Livro 101 - Parte 3: Práticas recomendadas ao usar uma carteira de hardware

As parcelas anteriores da série Ledger 101 mostraram a necessidade de usar uma carteira de hardware, bem como a importância do uso de chips seguros para construí-las.

As carteiras de hardware capacitam você com a propriedade e o controle de seus ativos de criptografia. Mas com grandes poderes vêm grandes responsabilidades: ser seu próprio banco certamente não é trivial e requer disciplina. O uso de uma carteira de hardware não o torna invencível contra engenharia social, ameaças físicas ou erros humanos. Você sempre deve usar o bom senso e aplicar princípios básicos de segurança.

Existem cinco regras de ouro básicas

  • Nunca compartilhe sua frase de recuperação de 24 palavras, de qualquer forma, com ninguém.
  • Nunca armazene sua frase de recuperação em um computador ou smartphone.
  • Mantenha sua folha de recuperação fisicamente segura para garantir que você não a perca ou destrua por acidente.
  • Confie apenas no que pode ver na tela da carteira de hardware. Verifique seu endereço de recebimento e informações de pagamento no seu dispositivo.
  • Sempre trate as informações exibidas na tela do computador ou smartphone com cuidado. Suponha que o software possa ser comprometido a qualquer momento.

A frase de recuperação de 24 palavras

Ao inicializar sua carteira de hardware pela primeira vez, você será solicitado a escrever 24 palavras em uma planilha de recuperação. Essas 24 palavras são chamadas de frase de recuperação e são um backup legível por humanos, do qual todas as suas chaves privadas são derivadas. Eles são usados ​​para restaurar o acesso aos seus ativos de criptografia em outro dispositivo Ledger ou em qualquer outra carteira compatível.

Folha de recuperação do razão contendo a frase de recuperação de 24 palavras

Princípios gerais de segurança

Há dois motivos básicos pelos quais você precisaria acessar sua frase de recuperação:

  • Perda ou destruição de sua carteira de hardware: você pode inserir sua frase de recuperação em um novo dispositivo para recuperar o acesso total aos seus ativos de criptografia;
  • Clonagem para um novo dispositivo: digitando suas 24 palavras em outro dispositivo, você estará em posse de duas carteiras de hardware que podem ser usadas independentemente. Por exemplo, um no escritório e outro em sua casa, impedindo que você precise transportá-lo o tempo todo. Outro motivo para clonar um dispositivo seria ao atualizar para um modelo mais recente.

Como você pode deduzir facilmente disso, qualquer pessoa que tenha acesso a essas 24 palavras terá acesso imediato aos seus ativos de criptografia. O código PIN da carteira de hardware é uma proteção relacionada apenas ao seu dispositivo e é totalmente desnecessário para a recuperação de chaves privadas.

Portanto, é da maior importância que sua fase de recuperação esteja corretamente protegida. Qualquer compromisso, a qualquer momento, pode levar a perdas catastróficas;

  • Nunca tire uma foto da sua folha de recuperação. Seu smartphone não é seguro e, pior ainda, pode ser carregado automaticamente no seu armazenamento em nuvem;
  • Nunca insira sua frase de recuperação em nenhum computador ou smartphone: você pode ter keyloggers e armazenar essas informações on-line (mesmo criptografadas) anula completamente a finalidade de usar uma carteira de hardware;
  • Nunca mostre ou compartilhe suas 24 palavras com ninguém (incluindo amigos e familiares). Se você decidir compartilhar, esteja ciente de que eles têm acesso potencial a todos os seus ativos de criptografia, a qualquer momento e sem uma maneira fácil de revogar o acesso;
  • Mantenha sua folha de recuperação em um local seguro, protegido da luz solar, umidade e fogo. Se ele for destruído por qualquer motivo, você deve mover imediatamente sua criptografia para uma carteira de hardware recém-criada;

Além disso, é fundamental verificar se você gerou a frase de recuperação de 24 palavras. Nunca, nunca, use um dispositivo pré-configurado. Nunca, nunca, use um conjunto de 24 palavras fornecidas em qualquer outro lugar que não no próprio dispositivo. Você deve garantir que você é o único no mundo a ter conhecimento dessa frase de recuperação específica.

