19 tipp a Ledger BIZTONSÁGOS használatához

Ma ismét paranoid módba kapcsolunk, és bemutatjuk, hogyan tudod biztonságban használni a Ledger eszközeidet! Ez a cikk kifejezetten arról szól, hogyan ne szívd meg hogy véletlenül elveszítsd / ellopják az összes kriptovalutádat - emellett pedig feltételeztük hogy tudod, hogyan működik az egész. Ha mégsem, akkor ajánljuk a Ledger hardvertárcák működése c. írásunkat.

Ledger Live alkalmazás telepítése

Ha szeretnénk mindjárt az elején ellopatni a kriptónkat, jó tipp hogy töltsük le az első Ledger Live alkalmazást, ami szembejön. Több precedens volt rá, hogy egyes keresőkben a legfelső Ledger-es találat csaló oldalra vitt, és egy, a Ledger Live-val megegyezően kinéző, hamis alkalmazást töltetett le. Hasonlóképp, Google Play áruházba is került már be hamis Ledger verzió, amit nem kevés ember meg is szívott, szóval mobil esetében mindig ellenőrizzük a publikáló céget, ami a Ledger Llc kell hogy legyen. Minden más esetben ne töltsük le az alkalmazást!

Most pedig a számítógépes változatra fogunk fókuszálni, ahol nagyobb veszélynek vagyunk kitéve. Ehhez egy korrekt telepítési folyamat így néz ki:

1. tipp: Mobilinternetet használunk lehetőség szerint (így kompletten megelőzve a wifi biztonsághoz kapcsolódó 50 féle másik problémát)

2. tipp: Kézzel írjuk be a ledger.com oldalt

3. tipp: Használjunk biztonságos gépet - azaz olyan gépet, amin lehetőleg nem járkál ki-be több ember, nincsenek rendszergazdai jogai a főnöködnek, nincsenek rajta megnyitva random portok, nincsen feltelepítve 400 alkalmazás teljeskörű jogokkal. A legjobb választás a Mac, és ebben semmi szponzorált promóció vagy ideológia nincs, szimpán az alkalmazások jogosultság-szeparációja miatt biztonságosabb mint egy Windows gép

4. Látogassunk el erre az oldalra inkognitó módban: https://www.ledger.com/ledger-live/lld-signatures

5. Telepítsük a .dmg (vagy Windows esetén az .exe) fájlt a gépre

6. Az alábbi terminál (vagy Windows esetén Konzol) paranccsal futtassunk egy checksum számítást: shasum -a 512 ledger-live-desktop-2.111.0-mac.dmg (A parancsban cseréljük ki a fájlnevet a letöltött fájl nevére / elérési útjára)

7. A fenti linken ellenőrizzük hogy a terminálban megjelenő számsorozat megegyezik-e a Ledger által publikált valamelyik számsorozattal.

8. Ezután pedig keressünk rá direktben a számsorozatra, és próbáljuk meg a hitelességét ellenőrizni más forrásokból is (github, reddit, stb.). Erre azért van szükség, mert eddig nem győződtünk meg róla hogy a ledger.com alatt az eredeti oldal tölt be. (Poisoning támadások tipikusan nyílt wifin, megváltozott hosts fájl, rosszindulatú tanúsítvány-szolgáltató, böngésző / plugin biztonsági rések, és még millió féleképpen lehetséges hogy kamu oldalt láss, ezekbe részletesen nem megyek bele, de alapvetően ezért csináljuk)

Amit az előbb véghezvittünk, azt integritás-ellenőrzésnek hívják, és arról győződtünk meg hogy a hálózati adatátvitel során nem lett machinálva a Ledger alkalmazás, és az eredeti alkalmazásunk van meg.

Ledger eszköz csatlakoztatása

9. tipp: Soha ne használjunk Bluetooth kapcsolatot, akkor sem ha az eszköz támogatja! Ennek fő oka, hogy nem akarjuk a 20 szomszédunknak reklámozni, hogy otthon egy Ledger eszközzel rendelkezünk. (Igen, az eszköz helye pár méterre pontosan meghatározható néhány méréssel)

10. tipp: Csatlakoztassuk az eszközt eredeti kábellel! Nagyobb teljesítményű / nem kompatibilis kábel esetén történhet úgynevezett E7 incidens, ami feltölthetetlenné teszi a mélymerülésben lévő Ledger eszközt, így az akár használhatatlanná is válhat. Részletek itt: https://ledger.com/e7

11. tipp: Ha lemerült az eszközünk (ami teljesen tipikus, ugyanis egy hardvereszközt nem szokás minden nap használni), várjunk vele néhány percet különösen mielőtt alkalmazásfrissítést vagy firmware-t szeretnénk telepíteni, ugyanis az eszköz használhatatlanná válhat.

Tranzakció (kiutalás) Ledger tárcából

Avagy pár biztonsági tipp ha pénzt akarsz kiküldeni valahova.

12. tipp: Látogass el a kriptótőzsdéd oldalára, hasonlóan mobilinternet kapcsolattal, lehetőleg inkognitó módban hogy hatástalanítsd a rosszindulatú bővítményeket, és a befizetés menüben derítsd ki hogy milyen tárcacímre kell utalnod a kriptovalutát

13. tipp: Győződj meg arról hogy a megfelelő blokkláncon küldöd a kriptovalutát (különben akár elvesztheted a teljes összeget, vagy végig kell menned néhány vérnyomásnövelő supportos körön hogy visszaszerezd)

14. tipp: Másold ki a címet és másold be a Ledger Live alkalmazásba (Send menü).

15. tipp: Ezután keress rá Ledger Live alkalmazásba beillesztett címre a kriptótőzsde oldalán. Fontos, hogy még egyszer ki kell másolni, és a Ledger alkalmazásból kell kimásolni. Ezt azért csináljuk, mert gyakoriak azok a támadások, amiknél 1-2 karaktert megváltoztatva a címben csaló tárcákat állítanak elő - a két típusa a copypaste vírus (felülírja a vágólapot), vagy a history poisoning (nagyon hasonló címről küldenek neked valamit, és emberi hibából rossz címet másolsz ki)

16. tipp: Utalj ki próbaképp egy kis összeget! Ellenőrizd az összeget a hardvereszközön jóváhagyás előtt, ugyanúgy betűről betűre a címet. Ha bármi félremegy, itt még mindig csak egy kis részt kockáztatunk.

17. tipp: Ha átment az utalás, utald ki egyben vagy részletekben a nagyobb összeget

18. tipp: A Ledger Live-ban kapott tranzakciós ID alapán ellenőrizd blokklánc explorer oldalakon hogy rendben átment a tranzakció (blockchair.com, etherscan.org, stb.)

Végül az utolsó, 19. tipp a Ledger használatához: töröld le az összes alkalmazást amit nem használsz! Minden telepített alkalmazás egy plusz rétegnyi biztonsági kockázat. A Ledger alkalmazások egy részét nem a Ledger, hanem átlagos mezei felhasználók fejlesztik, és a Ledger nem vállal garanciát a működésükért.