作者wtl (比特鲸)
看板DigiCurrency
标题Re: [求救]不确定FTX钱是否被盗走了
时间Sun Dec 12 14:37:05 2021
说一下我平常的用法,希望能减少这类事情的发生
1. KeePass 密码管理软体
现在那麽多网站需要帐号密码,有软体能帮忙其实是更简单安全
软体的好处在於每个网站都可以设不同的密码,提升安全性
而且软体有热键可以帮你输入帐户密码,很方便也不用担心被侧录
通常侧录是纪录你键盘打字,只会纪录到热键
里面也可以设网址,通常我都是先开KeePass,点网址->热键登入帐户密码->2fa登入
软体还可以记其他的像ftx提款密码或是网站忘记密码的提示问题或是提款卡密码之类的
现代人要设的密码太多了,需要密码管理软体来帮你
2. yubikey
算是一种硬体2fa,有这个就不用担心钓鱼网站。需要有硬体才有办法登入
目前三个交易所心得 ftx/bitfinex/币安
ftx最烂,原因是只支援一个yubikey,所以我没用。硬体2fa就是怕搞丢,只能设一个是?
像bitfinex就不错,我设了三个。两个yubikey跟一个ledger nano s。
Ledger跟Trezor都可以拿来当硬体2fa,不过我只有ledger
3. 提款密码/白名单地址
这个我都会设,有KeePass再多组密码都不用怕。白名单更是要设,就算小偷能进去,币
也转不出去。
现在一堆新人进入币圈,最重要的是保护好你的币。毕竟不是银行,不管是冷钱包或交易
所,钱被盗了就很难追回。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.227.187.59 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1639291027.A.00F.html
1F:推 yyhsiu: 推 12/12 14:50
2F:→ sunsand: 推 不过苦主的问题是被钓鱼了 做到这些都没用就是了 12/12 14:53
3F:→ sunsand: 投资加密货币最好别怕麻烦 所有麻烦事都要用上最安全 12/12 14:54
4F:→ sunsand: 他最大防线的2FA也是被他登入时就输入 所以用啥都没用 12/12 14:55
5F:推 seal46825: 像那种钓鱼网站是不是随便输入帐密都能登入 那每次第一 12/12 15:18
6F:→ seal46825: 次登入故意打错帐密 确认无法登入後再输入真的 应该能 12/12 15:18
7F:→ seal46825: 避免这个问题? 12/12 15:18
8F:→ sunsand: 这不一定 他用robot会用你帐号同时登入FTX 所以在圈圈转 12/12 15:22
9F:→ sunsand: 转转的时候 其实他也同步测试帐号正确否 不一定会成功 12/12 15:22
10F:→ sunsand: 除非你认真去算每次圈圈转多久 XD..... 12/12 15:23
11F:推 seal46825: 哇操 对欸还有这招 做到这样也是蛮猛 12/12 15:23
12F:→ sunsand: 其实这招也有一个简单的破解之道,我自己常用就是我的 12/12 15:28
13F:→ sunsand: 2fa通常只在最後5-10秒才输入 这可以避开不小心钓鱼问题 12/12 15:29
14F:推 doom3: 交易所弄个登入过一分钟才能提现不就好了== 12/12 15:32
15F:→ doom3: 或是提现要信箱二次确认都可以吧 12/12 15:33
16F:推 fiegger: 推 12/12 16:16
17F:推 stlinman: 推,2fa有些网站的机制还有容许时间差要注意!不一定压哨 12/12 16:21
18F:→ stlinman: 一定有用! 12/12 16:21
19F:推 Rasin: 我觉得FTX提领设定太简单了 登入+2FA就可以领了 12/12 17:01
20F:推 penny1369: FTX提现都有email通知的说 12/12 17:02
21F:→ penny1369: 但通知完大约一分钟後就转成功罗 12/12 17:02
22F:→ penny1369: 要时时注意自己的信箱? 12/12 17:03
