ข้ามไปยังเนื้อหาหลัก

ความปลอดภัยของบัญชีแลกเปลี่ยน: คู่มือการปกป้องที่สมบูรณ์

แลกเปลี่ยนคริปโตเคอร์เรนซีเก็บเงินผู้ใช้หลายพันล้านดอลลาร์และอยู่ในกลุ่มแพลตฟอร์มที่ถูกเป้าหมายมากที่สุดบนอินเทอร์เน็ต ไม่เหมือนกับกระเป๋าวอลเล็ตแบบปกป้องด้วยตนเองซึ่งความปลอดภัยขึ้นอยู่กับการปกป้องวลีเมล็ดของคุณ ความปลอดภัยของแลกเปลี่ยนเกี่ยวกับการปกป้องบัญชีออนไลน์ — ข้อมูลประจำตัวในการเข้าสู่ระบบ การรับรองความถูกต้องด้วยปัจจัยสอง คีย์ API และบัญชีอีเมลที่เชื่อมโยงกับแลกเปลี่ยนของคุณ

แม้ว่าที่เก็บข้อมูลระยะยาวที่ปลอดภัยที่สุดคือกระเป๋าวอลเล็ตเย็นที่คุณควบคุม แต่ผู้ใช้คริปโตเคอร์เรนซีส่วนใหญ่จำเป็นต้องมีบัญชีแลกเปลี่ยนสำหรับการซื้อขาย การแปลงระหว่างเงินสกุลและการไหลเข้า/ออกเป็นเงินฟิแอต คู่มือนี้ครอบคลุมทุกชั้นของความปลอดภัยที่คุณควรนำไปใช้เพื่อปกป้องบัญชีแลกเปลี่ยนของคุณ

แบบจำลองภัยคุณของแลกเปลี่ยน

เหตุใดแลกเปลี่ยนจึงถูกเป้าหมาย

  • มูลค่าที่มีความเข้มข้น — บัญชีแลกเปลี่ยนเดี่ยวอาจมีมูลค่าหลายพันหรือหลายล้านดอลลาร์
  • สินทรัพย์ที่มีสภาพคล่อง — คริปโตเคอร์เรนซีสามารถโอนและฟอกเงินได้ในเวลาไม่กี่นาที
  • ธุรกรรมที่ไม่สามารถย้อนกลับได้ — เมื่อถูกถอนแล้ว ธุรกรรมคริปโตไม่สามารถย้อนกลับได้
  • พื้นผิวการโจมตีทั่วโลก — ผู้โจมตีจากที่ใดก็ได้ในโลกสามารถเป้าหมายการแลกเปลี่ยนใดก็ได้
  • ผลตอบแทนสูงสำหรับผู้โจมตี — การเดินทางเสริมสำเร็จได้จนหนึ่งครั้งอาจให้ผลกำไรมหาศาล

เวกเตอร์การโจมตี

เวกเตอร์คำอธิบายความยากง่าย
การประนีประนวมรหัสผ่านรหัสผ่านอ่อนแอ นำมาใช้ซ้ำ หรือรั่วต่ำ
การสลับ SIMการชิงช่องโทรศัพท์สำหรับ SMS 2FAปานกลาง
การประนีประนวมอีเมลการเข้าครอบครองบัญชีอีเมลที่เชื่อมโยงปานกลาง
การจําลองหน้าเข้าสู่ระบบปลอมจับข้อมูลประจำตัวต่ำ
การประนีประนวมเซสชันการขโมย cookie เซสชันที่ทำงานอยู่ปานกลาง
การขโมยคีย์ APIการประนีประนวมคีย์ API ที่มีสิทธิ์การถอนปานกลาง
การวิศวกรรมสังคมการหลอกลวงการสนับสนุนแลกเปลี่ยนให้ให้การเข้าถึงปานกลาง
มัลแวร์บันทึกแป้นพิมพ์ การเก็บภาพหน้าจอ การชิงกระดานปะดับปานกลาง
การแลกเปลี่ยนแฮกแลกเปลี่ยนเองถูกละเมิดN/A (นอกการควบคุมของผู้ใช้)

