do nich tylko po wprowadzeniu silnego głównego hasła.
- używażaj uwierzytelniania dwuskładnikowego (2FA – Two-Factor Authentication) – to metoda zabezpieczania kont i danych, która wymaga od użytkownika dostarczenia dwóch różnych form uwierzytelnienia, zamiast polegać tylko na haśle lub kodzie PIN. Zazwyczaj takie zabezpieczenie polega na wprowadzaniu danych z co najmniej dwóch typów źródeł. Przykładowo w pierwszym etapie podajemy hasło lub PIN, który znamy (sami wprowadziliśmy/ustalaliśmy), a w drugim etapie wprowadzamy kod/hasło wygenerowane losowo, np: poprzez aplikację Google Authenticator, klucz sprzętowy (np. YubiKey) czy otrzymane poprzez wiadomość SMS. Czasami na niektórych platformach (np. na centralizowanych giełdach kryptowalutowych) możemy ustawić więcej warstw uwierzytelnienia, jak np. hasło + SMS + Google Authenticator. Istnieją też tak unikalne sposoby weryfikacji jak skan odcisku palca, rozpoznawanie twarzy czy skan siatkówki oka.
- nie korzystaj z jednego urządzenia przy uwierzytelnieniu dwuskładnikowym – częstym błędem jest korzystanie z 2FA na jednym urządzeniu, np. na komórce, gdzie mamy jednocześnie zapamiętane hasło logowania do poczty elektronicznej oraz aplikację Google Authenticator. Ważne aby korzystać z dwóch niezależnych urządzeń, np. logowanie się na komputerza, przy użyciu uwierzytelniania z telefonem komórkowym. W takim przypadku utrata lub włamanie się do jednego urządzenia nie powoduje utraty kontroli nad wrażliwymi danymi.