Como a disponibilidade da sua frase de recuperação é crítica, convém verificar se você a escreveu corretamente e se pode lê-la sem erros. Para um Ledger Nano S, você pode verificar isso com o aplicativo Recovery Check. Este aplicativo permite que você insira sua frase de recuperação de 24 palavras e verifique se ela corresponde às chaves privadas do seu dispositivo. Por favor, consulte o vídeo dedicado para mais informações.

Princípios gerais de segurança

Ter uma carteira de hardware configurada com um backup verificado em um local seguro pode protegê-lo de um ataque digital, mas você ainda está vulnerável a ameaças físicas em potencial, como roubo ou situação de refém. É por isso que você deve seguir estas regras básicas:

  • Nunca diga a ninguém que você possui criptomoedas. Se fizer isso, mantenha o valor real de seus ativos para si mesmo. Se as pessoas perguntarem quantos bitcoins você possui, basta retornar a pergunta perguntando quantos euros / dólares eles possuem;
  • Se você é ativo na comunidade de criptomoedas on-line, proteja sua identidade real e esteja sempre atento às informações que compartilha. Você não quer se tornar alvo de um assalto;
  • Não guarde sua folha de recuperação em um cofre em casa. Um cofre de banco é muito mais seguro. Não ter acesso imediato ao seu backup aumenta sua resiliência a ameaças físicas;
  • Se você tiver grandes quantidades de criptomoedas às quais não precisa de acesso frequente, mantenha sua carteira de hardware no banco também segura. Você pode usar outra carteira de hardware com quantidades menores para uso frequente;

Confie apenas na sua carteira de hardware

Sua carteira de hardware requer um aplicativo complementar para interagir com você e acessar a Internet, para que você possa verificar seu saldo no computador, obter seu histórico de transações e transmitir novas transações. O Ledger Live é o próprio aplicativo do Ledger disponível para PC, Mac e Linux. Os dispositivos do razão também funcionam com aplicativos que não são criados pelo razão.

Em princípio, é muito difícil verificar a integridade do software no seu computador. Portanto, você deve assumir que seu computador está comprometido e que o que você vê na tela pode ser manipulado.

Você só pode confiar na sua carteira de hardware.

Etapas de segurança para verificar seu endereço de recebimento

Quando você precisar compartilhar seu endereço de recebimento para poder receber o pagamento, tome precauções extras para garantir que não seja vítima de um homem no meio do ataque. Um invasor no controle da tela do computador pode mostrar um endereço errado, o que o tornaria o beneficiário de qualquer transação enviada a ele.

Você deve verificar o endereço de recebimento mostrado na tela exibindo-o no seu dispositivo.

Ao solicitar um endereço de recebimento no Ledger Live, você será solicitado a conectar sua carteira de hardware e abrir o aplicativo correspondente. O endereço será mostrado na exibição segura do dispositivo e você poderá verificar se ele corresponde ao da sua tela.

Se você estiver usando o código QR para transmitir o endereço, verifique o endereço depois de digitalizá-lo.

Se você estiver usando uma carteira de software sem esse recurso (muitos aplicativos de terceiros são compatíveis com dispositivos Ledger), recomendamos o envio de uma pequena quantia primeiro, para garantir que você a tenha recebido corretamente. Idealmente, esse teste deve ser feito em outro computador. Você pode reutilizar o endereço que você acabou de verificar para o teste.

Etapas de segurança para verificar o endereço do beneficiário

Quando você deseja enviar uma transação, normalmente obtém o endereço do destinatário em uma página da web ou através de um serviço de comunicação. Um ataque trivial a um malware seria substituir esse endereço por um próprio. Alguns softwares maliciosos estão simplesmente monitorando a área de transferência para substituir o endereço que você acabou de copiar por um pertencente ao invasor.

Para evitar ser vítima deste ataque, sempre verifique o endereço do beneficiário no dispositivo antes de aprovar a transação e também sempre verifique duas vezes usando um segundo canal de comunicação. Por exemplo, solicite que o endereço seja enviado por SMS ou outro aplicativo de mensagens para que você possa verificá-lo. Se você estiver depositando em uma bolsa, primeiro envie uma pequena quantia e verifique se ela chegou corretamente antes de enviar quantias maiores.

Ser seu próprio banco não é trivial e requer disciplina. Ter uma carteira de hardware não o torna invencível. Mas esperamos que essas dicas de segurança o ajudem a se proteger enquanto as usa.

Como sempre, use o bom senso. Não confie, verifique.