23F:→ Rasin: 最好信箱验证+2FA+SMS 12/12 17:05
24F:→ Rasin: 所以假网站只要一拿到2FA危险系数就很高 12/12 17:08
25F:推 Rasin: 其它又要多花钱弄到後面管理会很烦... 12/12 17:21
26F:推 Thoris: 像上面说的 简讯用一个旧手机申请独立门号(和平常生活用 12/12 17:30
27F:→ Thoris: 的不同)这样就蛮安全了 12/12 17:30
28F:→ Thoris: 要转帐需要你的帐密密码 email 还要同时骇入两只手机 12/12 17:31
29F:推 Rasin: 电脑手机硬碟一定要设密码不要设0000 有心人拿到你硬碟 12/12 17:40
30F:→ Rasin: 可以复原浏览里面档案就算删除也一样 换手机硬碟砸烂再丢 12/12 17:42
31F:→ Rasin: SMS 2FA 信箱分开个装置贮存 至少做到你家遭小偷都不会被盗 12/12 17:43
32F:推 TellthEtRee: 谢谢分享 12/12 17:44
33F:→ Rasin: 看FTX之後会不会增加多道验证 不然钓鱼只要2FA跟帐密太好盗 12/12 17:47
34F:推 www10177: 其实钓鱼应该用密码管理器就可以躲掉了? 12/12 17:58
35F:→ www10177: 发现密码管理器没帮你自动填入的时候就代表domain怪怪的 12/12 17:58
36F:→ www10177: 要留意了 12/12 17:58
37F:推 Rasin: 勿忘陈冠C 12/12 18:16
38F:推 seal46825: 密码管理器本身不怕被骇吗 12/12 18:31
39F:推 penny1369: 原po应该是被google广告导到这个网站 12/12 18:58
41F:→ penny1369: 这个连结刚好位於广告和非广告之间 12/12 18:59
42F:→ penny1369: 是钓鱼 12/12 18:59
43F:推 Thoris: 密码管理器比较像是一个放密码的保险箱 唯一的保护就是保 12/12 20:11
44F:→ Thoris: 险箱的masterkey 12/12 20:11
45F:→ Thoris: masterkey至少要有20位元同时不该存在你脑袋以外的任何地 12/12 20:11
46F:→ Thoris: 方 12/12 20:11
47F:→ Thoris: masterkey 唯一的用途就是打开那个保险箱 保险箱最好是设 12/12 20:13
48F:→ Thoris: 定成每次打开30秒後会自动关闭 12/12 20:13
49F:→ Thoris: 骇客复制你的保险箱没有意义 他要用社交工程取得你脑袋里 12/12 20:14
50F:→ Thoris: 的masterkey 12/12 20:14
51F:推 sazabijiang: 好奇如果是电脑键盘被侧录,也能防御吗? 12/12 20:27
52F:推 penny1369: 这样不会是2FA的server被骇吧? 12/12 20:28
53F:→ wtl: 自动输入应该无法被侧录 keepass有很多设定 不只是密码还可 12/12 21:34
54F:→ wtl: 以设金钥档 密码+金钥档才可以打开 我是设密码+yubikey 12/12 21:37
55F:推 mithuang: 不用等最後5-10秒才输入啦...基本上一组30秒的数字,只能 12/13 00:23
56F:→ mithuang: 用在一个操作,例如你登入之後马上提现,两个都要2FA,就算 12/13 00:23
57F:→ mithuang: 你能在30秒内把两个操作完成,你第二次使用相同的2FA也会 12/13 00:23
58F:→ mithuang: 变无效,这是很基本的防弊机制 12/13 00:23
59F:推 Souseasou3: 推最後一段 12/13 08:46
60F:推 wchang: ftx有提领密码啊,还是原po提领密码跟登入密码设一样的? 12/13 12:30
61F:→ wchang: 中钓鱼网站,也不会要你输入提领密码 12/13 12:31