Криптобезопасность: Руководство

Подробное руководство о том, как быть в безопасности в криптомире. Потому что криптография действительно отличается.

Ниже приведено смешение некоторых из наших внутренних политик, элементов действий и материалов, связанных с безопасностью, которые, по нашему мнению, будут полезны или применимы к более широкому сообществу.

Шаг 1: Улучшите свое отношение и культуру

Наличие реалистично параноидального менталитета о безопасности вашей компании и вашей личной безопасности — это самая важная вещь, которую вы можете сделать для себя и своего будущего, особенно в криптографии. Контрольные списки и политики необходимы, но они не учитывают новые угрозы или каждое повседневное решение, принимаемое каждым отделом. Сильная культура безопасности просачивается во всю организацию, так что вы по своей сути делаете выбор, заботящийся о безопасности, без контрольных списков безопасности и / или безопасности, что снижает вашу производительность.

Я понимаю, что криптография безжалостна и ужасающая.

  • Я серьезно отношусь к безопасности.
  • Я возлагаю ответственность на других, когда я думаю, что мы можем добиться большего.
  • Я понимаю, что моя работа, моя личная безопасность, мое финансовое благополучие и моя семья находятся под угрозой, когда я не воспринимаю безопасность всерьез.
  • Я понимаю, что жизнеспособность моей компании находится под угрозой, когда я не воспринимаю безопасность всерьез.
  • Я никогда не буду ленивым или пренебрежительным. Я не буду пролистывать это или пропускать пункты. Я потрачу время, чтобы должным образом обезопасить себя, чтобы моя компания оставалась в безопасности сегодня и завтра.

Я пройдусь по кладбищу этой отрасли.

  • Я понимаю, что криптовалютные компании являются глобальной аномалией для индустрии безопасности.
  • Я понимаю, что эти компании взламываются в удаление с гораздо большей скоростью, чем любая отрасль.
  • Я понимаю, что простое участие в криптовалютной индустрии и / или владение криптовалютой делает мою компанию и меня мишенью для подростковых детейизощренных хакеров и даже национальных государств.
  • Я понимаю, что компрометация или взлом могут привести к потере нашего бизнеса, наших средств и / или средств наших пользователей.
  • Я посмотрю на Blockchain Graveyard и The Bad Things™ Database, чтобы оценить масштаб этой проблемы и учиться на чужих ошибках.

Я понимаю, что мои личные аккаунты могут быть целью атаки.

  • Я вижу, что это пространство имеет необычную смесь личных идентичностей и профессиональных идентичностей.
  • Мои личные данные, репутация или личные учетные записи могут использоваться для создания путаницы, паники, отправки фишинговых сообщений или мошенничества с друзьями или незнакомцами.
  • По этой причине я предпочитаю внимательно следить за безопасностью своих личных счетов, а не только профессиональных.

Я покупаю

Я буду паниковать спокойно.

  • Я понимаю, что в какой-то момент я вызову инцидент безопасности, и что прощение применяется к тем, кто обостряет проблему правильно и немедленно.
  • Когда это произойдет, я немедленно направлю спокойную и сдержанную версию моей паники на наш канал инцидентов внутренней безопасности.
  • Я буду использовать все доступные средства (звонок, пейджинг, стук в их дверь) для эскалации ситуации, если я не получу соответствующего или быстрого ответа в этом канале.

Я знаю, что наш внутренний канал безопасности …

  • Расположен в центре основной коммуникационной платформы, которую мы используем для нашего повседневного бизнеса (Slack, Discord, Email и т. Д.)
  • Конфиденциальный
  • Безупречный. Вынесение решения или отклонение пунктов, размещенных здесь, не допускается.
  • Содержит всех сотрудников и контакты, которые имеют достаточный доступ к инциденту безопасности, а также тех, кто может расследовать и устранять инциденты безопасности.
  • Все уведомления включаются для всех участников постоянно, а не только для упоминаний и не только в определенное время суток.
  • Только для потенциальных инцидентов безопасности и их соответствующих ответов. Переместите все обсуждения, не связанные с инцидентами, в другое место, чтобы предотвратить игнорирование уведомлений в этом канале.
  • Безопасный. Я не побоюсь создать инцидент. Я не буду судить людей за создание инцидента.

