Статті Верифікація та безпека

Використання фізичних ключів безпеки, як фактор захисту криптовалютних бірж та інших облікових записів

З кожним роком криптовалютні біржі та децентралізовані додатки стають все більш популярними, залучаючи сотні тисяч нових користувачів, які бажають інвестувати у цифрові активи. Проте, разом з цим зростає і кількість кіберзлочинів, спрямованих на викрадення криптовалюти. Захист акаунтів користувачів стає критично важливою задачею, і одним із найбільш ефективних методів є використання двофакторної автентифікації (2FA).

Однак, традиційні методи 2FA, такі як SMS-коди та підтвердження через електронну пошту, мають свої вразливості. У цій статті ми розглянемо використання фізичних ключів безпеки як найбільш надійного варіанту підтвердження дій на прикладі таких криптовалютних бірж: Binance, OKX, WhiteBit. Розповімо про протоколи безпеки, який інтегрували собі ці компанії, щоб ми змогли використовувати фізичні ключі. Розглянемо шлях вразливості від вашого децентралізованого додатка на телефоні чи комп’ютера, до Google аккаунту чи Apple ID.

Але спочатку розповімо про останню велику Bitcoin конференцію в Нешвілл США, яка пройшла з 25-27 липня 2024 року. А точніше, про виступ представників двох схожих і в той самий час дуже різних продуктів – CASA та LEDGER.

Першими виступав представник компанії CASA. Casa.io  – це додаток для криптовалют, який дозволяє вам самостійно керувати своїми цифровими активами. Аналог гарячого гаманця, який має велику безпекову надійність. Так ось, основною новиною презентації було інтегрування можливості підпису транзакцій ключами безпеки Yubikey! «Всі можливості гарячих гаманців тепер захищені фізичним підписом вашого Ключа Безпеки» – казав представник компанії, демонструючи відео як проходить підтвердження, транслюючи картинку де ключ був відображений посередині між холодним та гарячим зберіганням.

Назвавши його “Cool Wallet”, сміючись, що такий спосіб поєднання можна назвати “прохолодний”.

Ledger презентував новий криптогаманець Ledger Flex з сенсорним захищеним екраном, який дає можливість повністю бачити ваші транзакції, відображає ваші NFT як при роботі, так і в режимі очікування. А в кінці презентації зазначили: «Ми добре знаємо вашу любов до бірж, як любите ви їх використовувати, як дорожите своїми акаунтами, тому ми подбали про вас. Нова функція Security key в Ledger»!

Насамперед цю функцію додали на всі Ledger, останні ж пристрої Stax та Flex мають NFC (як і більшість ключі безпеки Yubico), тому використання їх з мобільними пристроями чи комп’ютерами з цією технологією є зручнішим ніж через кабель.

Тож, роблячи висновок можемо зазначити що використання ключів безпеки стає буденністю, тому давайте детальніше розгорнемо цю тему.

Швидко пригадаємо, що таке двофакторна автентифікація?

Двофакторна автентифікація (2FA) — це метод захисту, який вимагає від користувача два види підтвердження його особи для входу в акаунт або виконання важливих дій (до прикладу, виведення коштів). Найчастіше це поєднання “чогось, що ви знаєте” (пароль) і “чогось, що ви маєте” (фізичний ключ або мобільний пристрій).

Численні випадки крадіжок криптовалюти підтверджують вразливість використання простих методів автентифікації. Наприклад, багато користувачів стикалися з ситуацією, коли їх кошти зникали з акаунтів на біржах. Під час розслідування від підтримки біржі з’ясувалося, що з акаунту було підтверджено виведення коштів через 2FA, коди якого надсилалися на електронну пошту або телефон. Відповідь та вердикт від працівників: вразливість була на боці користувача. Це вказує на те, що зловмисники змогли перехопити ці коди та здійснити крадіжку. Ще більш загадковими є крадіжки з підтвердженням від passkey з ваших пристроїв apple чи google, чи інших додатків автентифікаторів.