กลยุทธ์ความปลอดภัยของคุณต้องจัดการกับเวกเตอร์เหล่านี้ทั้งหมด ไม่ใช่แค่เวกเตอร์เดียว

พื้นฐานความปลอดภัยของบัญชี

1. ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกัน

บัญชีแลกเปลี่ยนทุกบัญชีต้องมีรหัสผ่านไม่ซ้ำกันที่ไม่ได้ใช้สำหรับบริการอื่น ๆ หากคุณนำรหัสผ่านมาใช้ซ้ำและบริการใดบริการหนึ่งถูกละเมิด บัญชีแลกเปลี่ยนของคุณจะถูกประนีประนวม

ข้อกำหนดรหัสผ่าน:

  • อย่างน้อย 16 ตัวอักษร (20+ ตัวอักษรดีกว่า)
  • สร้างโดยตัวจัดการรหัสผ่าน (ไม่ใช่ที่คุณเลือก)
  • เก็บไว้เฉพาะในตัวจัดการรหัสผ่านที่มีชื่อเสียง (1Password, Bitwarden)
  • ไม่เคยเขียนในข้อความธรรมชาติ เก็บไว้ในบันทึก หรือแบ่งปันผ่านอีเมล/ข้อความ

ทำไมไม่ใช้รหัสผ่านที่เลือกด้วยตนเอง? มนุษย์นั้นคาดเดาได้ แม้แต่รหัสผ่านที่รู้สึกสุ่มแก่คุณอาจเดาได้ผ่านรูปแบบทั่วไป การโจมตีพจนานุกรม หรือการเก็บข้อมูลส่วนบุคคล ตัวจัดการรหัสผ่านจะสร้างรหัสผ่านที่สุ่มอย่างแท้จริง

2. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)

การรับรองความถูกต้องด้วยสองปัจจัยเพิ่มชั้นที่สองนอกเหนือจากรหัสผ่านของคุณ ประเภท 2FA จัดอันดับจากปลอดภัยที่สุดไปหาน้อยที่สุด:

คีย์ความปลอดภัยฮาร์ดแวร์ (FIDO2/WebAuthn) — ดีที่สุด

คีย์ฮาร์ดแวร์เช่น YubiKey, Google Titan Key หรือ Thetis FIDO2:

  • ต้องใช้คีย์ที่มีตัวตนมาตรฐานในการรับรองความถูกต้อง
  • เชื่อมต่อด้วยการเข้ารหัสลับกับเว็บไซต์เฉพาะ — ไม่สามารถถูกจำลองได้
  • ไม่สามารถถูกโจมตี SIM swap, การประนีประนวมอีเมล และการโจมตีการจําลองแบบเรียลไทม์ได้
  • รองรับโดย Coinbase, Binance, Kraken, Gemini และแลกเปลี่ยนขนาดใหญ่ส่วนใหญ่

คำแนะนำ: ซื้อคีย์ฮาร์ดแวร์สองตัว ลงทะเบียนทั้งสองด้วยบัญชีทุกบัญชี เก็บคีย์หนึ่งในพวงกุญแจของคุณและคีย์หนึ่งไว้ในที่ที่ปลอดภัย

แอปตัวรับรองความถูกต้อง (TOTP) — ดี

แอปเช่น Google Authenticator, Authy หรือ 1Password TOTP:

  • สร้างรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ที่เปลี่ยนแปลงทุก 30 วินาที
  • ไม่สามารถถูกโจมตี SIM swap ได้
  • สามารถถูกโจมตีจําลองแบบเรียลไทม์ได้ (ผู้โจมตีสัง่ส่งรหัสไปยังเว็บไซต์จริง)
  • หากคุณสูญเสียโทรศัพท์ของคุณ คุณจะต้องมีรหัสสำรองหรือความลับ TOTP เพื่อกู้คืน