Я оперативно опубликую в канале безопасности, если…

  • Одна из моих учетных записей или паролей скомпрометирована.
  • Я думаю, что одна из моих учетных записей или пароль могут быть скомпрометированы.
  • Мой номер телефона взломан.
  • Мой оператор телефонной связи звонит мне о внесении изменений в мою учетную запись.
  • Я теряю телефон или компьютер.
  • Я получаю электронные письма о сбросе пароля, которые я не инициировал.
  • Что-то странное происходит на веб-сайте или другом сайте, контролируемом моей компанией или мной, что указывает на то, что что-то скомпрометировано.
  • Что-то странное происходит на другом веб-сайте в моей отрасли. (Следите друг за другом!)
  • Кто-то действует не по характеру или обменивается странными вещами (например, Хадсон просит Гарри отправить ему ETH через прямое сообщение).
  • Мои средства украдены или я думаю, что мои средства могли быть украдены.
  • Я думаю, что происходит что-то плохое, даже если я на 100% не подтвердил, что что-то плохое действительно происходит.

Я буду использовать все доступные средства (звонок, пейджинг, стук в их дверь) для эскалации ситуации, если я не получу соответствующего или быстрого ответа в канале безопасности.

  • Любые понесенные расходы будут возмещены компанией без вопросов — международные звонки, текстовые сообщения, газ, что угодно. Сейчас не время задаваться вопросом, стоит ли оно того.
  • Никто не будет судить вас или обвинять вас, если вы позвоните поздно ночью.
  • Никто не будет судить вас или обвинять вас, если вы позвоните несколько раз.
  • Никто не будет судить вас или обвинять вас, если вы позвоните из-за чего-то, что, по вашему мнению, может быть инцидентом безопасности, но оказывается, что на самом деле это не инцидент безопасности.
  • Всегда лучше позвонить, чем не звонить.

Шаг 2: Защитите свои компьютеры и программное обеспечение.

  • Если у вас есть менеджер буфера обмена, избавьтесь от него: Никогда, никогда не устанавливайте его снова. Записывать и сохранять все, что вы копируете и вставляете, намеренно или непреднамеренно, глупо. Показательный пример.
  • Если у вас есть приложение для автоматической загрузки скриншотов (например, Cloud App), избавьтесь от него: Never, когда-нибудь установите его снова. Загрузка каждого скриншота, который вы делаете, намеренно или непреднамеренно, в Интернет глупа и ставит вашу безопасность в безопасность случайного, небезопасного приложения для скриншотов.
  • Если у вас есть удаленный просмотрщик (например, Teamviewer), избавьтесь от него: Никогда, никогда не устанавливайте его снова. Вставлять дверь в весь ваш, разблокированный компьютер глупо и подвергает риску все, что вы храните, получаете, расшифровываете, шифруете или иным образом имеете или иногда подвергаете риску. Показательный пример.
  • Аудит расширений Chrome: Удалите расширения, которые вы не используете, не нуждаетесь, не доверяете. Часто отключайте те, которые вы не активно используете ежедневно. Не устанавливайте новые волей-неволей. Отключите автоматические обновления. Используйте режим инкогнито чаще, чем нет (особенно при доступе к сверхбезопасным вещам, таким как хостинг / регистратор / банкинг / криптография). Никогда не вводите секреты на веб-сайты, используя браузер, который вы используете для ежедневного использования / который имеет расширения.
  • Аудит программного обеспечения: Если у вас есть старый компьютер, который вы использовали в течение некоторого времени, выполните совершенно новую установку или поговорите с руководством о приобретении нового компьютера
  • Аудит программного обеспечения, которое запускается при запуске: Отключите приложения, которые запускаются при запуске, которые вам абсолютно не нужны.
  • Полностью удалите ненужное программное обеспечение.
  • Будьте особенно внимательны к установке маленьких «вспомогательных» инструментов и избегайте, как чумы. К ним относятся такие приложения, как: Менеджеры буфера обмена. Автоматическая загрузка скриншотов приложений. Приложения, которые управляют вещами системного уровня. Приложения удаленного рабочего стола, такие как Teamviewer. Апплеты, которые показывают вам цену криптовалюты на панели инструментов. Забавное маленькое дерьмо, чтобы изменить ваш рабочий стол / иконки. Материалы от ненадежных разработчиков.
  • Не устанавливайте программное обеспечение безвозмездно. Устанавливайте только то, что вам нужно, и обновляйте его с помощью патчей. Не торрент и не думайте о загрузке и применении с нелегального сайта. Не устанавливайте какое-либо приложение по ссылке в электронном письме или глубоко в Google, а вместо этого используйте App Store или официальный сайт продуктов.