Як відбувається злам?

1. SIM-крадіжка (SIM-swapping): зловмисники можуть переконати мобільного оператора перевипустити SIM-карту, що дозволить їм отримувати всі SMS з кодами 2FA.
2. Фішингові атаки: користувачів можуть обманом змусити розкрити свої коди підтвердження через підроблені сайти або електронні листи.
3. Злом електронної пошти: якщо електронна пошта користувача зламана, зловмисники можуть отримати доступ до кодів підтвердження, що надсилаються туди.
4. Злом вашого Google чи Apple ID: це може відбутись через ту ж саму електронну пошту, або через вірусні програми в вашому комп’ютері чи смартфоні.

Фізичні ключі безпеки як надійний метод 2FA

Фізичні ключі безпеки, такі як YubiKey, становлять собою більш безпечний варіант 2FA. Вони працюють за протоколами U2F (Universal 2nd Factor) або FIDO2, які забезпечують високий рівень захисту. Найбільш значною різницею між ними є те, що перший був створений для того, щоб дозволити усій автентифікації стати безпарольною. Натомість FIDO U2F призначений служити як другий фактор для паролів. Ці протоколи інтегровані в популярні програми, додатки та навіть цілі системи на кшталт Microsoft, Google та Apple.

Основні переваги від використання фізичних ключів безпеки:

1. Захист від фішингу: фізичні ключі безпеки автентифікують користувача безпосередньо з вебсайтом, що унеможливлює перехоплення коду фішинговими сайтами.
2. Захист від зломів: на відміну від кодів, що надсилаються на електронну пошту або телефон, фізичний ключ неможливо перехопити дистанційно. Кожен ключ індивідуальний та містить окремий код, це перешкоджає відкриттю вашого акаунту іншим ключем. Плюс, на ключ встановлюється PIN code, який захистить власника на випадок крадіжки (після втрати треба швидко відв’язати старий ключ через запасний, на випадок підбору пін-коду).
3. Зручність: Фізичний ключ достатньо підключити до USB-порту або використати NFC, щоб підтвердити свою особу. Малий розмір дає змогу непримітно носити з собою. А у випадку ключів фірми Yubico, це ще ударостійкість та захист від пилу і води IP68.

Використання фізичних ключів на прикладі деяких популярних в Україні криптовалютних бірж:

Binance

Binance активно рекомендує використання фізичних ключів безпеки. Ось що вони пишуть про це у Блозі та Академії:

«Сайт Binance, як на комп’ютері/ноутбуці, так і на мобільному пристрої, тепер підтримує стандарт відкритої аутентифікації FIDO2. Це означає, що пристрої 2FA, що підтримують даний стандарт, такі як YubiKey, Trezor і інші, можуть використовуватися в якості ключів безпеки для акаунтів Binance. До тих пір, поки у вас є ключі безпеки на вашому пристрої, ви можете користуватися цією функцією.»

Як і в більшості випадків, ці налаштування знаходяться в розділі Безпека.

 Детальне відео підключення ключів безпеки до акаунту на Binance

WhiteBit, також підтримує фізичні ключі безпеки як додатковий фактор автентифікації. Користувачі можуть налаштувати ключ через розділ безпеки в налаштуваннях акаунту:

1)    Увійдіть у ваш обліковий запис WhiteBIT і перейдіть у розділ “Налаштування облікового запису” та “Безпека”;

2)    Виберіть секцію “Двофакторна аутентифікація”, натиснувши на кнопку “Редагувати”;

3)    Натисніть на “Керування ключами доступу“, а потім “Продовжити”;

4)    Зареєструйте ключ доступу, вибравши один із способів для автентифікації;

5)    Підтвердіть ключ доступу за допомогою обраного вами способу.

Відеоогляд

OKX, одна з провідних криптовалютних бірж світу, підтримує фізичні ключі безпеки, що значно підвищує безпеку її користувачів.

