Checklist de sécurité basique

in #cryptofr7 years ago

Salut à tous cher Steemians,

Alors voilà, je lis de plus en plus d'histoires de hacks, fishing, ramsomware et autres piratages qui déciment nos amis cryptos enthousiastes. Bien que la plupart du temps le problème se situe du côté de la naïveté de jeunes enthousiastes (jeunes au sens peu expérimenté hein ;-)) il y a aussi parfois des soucis plus "profonds" ou des failles qui auraient pu être "comblées" avec plus de vigilance.

38178155242_088439ccc4_b.jpg

J'aimerais du coup partager avec vous ma "checklist" de sécurité qui est certes un peu simpliste mais aura la mérite d'être "no bullshit" aussi ;-)

Voici donc mes recommandations :

  1. Ne ré-utilisez JAMAIS deux fois le même mot de passe
  2. Idéalement utilisez des générateurs de mot de passe pour que ceux-ci soient complexes (les gestionnaires de mot de passe sont super pour cela)
  3. Si possible n'utilisez pas toujours le même compte email (conseil surtout valable pour vos comptes sur les places de marché afin qu'en cas de piratage de votre boîte mail seulement une partie de vos comptes sur des places de marchés soient exposés)
  4. Utilisez la double authentification partout où cela est possible (Yubikey ou 2FA mais pas SMS)
  5. L'usage d'un VPN est fortement recommandé (pour que des pirates éventuels ne puissent vous tracer / fisher car les attaques sont souvent ciblées donc si on ne peut savoir d'où vous vous connectez vous minimisez les chances d'être une cible)
  6. Si vous êtes sous Windows => Anti-virus (dans l'absolu sous les autres OS aussi mais les exploits sont bien moins nombreux que sur l'OS aux mille fenêtres donc sortez couverts ;-))
  7. Utilisez plutôt des "Hardware wallets" voire même mieux des paper wallet (en gros hardware si vous voulez utilisez vos coins "souvent", paper pour le stockage... paper wallet pouvant être gravées sur du metal pour la durée dans le temps au besoin)
  8. Essayer de ne pas associer votre numéro de téléphone aux questions de sécurité (car ici aussi il est plus facile de pirater vos accès téléphonie qu'un Google Authenticator par exemple).
  9. Ne stockez JAMAIS vos seed / codes de restauration / passphrase, etc. sur une machine ou un équipement connecté à internet (ces informations ne vous servent qu'en cas de perte de vos clés privées donc vous n'avez AUCUNE raison de les garder à "portée de main"... burinez moi ça dans du marbre et jetez le cailloux au fond de la marre ce sera très bien, vos poissons rouges n'ont pas la technicité suffisante pour s'en servir et les algues s'enlèvent très bien... même après 50 ans ;-)).
  10. NE TELECHARGEZ RIEN BORDEL !!!

Bon ok j'ai craqué sur le 10... mais pourtant vous le savez que la faille de sécurité c'est surtout quand vous installez des trucs sans vraiment savoir d'où ça vient hein ? Bon allez ok une dérogation de la 10 serait de ne télécharger des trucs que si vous avez le checksum (ou SHA, ou clé de contrôle, etc.) et que vous êtes donc en mesure de vérifier que le logiciel est bien ce qu'il dit être (checksum correct / validé localement par vos soins).

Bref je suis parno.... et vous vous le vivez bien ?

Sort:  

Je rajouterais l'usage du chiffrement. Au choix il y a Veracrypt avec un long passphrase ou GPG/PGP qui reste quand même le top ;)

Bien vu ;-) Après ça devient spécifique car par exemple le chiffrement des clés privés via BIP32 pour le BTC est super mais pas possible sur d'autres cryptos. De même il ne me semble pas que nous ayons le choix du cryptage de nos données sur les places de marché (en tout cas pour celles centralisées) - d'ailleurs ce serait une bonne question ? Y-en existe-t-il ? Mais pour les emails / clés j'encrypte à tout va également :p

Très bon rappel.. On est jamais trop prudent

Et le plus efficace.... ne pas se connecter (lol). La vie au grand air a donc du bon ;)

ah ah oui c'est le plus sécurisé lol... 0% des Egyptiens de l'Egypte antique ce sont pirater leurs ordis... à méditer ;-)

Hé merci pour les conseils
Les hackers sont partout 😵

En mode vraiment parano : générer ses transactions sur un ordinateur déconnecté du réseau, copier la transaction avec une clé usb sur ordi connecté pour la transmettre à la blockchain ;)

Ah ah Tails OS +1 ;-)

Perso je ne fait cela que pour la génération de mes wallets (et en même je suis plutôt un HODLer donc je ne fais pas tant de transaction que cela).... Après j'ai une hot wallet sur lequel j'ai mes coins "prêts à être dépensés" et qui au pire si elle est piratée n'est pas énorme me permettant de ne pas exposer trop de mon capital.... le reste est au chaud... ou plutôt au frais genre pôle Nord lol

Pareil, un hot wallet avec quelques $ dessus pour mon utilisation quotidienne, et le reste protégé bien comme il faut ;)