แนวทางปฏิบัติที่ดี:

  • ใช้ตัวรับรองความถูกต้องที่รองรับการสำรองข้อมูลที่เข้ารหัส (Authy, 1Password) แทนตัวที่ไม่สามารถสำรองข้อมูลได้ (Google Authenticator แบบธรรมชาติ)
  • เก็บรหัสการสำรองข้อมูล/การกู้คืน TOTP ไว้อย่างปลอดภัย — พวกมันเทียบเท่ากับความลับ TOTP เอง
  • หลีกเลี่ยงแอป TOTP ที่ซิงค์กับคลาวด์บนอุปกรณ์ที่คุณไม่ไว้วางใจอย่างเต็มที่

SMS 2FA — หลีกเลี่ยงหากเป็นไปได้

การรับรองความถูกต้องด้วยสองปัจจัยตามข้อความ SMS มีความเสี่ยงต่อการโจมตี SIM swap:

  1. ผู้โจมตีติดต่อผู้ให้บริการมือถือของคุณ แอบแฝง ตัวตน
  2. พวกเขาทำให้ผู้ให้บริการสำเร็จการส่งหมายเลขโทรศัพท์ของคุณไปยังการ์ด SIM ใหม่
  3. ข้อความ SMS ทั้งหมด (รวมถึงรหัส 2FA) ตอนนี้ไปยังผู้โจมตี
  4. ผู้โจมตีเข้าสู่บัญชีแลกเปลี่ยนของคุณด้วยรหัสผ่านที่ขโมยและรหัส 2FA ที่ได้รับการสกัดกั้น

การโจมตี SIM swap ได้ส่งผลให้สูญเสียหลายล้านดอลลาร์ในคริปโตเคอร์เรนซี หากแลกเปลี่ยนของคุณเสนอตัวเลือก 2FA ที่ไม่ใช่ SMS ให้ใช้ มหากข้อความ SMS เป็นตัวเลือกเดียว ให้ตั้งค่า PIN ของผู้ให้บริการ (อธิบายด้านล่าง)

3. รักษาความปลอดภัยบัญชีอีเมลของคุณ

บัญชีอีเมลของคุณมักเป็นลิงก์ที่อ่อนแอที่สุด สามารถใช้เพื่อ:

  • รีเซ็ตรหัสผ่านแลกเปลี่ยนของคุณ
  • รับลิงก์ยืนยันการถอน
  • รับรหัส 2FA bypass

มาตรการความปลอดภัยอีเมล:

  • ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกันสำหรับอีเมลของคุณ
  • เปิดใช้งาน 2FA บนอีเมลของคุณ (คีย์ฮาร์ดแวร์ต้องการ)
  • ใช้ที่อยู่อีเมลที่อุทิศให้กับบัญชีแลกเปลี่ยนคริปโตเคอร์เรนซี — อันที่ไม่ได้ใช้สำหรับสิ่งอื่น ๆ และไม่เป็นที่รู้จัก
  • ปิดใช้งานกฎการส่งต่ออีเมล (ผู้โจมตีอาจตั้งค่าการส่งต่อเพื่อสกัดกั้นอีเมลยืนยัน)
  • ตรวจสอบเซสชันที่ทำงานอยู่และแอปที่เชื่อมต่ออย่างสม่ำเสมอ

4. เปิดใช้งานรายชื่อที่อนุมัติสำหรับการถอนที่อยู่

แลกเปลี่ยนหลักส่วนใหญ่เสนอคุณลักษณะรายชื่อที่อนุมัติสำหรับการถอนที่อยู่:

  • คุณกำหนดรายชื่อของที่อยู่คริปโตที่อนุมัติ
  • การถอนสามารถส่งได้เฉพาะไปยังที่อยู่ในรายชื่อที่อนุมัติเท่านั้น
  • การเพิ่มที่อยู่ใหม่จำเป็นต้องมีการตรวจสอบเพิ่มเติมและโดยปกติจะมีระยะเวลารอ (24-72 ชั่วโมง)