Як і у більшості випадків, всі налаштування проходять в розділі Безпека Акаунту.

Відео Огляд

Рекомендації щодо використання фізичних ключів безпеки

Для максимального захисту рекомендується використовувати фізичні ключі безпеки як єдиний метод автентифікації при вході та виведенні криптовалюти. Це можливо налаштувати в розширених налаштуваннях Безпеки, нижче приклад з біржі Binance, де ми вмикаємо Використання ключів для важливих сценаріїв, таких як зняття коштів, вхід на нових пристроях та інше.

Окрім того, бажано мати мінімум два ключі: один використовувати постійно, а інший зберігати в безпечному місці на випадок, якщо з першим щось станеться.

Фізичні ключі безпеки пропонують найвищий рівень захисту для ваших акаунтів на криптовалютних біржах, значно знижуючи ризики зломів та крадіжок. Використання таких ключів у поєднанні з іншими заходами безпеки на кшталт білий список адрес (ви заздалегідь вносите адреси на які можете виводити кошти), парольні додаткові фрази під час виводу та інше,  дозволяють вам  надійно захистити ваші цифрові активи та уникнути небажаних втрат.

Додатковий захист ваших децентралізованих додатків та гарячих гаманців через захист системних облікових записів по типу Google Account чи Apple ID.

Якщо у більшості випадків додавання фізичних ключів безпеки інтегровано в розділ безпеки централізованих бірж, то у випадку децентралізованих додатків по типу Trust Wallet, Uniswap, 1inch, PancakeSwap та інших, такий варіант захисту поки не використовується, але як ви мали можливість прочитати про CASA, додатки почали брати це до уваги. Розглянемо варіант без ключів: ви реєструєтесь підв’язуючи електронну пошту, чи просто вигадуєте логін та пароль, або взагалі, під’єднуєте свої холодні чи гарячі гаманці не маючи ніяких акаунтів використовуючи їх як швидкий обмін. У такому випадку весь захист залежить від захисту вашої операційної системи та захищеності облікового запису.

Додатки можуть використовувати підтвердження входу через Паролі Passkey, наприклад, в iCloud (FaceID), чи підключення через Google Account та перевіркою пошти, у такому випадку ви стаєте заручником безпеки вашого акаунту. Злом останнього може призвести до допуску шахраїв на вашу пошту, до сховища паролів. З вашого ID злочинники можуть заходити в додатки та підтверджувати дії там, де вистачає лише вашого девайса чи пошти. На цей випадок, вам знов знадобляться фізичні ключі безпеки, їх можна додати як двофакторну автентифікацію, наприклад в Google Аccount (зробивши єдиним способом входу), та обов’язковим автентифікатором при відкритті Apple ID на іншому пристрої. Таким чином ви закриєте можливості вкрасти ваші кошти через злом акаунтів.

Приклад додавання фізичних ключів безпеки:

Тож, основні поради з цієї теми:


1.Використовуйте фізичні ключі на Криптовалютних біржах. Робіть такі ключі єдиним фактором для входу на акаунт та підтвердження транзакцій.
2. Зберігайте запасний ключ. Завжди треба мати мінімум два ключі, один використовувати, а інший зберігати у безпечному місці на випадок втрати або пошкодження першого ключа, якщо ви робите ключ єдиним фактором входу.
3. Регулярно оновлюйте налаштування безпеки.  Перевіряйте налаштування безпеки на біржах та вмикайте всі доступні функції захисту. Перевіряйте в налаштуваннях які пристрої мають доступ до ваших програм та додатків.
4. Захистіть ключами безпеки свої основні акаунти, по типу Apple ID та Google. Використовуйте фізичні ключі безпеки у зв’язці з криптовалютними додатками по типу CASA та інших, для безпечних транзакцій та зберігання криптовалют, звісно з тими програмами, які вже інтегрували ці протоколи для можливості їх додавання.