Аудит настроек Chrome

Посетите chrome://settings/content и убедитесь в следующих настройках:

  • [x] Доступ к плагину без песка: спросите, когда сайт хочет использовать плагин для доступа к вашему компьютеру.
  • [x] Расположение: Спросите перед доступом
  • [x] Камера: спросите перед доступом
  • [x] Микрофон: спросите перед доступом
  • [x] Flash: блокировка сайтов от запуска Flash
  • [x] Всплывающие окна: Заблокированы
  • Очистите кэш, настройки, историю и т.д.
  • Будьте внимательны, когда вы даете веб-сайту или расширению разрешение на доступ к таким вещам, как ваша камера, местоположение, плагины и т. Д. В будущем.

Шаг 3: Зашифруйте свое дерьмо

Шифрование вашего компьютера / ноутбука

  • Нажмите меню Apple, «Системные настройки», затем выберите «Безопасность и конфиденциальность».
  • Выберите вкладку FileVault.
  • Нажмите кнопку Блокировка, она запросит имя и пароль администратора.
  • Нажмите кнопку Включить FileVault. (это займет некоторое время, поэтому не делайте этого, когда вы спешите)
  • Я считаю, что это дает вам как резервный ключ или что-то в этом роде. Представьте, что это закрытый ключ, защищающий миллионы долларов. Не копируйте его. Не сохраняйте его. Запишите его на листе бумаги и храните в безопасном месте.

Шифрование USB-накопителей

  • Перейти к поиску
  • Выберите USB-накопитель в разделе «Устройства»
  • Щелкните правой кнопкой мыши
  • Выбрать: зашифровать

Шаг 4: Защитите свои учетные записи

  • Установите менеджер паролей (например, 1Password, LastPass, Bitwarden): НЕ используйте встроенный в ваш браузер менеджер паролей для управления паролями, данными кредитной карты или другой информацией. Правильно настройте его на всех устройствах. 2021 Edit: LastPass больше не будет бесплатным для использования на нескольких устройствах, что означает, что вы можете использовать его на одном устройстве бесплатно, и вам придется заплатить, чтобы синхронизировать больше устройств. Если вы хотите изучить бесплатную альтернативу, мы рекомендуем взглянуть на Bitwarden — у них есть похожие функции и руководство о том, как импортировать ваши данные из LastPass.
  • Защитите свой менеджер паролей с помощью 2FA через Yubikey или Google Authenticator: НЕ храните коды MFA в менеджере паролей. НЕ храните крипто-закрытые ключи в своем менеджере паролей. НЕ храните сверхвысокие вещи безопасности в своем менеджере паролей. (например, ключи SSH, учетные записи хостинга/регистратора и т.д.)

Аудит программного обеспечения облачного хранилища (Dropbox, iCloud, OneDrive)

Что такое автоматическая загрузка?

  • Отключите такие функции, как «автоматическая загрузка всех скриншотов»
  • Отключите автоматические моментальные снимки/резервное копирование всей системы. Вместо этого выберите автономный внешний жесткий диск.
  • Отключите синхронизацию высокоуровневых системных папок, в которые вы можете непреднамеренно поместить секретную информацию в какой-то момент, не осознавая этого.
  • Помните, где вы КОГДА-ЛИБО помещаете секретную информацию при использовании вашего компьютера, если папки синхронизированы.
  • Не синхронизируйте свои загрузки, настольный или домашний каталог; Слишком легко случайно синхронизировать секретные вещи.