นี่เป็นหนึ่งในการป้องกันที่มีประสิทธิภาพมากที่สุด: แม้ว่าผู้โจมตีจะได้รับการเข้าถึงเต็มรูปแบบไปยังบัญชีแลกเปลี่ยนของคุณ พวกเขาไม่สามารถถอนไปยังที่อยู่ของพวกเขาเองได้หากไม่เพิ่มมันไปยังรายชื่อที่อนุมัติและรอ

ตั้งค่า:

  • เพิ่มที่อยู่การเก็บเงินเย็นของคุณ ที่อยู่วอลเล็ตฮาร์ดแวร์ และที่อยู่อื่น ๆ ที่คุณใช้อย่างสม่ำเสมอไปยังรายชื่อที่อนุมัติ
  • เปิดใช้งานความล่าช้าสูงสุดที่เป็นไปได้สำหรับการเพิ่มเติมรายชื่อที่อนุมัติใหม่
  • ตั้งค่าการแจ้งเตือนสำหรับการเปลี่ยนแปลงรายชื่อที่อนุมัติ

5. ตั้งค่ารหัสป้องกันการจําลอง

แลกเปลี่ยนหลายแห่ง (Binance, KuCoin, OKX และอื่น ๆ) อนุญาตให้คุณตั้งค่ารหัสป้องกันการจําลอง — สตริงที่กำหนดเองซึ่งปรากฏในอีเมลที่ถูกต้องทั้งหมดจากแลกเปลี่ยน หากคุณได้รับอีเมลที่อ้างว่าเป็นจากแลกเปลี่ยน แต่ไม่มีรหัสป้องกันการจําลองของคุณ แสดงว่ามันเป็นอีเมลจําลอง

6. ตรวจสอบและจำกัดคีย์ API

หากคุณใช้คีย์ API สำหรับบอตการซื้อขายหรือติดตามพอร์ตโฟลิโอ:

  • ให้สิทธิ์เฉพาะขั้นต่ำที่จำเป็น (อ่านเท่านั้นหากติดตามเท่านั้น ไม่มีสิทธิ์การถอนเว้นแต่จำเป็น)
  • จำกัดคีย์ API เป็นที่อยู่ IP เฉพาะหากเป็นไปได้
  • ตั้งค่าวันหมดอายุสำหรับคีย์ API
  • ตรวจสอบคีย์ API ที่ทำงานอยู่ทั้งหมดเป็นประจำและเพิกถอนคีย์ที่ไม่ใช้
  • ไม่เคยแบ่งปันคีย์ API ผ่านช่องทางที่ไม่เข้ารหัส (อีเมล ข้อความธรรมชาติ แชท)

คีย์ API ที่มีสิทธิ์การถอนเทียบเท่ากับการเข้าถึงบัญชี ถือว่าสอดคล้องกัน

มาตรการความปลอดภัยขั้นสูง

การปกป้องการเปลี่ยนแปลง SIM

เพื่อป้องกันการโจมตี SIM swap บนผู้ให้บริการมือถือของคุณ:

  1. ตั้งค่า PIN/รหัสผ่านของผู้ให้บริการ — ผู้ให้บริการส่วนใหญ่อนุญาตให้คุณตั้งค่า PIN ที่ต้องระบุก่อนการเปลี่ยนแปลงบัญชีใด ๆ ติดต่อผู้ให้บริการของคุณเพื่อตั้งค่านี้
  2. ขอการ冻结 Freeze พอร์ต — ผู้ให้บริการบางส่วนสามารถทำเครื่องหมายบัญชีของคุณเพื่อป้องกันการส่งเสริมหมายเลขที่ไม่ได้รับอนุญาต
  3. ใช้ eSIM — การสลับ SIM ทางกายภาพไม่ส่งผลกระทบต่อบัญชีที่ใช้ eSIM เฉพาะ แม้ว่าการวิศวกรรมสังคมของการสนับสนุนผู้ให้บริการยังคงเป็นไปได้
  4. ใช้เลขที่ Google Voice หรือ VoIP — หากข้อความ SMS 2FA หลีกเลี่ยงไม่ได้ ให้ใช้เลขที่ VoIP ที่ไม่เชื่อมโยงกับการ์ด SIM ทางกายภาพ หมายเหตุ: แลกเปลี่ยนบางแห่งไม่ยอมรับเลขที่ VoIP

