samedi, novembre 23, 2024

NFT, DeFi et crypto hacks abondent – Voici comment doubler la sécurité du portefeuille

L’explosivité et la valeur élevée en dollars des jetons non fongibles (NFT) semblent empêcher les investisseurs d’augmenter leur sécurité opérationnelle pour éviter les exploits, ou les pirates informatiques suivent simplement l’argent et utilisent des stratégies très complexes pour exploiter les portefeuilles des collectionneurs.

Du moins, c’était le cas pour moi il y a bien longtemps quand, après être tombé amoureux d’un message classique qui m’a été envoyé sur Discord, cela m’a fait perdre lentement mais trop rapidement mes atouts les plus précieux.

La plupart des escroqueries sur Discord se produisent de manière très similaire lorsqu’un pirate prend une liste de membres sur le serveur, puis leur envoie des messages directs dans l’espoir qu’ils mordent à l’appât.

« Cela arrive aux meilleurs d’entre nous », ne sont pas les mots que vous voulez entendre par rapport à un piratage. Voici les trois principales choses que j’ai apprises de mon expérience sur la façon de doubler la sécurité, en commençant par minimiser l’utilisation d’un portefeuille chaud et en ignorant simplement les liens DM

Un cours intensif rapide sur les portefeuilles matériels

Après mon hack, on m’a immédiatement rappelé et je ne saurais trop le répéter, ne partagez jamais votre phrase de départ. Personne ne devrait le demander. J’ai aussi appris que je ne pouvais plus renoncer à la sécurité au profit de la commodité.

Oui, les portefeuilles chauds sont beaucoup plus transparents et plus rapides à échanger, mais ils n’ont pas la sécurité supplémentaire d’un code PIN et d’une phrase de passe comme ils le font sur un portefeuille matériel ou froid.

Les portefeuilles chauds comme MetaMask et Coinbase sont connectés à Internet, ce qui les rend plus vulnérables et sensibles aux piratages.

Contrairement aux portefeuilles chauds, les portefeuilles froids sont des applications ou des appareils dans lesquels les clés privées de l’utilisateur sont hors ligne et ne se connectent pas à Internet. Puisqu’ils fonctionnent hors ligne, les portefeuilles matériels empêchent les accès non autorisés, les piratages et les vulnérabilités typiques des systèmes, ce qui est susceptible de se produire lorsqu’ils sont en ligne.

De plus, les portefeuilles matériels permettent aux utilisateurs de configurer un code PIN personnel pour déverrouiller leur portefeuille matériel et de créer une phrase de passe secrète comme couche de sécurité supplémentaire. Désormais, un pirate informatique a non seulement besoin de connaître sa phrase de récupération et son code PIN, mais également une phrase de passe pour confirmer une transaction.

Les phrases de passe ne sont pas aussi connues que les phrases de départ, car la plupart des utilisateurs n’utilisent peut-être pas de portefeuille matériel ou ne connaissent pas la mystérieuse phrase de passe.

L’accès à une phrase de départ débloquera un ensemble de portefeuilles qui lui correspond, mais une phrase de passe a également le pouvoir de faire de même.

Comment fonctionnent les phrases de passe ?

Les phrases de passe sont à bien des égards une extension de la phrase de départ d’une personne, car elles mélangent le caractère aléatoire de la phrase de départ donnée avec l’entrée personnelle de l’utilisateur pour calculer un ensemble d’adresses complètement différent.

Considérez les phrases secrètes comme une capacité à déverrouiller tout un ensemble de portefeuilles cachés en plus de ceux déjà générés par l’appareil. Il n’existe pas de phrase de passe incorrecte et une quantité infinie peut être créée. De cette façon, les utilisateurs peuvent faire un effort supplémentaire et créer des portefeuilles leurres comme démenti plausible pour empêcher tout piratage potentiel de cibler un portefeuille principal.

Diagramme de graine de récupération/phrase de passe. Source : Trezor

Cette fonctionnalité est bénéfique pour séparer ses actifs numériques entre les comptes, mais terrible si elle est oubliée. La seule façon pour un utilisateur d’accéder à plusieurs reprises aux portefeuilles cachés est de saisir la phrase de passe exacte, caractère par caractère.

Semblable à une phrase de départ, une phrase de passe ne doit pas entrer en contact avec un appareil mobile ou en ligne. Au lieu de cela, il doit être conservé sur papier et stocké dans un endroit sûr.

Comment configurer une phrase secrète sur Trezor

Une fois qu’un portefeuille matériel est installé, connecté et déverrouillé, les utilisateurs qui souhaitent activer la fonctionnalité peuvent le faire de deux manières. Si l’utilisateur est dans son portefeuille Trezor, il appuiera sur l’onglet « Paramètres avancés », où il trouvera une case à cocher pour activer la fonction de phrase secrète.

Page de destination du portefeuille Trezor. Source : Trezor

De même, les utilisateurs peuvent activer la fonctionnalité s’ils se trouvent dans la suite Trezor, où ils peuvent également voir si leur micrologiciel est à jour et leur code PIN installé.

Page de destination du portefeuille Trezor. Source : Trezor

Il existe deux modèles Trezor différents, Trezor One et Trezor Model T, qui permettent tous deux aux utilisateurs d’activer les phrases secrètes de différentes manières.

Le Trezor Model One offre uniquement aux utilisateurs la possibilité de saisir leur phrase secrète sur un navigateur Web, ce qui n’est pas le plus idéal en cas d’infection de l’ordinateur. Cependant, le Trezor Model T permet aux utilisateurs d’utiliser le pavé tactile de l’appareil pour saisir la phrase secrète ou la saisir dans le navigateur Web.

Interface de portefeuille Trezor Model T / Trezor. Source : Trezor

Sur les deux modèles, une fois la phrase de passe saisie, elle apparaîtra sur l’écran de l’appareil, en attente de confirmation.

Le revers de la sécurité

Il existe des risques pour la sécurité, même si cela semble contre-intuitif. Ce qui rend la phrase de passe si forte en tant que deuxième étape d’authentification à la phrase de départ est exactement ce qui la rend vulnérable. S’ils sont oubliés ou perdus, les actifs sont pratiquement perdus.

Bien sûr, ces couches de sécurité supplémentaires prennent du temps et des précautions supplémentaires et peuvent sembler un peu exagérées, mais mon expérience a été une dure leçon de prise de responsabilité pour s’assurer que chaque actif était sûr et sécurisé.

Les vues et opinions exprimées ici sont uniquement celles de l’auteur et ne reflètent pas nécessairement les vues de Cointelegraph.com. Chaque mouvement d’investissement et de trading comporte des risques, vous devez mener vos propres recherches lors de la prise de décision.