Что 10 миллионов долларов ежедневных краж говорят нам о криптобезопасности

June 2nd, 2021 Журнал «Предприниматель»

Эндрю Шикиар
Автор

Эндрю Шикиар – исполнительный директор и директор по маркетингу FIDO Alliance.

Если вы относитесь к растущему числу людей, интересующихся криптовалютами, вам может быть интересно узнать, что почти 7000 человек потеряли более 80 миллионов долларов в период с октября 2020 года по март 2021 года – на 1000% больше, чем год назад, согласно данным Федеральная торговая комиссия.

Мошенничество включает поддельные обмены валюты и поддельные «инвестиционные» веб-сайты, продающие валюту. Совсем недавно было украдено более 10 миллионов долларов в различных криптовалютах в дни, предшествовавшие появлению Илона Маска в шоу «Субботним вечером в прямом эфире».

И вот в чем загвоздка: у вас нет возможности защитить свои счета от кражи. В мире криптовалюты нет никаких гарантий. В отличие от традиционного банковского мира, Федеральной корпорации по страхованию вкладов нет эквивалента для покрытия любых убытков на вашем счете. Если ваши активы украдут, вам не повезло.

По данным Федеральной торговой комиссии, с октября 2020 года по март 2021 года около 7000 человек потеряли более 80 миллионов долларов, что на 1000% больше, чем год назад.

Обеспечение безопасного доступа к этим криптовалютным активам абсолютно необходимо для предотвращения кражи, которая на конец 2020 года составляла чуть более 10 миллионов долларов в день, и / или блокировки своего потенциального состояния.

Но как это можно сделать. вы гарантируете, что люди всегда могут получить доступ к своим аккаунтам? Это зависит от того, как изначально настроены учетные записи, что обычно означает использование паролей или другой проверки подлинности, основанной на знаниях (KBA). К сожалению, пароли просто не подходят для защиты ценных учетных записей, потому что они могут быть легко взломаны с помощью фишинговых атак или прямой кражи.

Кроме того, если у вас есть менее используемый кошелек для криптовалюты, вы можете забыть свой первоначальный пароль и могут возникнуть проблемы с его восстановлением – если есть даже механизм для выполнения восстановления. KBA также страдает от проблем, начиная от отсутствия воспоминаний (опять же, какое мое любимое хобби?) До широкой доступности «личной» информации в сети (за несколько долларов вы наверняка сможете найти девичью фамилию моей матери). [19659012] Переход криптографической компании к Data 3.0

Поглощения криптовалютных счетов происходят все чаще; не помогает то, что существует несколько заранее установленных доверительных отношений между пользователями и провайдером биржи или кошелька, и что почти все транзакции завершаются в течение нескольких минут и их нелегко отменить.

К сожалению, эти поглощения используют очень похожую схему это наблюдается в течение многих лет в традиционном банковском мире: злоумышленник сначала попытается собрать, а затем скопировать украденные учетные данные. Если это не сработает – скажем, пользователь защитил свою учетную запись, потребовав второго фактора SMS, – они перейдут к популярным методам преодоления SMS, таким как замена SIM-карты или услуга ретрансляции SMS за 16 долларов, которая отправляет этот код SMS злоумышленнику. смартфон, что приводит к «успешному» захвату учетной записи.

Даже высокозащищенные токены или специализированные приложения-аутентификаторы уязвимы для повторных атак со стороны мотивированного хакера – а когда на кону личные состояния, недостатка в мотивации нет.

Кроме того, значительный рост числа пользователей обмена криптовалютами в сочетании с этой необходимостью в сильной кибербезопасности привел к ужасному опыту поддержки, когда пользователям приходится ждать недели или даже месяцы, чтобы восстановить доступ к своим собственным учетным записям – просто потому, что это так сложно для им, чтобы доказать, что они являются законными владельцами.

Передовые методы аутентификации могут помочь

Итак, как нам исправить эту ситуацию? Благодаря стандартной аутентификации пользователей, которая доказала свою устойчивость к фишингу и захвату учетных записей, она уже встроена в миллиарды устройств по всему миру и доступна практически любому пользователю в современном браузере. Протоколы аутентификации FIDO (Fast IDentity Online) были разработаны специалистами в области ИТ, платежей и потребительских услуг и гарантируют, что все криптографические учетные данные хранятся на устройстве пользователя, тем самым устраняя даже самые продвинутые атаки типа «машина в середине».

Криптобиржа Gemini была одним из первых пользователей FIDO как для своего приложения для смартфонов, так и для пользователей браузеров, при этом растущий процент пользователей защищал свои учетные записи с помощью аутентификации FIDO, приобретая ключи безопасности, сертифицированные FIDO. Был ряд других бирж, которые добавили аутентификацию FIDO, например Coinbase, которая также поддерживает ключи FIDO. У Binance есть FIDO для своих веб-версий, но пока нет в приложениях для смартфонов. Кроме того, STEX поддерживает различные устройства и методы FIDO. Наконец, аппаратные кошельки Ledger поддерживают FIDO непосредственно на своих устройствах.

В идеале было бы лучше и эффективнее, если бы индустрия криптовалюты приняла подход FIDO к современной аутентификации и несколько соответствующих передовых практик, таких как:

• ] Стандартизируйте потоки и методы аутентификации на криптобиржах . Лучшая аутентификация пользователей должна быть стандартной практикой для каждого обмена, а не конкурентным преимуществом. Если все ведущие биржи перейдут на лучшие отраслевые практики для создания учетных записей, входа в систему и восстановления, это поможет защитить клиентов и их совокупные криптоактивы.

• Требовать от пользователей регистрации нескольких аутентификаторов, чтобы помочь с восстановлением учетной записи для каждой криптовалютной биржи , будь то два ключа безопасности FIDO или ключ безопасности FIDO и биометрический аутентификатор. Наличие нескольких ключей восстановления учетной записи для каждого обмена криптовалютой поможет снизить нагрузку на поддержку и поможет пользователям, потерявшим устройство. Он также предложит пользователям выбор более строгих параметров аутентификации.

• Устранение менее безопасных вариантов резервного копирования и восстановления, таких как использование SMS или других факторов аутентификации, основанных на знаниях, также поможет повысить общую безопасность, особенно для восстановления учетной записи.

Суть в том, что для того, чтобы рынок криптовалюты полностью раскрыл свой потенциал, его биржам необходимо коллективно найти баланс между анонимностью и конфиденциальностью, который делает криптовалюту уникальной с безопасностью учетных записей и активов. Следование примеру криптобирж, таких как Gemini, и разрешение пользователям блокировать свои учетные записи – отличный шаг на пути к защите пользователей от фишинга и захватов учетных записей при сохранении конфиденциальности и удобства.

Эндрю Шикиар – директор по маркетингу и исполнительный директор The FIDO Alliance. , который способствует разработке, использованию и соблюдению стандартов аутентификации и аттестации устройств.