Что там уже сохранено?

  • Удалите все чувствительное. Поймите, что вещи, которые были загружены один раз, существуют на всю жизнь, даже если вы «удалите» их.
  • Если вы обнаружите пароль или закрытый ключ в своем Dropbox, начните с его удаления.
  • Затем сразу же измените пароль или переместите свои средства.
  • Если бы это могло хотя бы незначительно создать инцидент безопасности для себя или компании, паникуйте правильно и разместите во внутреннем канале безопасности.

Убедитесь, что он безопасен.

  • Измените пароль прямо сейчас.
  • Включите 2FA прямо сейчас.
  • Если 2FA уже включен, отключите его и снова включите заново.
  • Если вы можете использовать аппаратный кошелек / U2F / Yubikey на сервисе, настройте его.
  • Удалите свой номер телефона из опции 2FA.
  • Создавайте новые резервные коды и удаляйте старые. Убедитесь, что новые резервные коды написаны от руки или распечатаны через принтер без Wi-Fi и надежно удалены с вашего устройства впоследствии.
  • Убедитесь, что там больше никогда не сохраняется ничего чувствительного.
  • Проведите аудит себя и того, что хранится в них часто.

Изменение паролей на новые, уникальные и надежные пароли

  • Вот как выглядит хороший пароль: 3o*awM#A^9x&r61v.
  • Используйте свой менеджер паролей, генерируйте функцию с верхними, нижними, символами.
  • Не используйте пароль, указанный выше. Это пример.
  • Измените все свои пароли, даже те, которые предназначены для глупых случайных форумов, Skype, Twitter, Instagram (см. ниже большой список).
  • Никогда не используйте пароли повторно.

2FA все вещи!

Если вы используете Authy, прекратите использовать Authy. Если вы должны использовать Authy:

  • Убедитесь, что в настройках параметр «Несколько устройств» выключено.
  • Измените его на новый номер Google Voice, который никто не знает.
  • Убедитесь, что этот номер Google Voice находится в аккаунте Google, который никто не знает.
  • Убедитесь, что эта учетная запись Google 2FA’d с вашим Yubikey.
  • Убедитесь, что в этом новом аккаунте Google нет вашего номера телефона, связанного с ним для 2FA.
  • Не давайте этот номер никому, никогда.
  • Не давайте это письмо никому, никогда.

Включите 2FA для всех вещей через Google Authenticator

Удаление номера телефона и электронной почты в качестве резервного варианта для аккаунтов Google (и других)

  • Печатайте резервные копии кодов через принтер без Wi-Fi или записывайте их от руки.
  • Вы не будете восстанавливаться с помощью SMS.
  • Вы не будете использовать Authy.
  • Для любых служб, которые не позволяют удалить ваш номер телефона, измените его на новый номер Google Voice, который никто не знает.
  • Убедитесь, что этот номер Google Voice находится в аккаунте Google, который никто не знает.
  • Убедитесь, что эта учетная запись Google 2FA’d с вашим Yubikey.
  • Убедитесь, что в этом новом аккаунте Google нет вашего номера телефона, связанного с ним для 2FA.
  • Не давайте этот номер никому, никогда.
  • Не давайте это письмо никому, никогда.
  • Проверьте все свои сервисы (Dropbox, Apple, Skype, Amazon, Facebook, Amazon) и убедитесь, что вы не можете войти в систему, восстановить доступ, сбросить пароль, 2FA или обойти 2FA с вашим номером телефона.
  • Серьезно, глупое количество услуг теперь позволяет вам авторизоваться со своим номером телефона. Не делайте этого.

