Re: [求救］不確定FTX錢是否被盜走了

作者wtl (比特鯨)

看板DigiCurrency

標題Re: [求救］不確定FTX錢是否被盜走了

時間Sun Dec 12 14:37:05 2021

說一下我平常的用法，希望能減少這類事情的發生 1. KeePass 密碼管理軟體現在那麼多網站需要帳號密碼，有軟體能幫忙其實是更簡單安全軟體的好處在於每個網站都可以設不同的密碼，提升安全性而且軟體有熱鍵可以幫你輸入帳戶密碼，很方便也不用擔心被側錄通常側錄是紀錄你鍵盤打字，只會紀錄到熱鍵裡面也可以設網址，通常我都是先開KeePass，點網址->熱鍵登入帳戶密碼->2fa登入軟體還可以記其他的像ftx提款密碼或是網站忘記密碼的提示問題或是提款卡密碼之類的現代人要設的密碼太多了，需要密碼管理軟體來幫你 2. yubikey 算是一種硬體2fa，有這個就不用擔心釣魚網站。需要有硬體才有辦法登入目前三個交易所心得 ftx/bitfinex/幣安 ftx最爛，原因是只支援一個yubikey，所以我沒用。硬體2fa就是怕搞丟，只能設一個是? 像bitfinex就不錯，我設了三個。兩個yubikey跟一個ledger nano s。 Ledger跟Trezor都可以拿來當硬體2fa，不過我只有ledger 3. 提款密碼/白名單地址這個我都會設，有KeePass再多組密碼都不用怕。白名單更是要設，就算小偷能進去，幣也轉不出去。現在一堆新人進入幣圈，最重要的是保護好你的幣。畢竟不是銀行，不管是冷錢包或交易所，錢被盜了就很難追回。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.187.59 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1639291027.A.00F.html

推 yyhsiu: 推 12/12 14:50

→ sunsand: 推不過苦主的問題是被釣魚了做到這些都沒用就是了 12/12 14:53

→ sunsand: 投資加密貨幣最好別怕麻煩所有麻煩事都要用上最安全 12/12 14:54

→ sunsand: 他最大防線的2FA也是被他登入時就輸入所以用啥都沒用 12/12 14:55

推 seal46825: 像那種釣魚網站是不是隨便輸入帳密都能登入那每次第一 12/12 15:18

→ seal46825: 次登入故意打錯帳密確認無法登入後再輸入真的應該能 12/12 15:18

→ seal46825: 避免這個問題？ 12/12 15:18

→ sunsand: 這不一定他用robot會用你帳號同時登入FTX 所以在圈圈轉 12/12 15:22

→ sunsand: 轉轉的時候其實他也同步測試帳號正確否不一定會成功 12/12 15:22

→ sunsand: 除非你認真去算每次圈圈轉多久 XD..... 12/12 15:23

推 seal46825: 哇操對欸還有這招做到這樣也是蠻猛 12/12 15:23

→ sunsand: 其實這招也有一個簡單的破解之道，我自己常用就是我的 12/12 15:28

→ sunsand: 2fa通常只在最後5-10秒才輸入這可以避開不小心釣魚問題 12/12 15:29

推 doom3: 交易所弄個登入過一分鐘才能提現不就好了== 12/12 15:32

→ doom3: 或是提現要信箱二次確認都可以吧 12/12 15:33

推 fiegger: 推 12/12 16:16

推 stlinman: 推，2fa有些網站的機制還有容許時間差要注意!不一定壓哨 12/12 16:21

→ stlinman: 一定有用! 12/12 16:21

推 Rasin: 我覺得FTX提領設定太簡單了登入+2FA就可以領了 12/12 17:01

推 penny1369: FTX提現都有email通知的說 12/12 17:02

→ penny1369: 但通知完大約一分鐘後就轉成功囉 12/12 17:02

→ penny1369: 要時時注意自己的信箱？ 12/12 17:03

→ Rasin: 最好信箱驗證+2FA+SMS 12/12 17:05

→ Rasin: 所以假網站只要一拿到2FA危險係數就很高 12/12 17:08

推 Rasin: 其它又要多花錢弄到後面管理會很煩... 12/12 17:21

推 Thoris: 像上面說的簡訊用一個舊手機申請獨立門號（和平常生活用 12/12 17:30

→ Thoris: 的不同）這樣就蠻安全了 12/12 17:30

→ Thoris: 要轉帳需要你的帳密密碼 email 還要同時駭入兩隻手機 12/12 17:31

推 Rasin: 電腦手機硬碟一定要設密碼不要設0000 有心人拿到你硬碟 12/12 17:40

→ Rasin: 可以復原瀏覽裡面檔案就算刪除也一樣換手機硬碟砸爛再丟 12/12 17:42

→ Rasin: SMS 2FA 信箱分開個裝置貯存至少做到你家遭小偷都不會被盜 12/12 17:43

推 TellthEtRee: 謝謝分享 12/12 17:44

→ Rasin: 看FTX之後會不會增加多道驗證不然釣魚只要2FA跟帳密太好盜 12/12 17:47

推 www10177: 其實釣魚應該用密碼管理器就可以躲掉了？ 12/12 17:58

→ www10177: 發現密碼管理器沒幫你自動填入的時候就代表domain怪怪的 12/12 17:58

→ www10177: 要留意了 12/12 17:58

推 Rasin: 勿忘陳冠C 12/12 18:16

推 seal46825: 密碼管理器本身不怕被駭嗎 12/12 18:31

推 penny1369: 原po應該是被google廣告導到這個網站 12/12 18:58

→ penny1369: https://www.googleadservices.com/pagead/aclk?sa=L&a 12/12 18:58

→ penny1369: 這個連結剛好位於廣告和非廣告之間 12/12 18:59

→ penny1369: 是釣魚 12/12 18:59

推 Thoris: 密碼管理器比較像是一個放密碼的保險箱唯一的保護就是保 12/12 20:11

→ Thoris: 險箱的masterkey 12/12 20:11

→ Thoris: masterkey至少要有20位元同時不該存在你腦袋以外的任何地 12/12 20:11

→ Thoris: 方 12/12 20:11

→ Thoris: masterkey 唯一的用途就是打開那個保險箱保險箱最好是設 12/12 20:13

→ Thoris: 定成每次打開30秒後會自動關閉 12/12 20:13

→ Thoris: 駭客複製你的保險箱沒有意義他要用社交工程取得你腦袋裡 12/12 20:14

→ Thoris: 的masterkey 12/12 20:14

推 sazabijiang: 好奇如果是電腦鍵盤被側錄，也能防禦嗎？ 12/12 20:27

推 penny1369: 這樣不會是2FA的server被駭吧？ 12/12 20:28

→ wtl: 自動輸入應該無法被側錄 keepass有很多設定　不只是密碼還可 12/12 21:34

→ wtl: 以設金鑰檔密碼＋金鑰檔才可以打開我是設密碼+yubikey 12/12 21:37

推 mithuang: 不用等最後5-10秒才輸入啦...基本上一組30秒的數字,只能 12/13 00:23

→ mithuang: 用在一個操作,例如你登入之後馬上提現,兩個都要2FA,就算 12/13 00:23

→ mithuang: 你能在30秒內把兩個操作完成,你第二次使用相同的2FA也會 12/13 00:23

→ mithuang: 變無效,這是很基本的防弊機制 12/13 00:23

推 Souseasou3: 推最後一段 12/13 08:46

推 wchang: ftx有提領密碼啊，還是原po提領密碼跟登入密碼設一樣的？ 12/13 12:30

→ wchang: 中釣魚網站，也不會要你輸入提領密碼 12/13 12:31