ความปลอดภัยของอุปกรณ์

อุปกรณ์ที่คุณใช้เพื่อเข้าถึงแลกเปลี่ยนเป็นส่วนหนึ่งของขอบเขตความปลอดภัยของคุณ:

  • อัปเดต OS และเบราว์เซอร์ของคุณ — แพทช์ความปลอดภัยปิดช่องโหว่ที่เป็นที่รู้จัก
  • ใช้ซอฟต์แวร์แอนตี้มัลแวร์ — ตรวจจับบันทึกแป้นพิมพ์ ตัวจํา clipboard hijackers และมัลแวร์บันทึกหน้าจออพฟ์
  • ใช้โปรไฟล์เบราว์เซอร์ที่อุทิศ — เก็บเซสชันที่เกี่ยวข้องกับการเข้ารหัส ไว้ห่างจากการเรียกดูทั่วไป
  • หลีกเลี่ยง Wi-Fi สาธารณะ — หากคุณต้องใช้ Wi-Fi สาธารณะ ให้ใช้ VPN ยิ่งกว่านั้น ให้ใช้ข้อมูลเซลลูลาร์โทรศัพท์ของคุณ
  • ล็อคอุปกรณ์ของคุณ — ใช้การรับรองความถูกต้องด้วยชีววิทยาหรือ PIN/รหัสผ่านที่แข็งแรงเพื่อล็อคคอมพิวเตอร์และโทรศัพท์ของคุณ
  • เข้ารหัสที่เก็บของคุณ — เปิดใช้งานการเข้ารหัสดิสก์เต็ม (BitLocker บน Windows, FileVault บน macOS)

การจัดการเซสชันและการเข้าสู่ระบบ

  • ออกจากระบบหลังจากแต่ละเซสชัน — อย่าปล่อยให้เซสชันแลกเปลี่ยนทำงานอยู่บนอุปกรณ์ที่ใช้ร่วมกันหรือพกพา
  • ตรวจสอบเซสชันที่ทำงานอยู่ — ตรวจสอบส่วน "เซสชันที่ทำงานอยู่" หรือ "อุปกรณ์" อย่างสม่ำเสมอและสิ้นสุดเซสชันใด ๆ ที่คุณไม่รู้จัก
  • เปิดใช้งานการแจ้งเตือนการเข้าสู่ระบบ — รับการแจ้งเตือนสำหรับความพยายามในการเข้าสู่ระบบทุกครั้ง โดยเฉพาะอย่างยิ่งจากอุปกรณ์หรือสถานที่ใหม่
  • เปิดใช้งานมาตรการป้องกันการจําลอง — แลกเปลี่ยนบางแห่งอนุญาตให้คุณกำหนดค่าวลีความปลอดภัยที่แสดงที่การเข้าสู่ระบบ

การเพิ่มขอบเขต IP

แลกเปลี่ยนบางแห่งอนุญาตให้คุณจำกัดการเข้าถึงบัญชีเป็นที่อยู่ IP เฉพาะ หากที่อยู่ IP ของคุณมีเสถียรภาพ (การเชื่อมต่อบ้าน, VPN ที่มี IP คงที่) นี่จะป้องกันการเข้าสู่ระบบจากที่อื่น ๆ

**ข้อ จำ