Обновляйте пароли и включайте 2FA для каждой услуги. Такие вещи, как…

  • Amazon (покупки) — удалите старые кредитные карты, адреса и т. Д., Пока вы там.
  • Apple
  • Asana
  • Atlassian
  • AWS
  • Bitbucket
  • Box
  • Calendar Apps
  • Coinbase, Gemini, Bittrex, Kraken, Polo, all exchanges.
  • Dropbox
  • Evernote
  • Facebook
  • Github
  • Google
  • All your Googles
  • Even your old Google’s
  • And your yahoo’s or hotmail’s or whatever
  • AOL, too?
  • Heroku
  • Email services
  • Support services (Zendesk, Groove)
  • HR services (Gusto, Zenefits)
  • Banking services (Chase, Bank of America, Amex)
  • Investment services (401k, Vanguard, Charles Schwab)
  • Hosts / Registrars (GoDaddy, Bluehost, Cloudflare, whatever)
  • LastPass / 1Password
  • Skype (Install Microsoft’s Authenticator, see below)
  • Slack
  • Stack Exchange
  • Telegram
  • Keybase
  • Every messaging app ever
  • TransferWise
  • Twitter
  • Paypal
  • Venmo

Защитите свой Google, Github, Facebook, Skype, Twitter и т. Д.

Для всего вышеперечисленного проверьте авторизованные приложения, вошедшие в систему устройства и другие.

Удалите все авторизованные приложения:

  • «Приложения», в которых вы используете другую службу, такую как Google или Twitter, для входа в эту службу или иным образом связаны (например, приложение Fantastical Calendar управляет вашим Календарем Google).
  • Удалите все приложения, которые вы не знаете, не использовали в течение некоторого времени или в которых вы не уверены. Это легко переоформить позже, когда вам это нужно, так что отправляйтесь в город!
  • Всякий раз, когда вы используете эту функцию входа / аутентификации в будущем, будьте очень осторожны с тем, какие разрешения вы принимаете и кому вы предоставляете доступ к вещам.
  • Одноразовый адрес электронной почты обычно является лучшим выбором, чем «Войти в Twitter».
  • Задокументируйте где-нибудь, какие вещи входят в какие учетные записи. Это будет необходимо, если учетная запись когда-либо будет скомпрометирована, поскольку она проливает свет на то, к чему еще злоумышленник может иметь доступ.
  • Твиттер: https://twitter.com/settings/applications
  • Фейсбук: https://www.facebook.com/settings?tab=security
  • Смотрите ниже для получения дополнительной информации

Выйдите из системы всех устройств:

  • Да, это раздражает. Да, вам придется повторно войти в систему на вашем текущем телефоне. Не ленитесь.

Просмотрите пересылку и фильтры, которые передают данные извне:

  • Например, пересылка электронных писем в Slack, DM поддержки клиентов, которые публикуются в Trello, все, что вы настроили в какой-то момент, чтобы попытаться облегчить свою жизнь.
  • Убедитесь, что аутентификация/доступ узкий, как это может быть: Спросите себя, действительно ли необходим доступ на запись? Спросите себя, что произойдет, если эта третья сторона будет взломана: что худшего, что может случиться с вашей командой, клиентами, пользователями или компанией? Можете ли вы разделить опасения: могут ли сообщения поддержки идти на платформу поддержки, а не на Slack? Можно ли выполнить аутентификацию Github через выделенную учетную запись, которая может отвечать на проблемы github, но не отправлять код?

Удалите все «Пароли для конкретных приложений», которые будут обходить проверку подлинности:

  • Эти пароли менее распространены в наши дни, но все еще могут существовать, без вашего ведома. Они обычно были доступны, чтобы вы могли аутентифицировать учетную запись (например, Gmail) через платформу, которая не поддерживала 2FA (например, ваш телевизор).
  • Эта функция особенно вредна в сценарии захвата учетной записи, поскольку пароли приложений редко, если вообще когда-либо, уничтожаются при сбросе пароля. Это оставляет простой доступ для злоумышленника довольно легко, если он его создал.

Skype / Майкрософт: включение 2FA

Google: удалите свой номер телефона и адрес электронной почты в качестве резервного варианта

Для всех ваших аккаунтов Google! Смотрите эти способы более актуальные инструкции со скриншотами!

  • Перейти к https://myaccount.google.com/security
  • Прокрутите вниз
  • Измените пароль.
  • Нажмите «2-ступенчатая проверка»
  • Настройка: ключ безопасности (Yubikey), приложение Authenticator, резервные коды.
  • Удалить и/или НЕ настраивать: восстановление телефона или электронной почты, подсказка Google, голосовое или текстовое сообщение
  • Распечатайте или напишите резервные коды. НЕ храните в менеджере паролей. НЕ хранить на компьютере.
  • Не включайте электронную почту для восстановления. Если там есть письмо для восстановления, удалите его.
  • Не включайте телефон восстановления. Если там есть телефон восстановления, удалите его.
  • Не включайте «Google Prompt»
  • Не включайте «Голосовое или текстовое сообщение»
  • В самом низу нажмите «Отозвать все» для «Устройств, которым вы доверяете»
  • Вернуться в https://myaccount.google.com/security
  • В разделе «Недавно использованные устройства» удалите все, что не является вашим основным телефоном и компьютером.
  • Вернуться в https://myaccount.google.com/security
  • Просмотрите раздел «Приложения с доступом к вашей учетной записи». Удалите все, что вы не используете активно.

Github: аудит приложений для проверки подлинности, включение 2FA

  • https://github.com/settings/applications
  • Аудит установки приложений Github = > Удалите все, что вы не используете активно.
  • Авторизованные приложения GitHub = > Удалите все, что вы не используете активно.
  • Авторизованные приложения OAuth = > Удалите все, что вы не используете активно.
  • 2FA через аппаратное устройство

Фейсбук

Некоторые из них являются лучшими практиками и связаны с конфиденциальностью, а не с безопасностью.

Обязательно сделайте! https://www.facebook.com/settings?tab=security

  • Включите параметр «Получать оповещения о нераспознанных учетных записях»
  • Измените пароль, если вы не делали этого раньше
  • Включите 2FA через Yubikey или Google Auth, если вы не делали этого раньше

Обязательно сделайте! https://www.facebook.com/settings?tab=privacy

  • Будущие посты: Друзья
  • Просмотр всех публикаций и вещей, в которых вы отмечены: На
  • Ограничение прошлых публикаций: Друзья
  • Кто может видеть ваш список друзей: Друзья
  • Кто может найти вас по электронной почте / номеру телефона: Друзья
  • Вы хотите поисковые системы…: НЕТ!

Обязательно сделайте! https://www.facebook.com/settings?tab=applications

  • Аудит списка, удаление всего устаревшего или не активно используемого.

Обязательно сделайте! Отключите вход с изображением профиля. Святое чертово дерьмо, какой кошмар безопасности, что «особенность».

Рекомендованный! Убедитесь, что «Доверенные контакты» были настроены намеренно

  • Эта функция позволяет вам восстановить доступ к своей учетной записи через доверенных друзей. Убедитесь, что вы используете эту функцию очень разумно.

Рекомендованный! Убедитесь, что «Legacy Contact» был настроен намеренно.

  • Точно так же вы можете передать учетную запись кому-то другому после увековечения памяти (если Facebook получит доказательство того, что вы умерли). Убедитесь, что он настроен тщательно.

Рекомендаця! https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen

  • Перейдите в раздел «Ваша информация» с зеленым значком. Выключите все переключатели
  • Перейдите в «Настройки рекламы» с синим значком. Выберите: НетНетНикто
  • Нажимайте X’s в разделе Ваши интересы и рекламодатели, пока вам не надоест

Рекомендаця! https://www.facebook.com/settings?tab=timeline

  • Кто может публиковать сообщения в вашей Хронике? Друзей
  • Кто может видеть, что другие публикуют в вашей Хронике? Друзей
  • Кто может видеть публикации, в которых вы отмечены в Своей Хронике? Друзей
  • Когда вы отмечены в публикации, кого вы хотите добавить в аудиторию Друзья
  • Кто видит предложения тегов при загрузке фотографий, которые выглядят так, как будто вы загружены? Никто
  • Просматривайте публикации, в которых вы отмечены, прежде чем публикация появится в вашей Хронике? На
  • Проверяйте теги, которые люди добавляют к вашим публикациям, прежде чем они появятся на Facebook? На

Dropbox / Облачное хранилище

Позвоните своему оператору сотовой связи

  • Сообщите им, что вы работаете в отрасли, в которой в последние месяцы было несколько взломов телефонных номеров. Вы обеспокоены их способностью защитить вас и думаете о переходе на другого перевозчика из-за этого риска.
  • Спросите их, какую защиту они предлагают.
  • Попросите их поставить заметку, требующую, чтобы вы были в магазине с вашим идентификатором фотографии, чтобы активировать новое устройство или портировать ваш номер.
  • Попросите поставить пин на счет.
  • Если у вас есть возможность, удалите себя как авторизованного пользователя (например, если вы находитесь на плане вашего родителя).
  • Если у вас есть опция, вставьте «DO NOT PORT!» и «DO NOT ACTIVATE NEW DEVICE OVER PHONE!!!» в любые поля, к которым у вас есть доступ (например, ваше поле «Имя телефона», «Компания» и т. Д.).
  • В любом случае, не используйте этот номер телефона для любого 2FA. Используйте совершенно новый голосовой номер Google, который никто не знает.

Шаг 6:

Переместите все средства, созданные с помощью онлайн-компьютера, в холодное хранилище.

  • Используйте аппаратный кошелек или компьютер с воздушным зазором + бумага.
  • Не храните средства на бирже.

Зарегистрируйтесь для https://keybase.io/

  • Проверьте несколько профилей. Установите приложение для телефона.
  • Поделитесь с другими людьми в команде.
  • Это может очень пригодиться в будущем, если что-то из вашего скомпрометировано, и нам нужно убедиться, что вы тот, за кого себя выдаете.
  • Это не окончательный источник истины, хотя и не обязательно по своей сути более надежный, чем телефонный звонок, видеочат, сообщение на других платформах и т. Д. Это просто еще один метод, который мы можем использовать, если возникнет необходимость.

Никогда не используйте общедоступный Wi-Fi

Погуглите себя

  • Удалить личную информацию, старые ссылки на форумы и т. Д.
  • Удаление профиля Facebook, проиндексированного Google, в настройках FB
  • Настройка оповещений поиска Google для ваших имен, общих имен пользователей и т. Д.: https://www.google.com/alerts

Посмотрите на себя на haveibeenpwned.com

  • Для всего, что было обработано, убедитесь, что вы не используете один и тот же пароль
  • Измените конкретно *этот* пароль
  • Если другие данные нарушены (например, адрес, номер телефона или контрольные вопросы), убедитесь, что данные не дают никому доступа к учетной записи (например, не защищайте свой онлайн-банкинг с помощью секретного вопроса, который был обнаружен во время взлома Adobe).
  • Подумайте о том, чтобы создать новый общий адрес электронной почты, чтобы отключиться от прошлых нарушений.

Если вы не используете Chrome, установите и используйте Chrome с данного момента.

Добавьте свои сайты в закладки.

  • Используйте только эти закладки. Не переходите по ссылкам. Не доверяйте электронной почте. Не доверяйте ссылкам в электронных письмах. Не доверяйте вложениям в сообщениях электронной почты.

Если вы когда-нибудь столкнетесь с вредоносным крипто-сайтом, который не заблокирован, немедленно сообщите об этом https://etherscamdb.info/

Установка блокировщика рекламы

Зашифруйте свой ноутбук, потому что он может быть потерян или украден.

Не оставляйте ноутбук, ключи, USB, телефоны без присмотра, даже на мгновение.

Не путешествуйте на крипто-конференции с ноутбуками, ключами, USB, телефонами, на которых есть все ваши секреты.

Не храните суперсекретные вещи на ноутбуке.

Всегда проверяйте коммиты github на наличие секретов перед совершением.

  • Никогда не размещайте ключи, файлы хранилища ключей, ключи ssh, секреты, пароли, коды доступа, маркеры аутентификации или что-либо еще в любой папке, которую вы будете фиксировать на Github. Когда-либо.
  • Не размещайте ничего секретного в самом коде.
  • Не жестко кодируйте это дерьмо.
  • Не жестко кодируйте его «только для тестирования».
  • Не жестко кодируйте его и скажите себе, что вы не забудете удалить его позже.

Убедитесь, что вы являетесь частью внутренних каналов безопасности.

  • Если нет, попросите кого-нибудь в команде добавить вас.

Источник