link_post_2021_bitcoin_5

加密貨幣 第5話|用神話講Bitcoin比特幣 :咒語保安手冊|#我要真通識

Helen Kwok
註冊輔導心理學家(Reg Coun. Psy., HKPS)

我要真通識加密貨幣|第5話

跳至第1話第2話第3話第4話

究竟精靈界的「鬼魅」是什麼?它們究竟何時開始存在,如何存在於雲上世界的呢??這些問題雖然重要,然而卻不是尼歌最關心的事。作為一個負責「觀雲」的高級魔法師,他最感興趣的是反而是,這些鬼魅是如何從一個大意精靈手上偷走的比特呢?有什麼方法可以避免,甚至完全阻止這等事發生的呢?

在「魔法石」被發明之前,精靈們都是各施各法地去記住他們至關重要的秘密咒語。精靈至小就已經被教導要好好守護自己的秘密咒語,但知易行難。試問有幾多個人有信心能一生都能夠準確無誤住記得住一個(翻譯成人類文字)由24個無特定意義的詞語組成的咒語?

不信的話,閣下不妨嘗試記住以下咒語:

cause gadget ranch prison elegant wedding vocal narrow two tilt title table garden assault submit regular mercy stick symbol suspect ocean pluck desk surround

要一生都能把這咒語一字不漏的背誦出來,是可能的但恐怕都要花點苦功。對,不是個個精靈都對自己的憶都是那麼自信,所以,總有些精靈會把咒語用紙筆紀錄下來藏好,以免有天忘記了咒語,一下子變成窮光蛋。

但問題是,怎樣才算是「藏好」呢?有精靈會把寫有咒語的紙張藏在書房中的書本之中;有些則把咒語紙藏到地上的某一塊磗頭入面;有些則會把它放在親友家中保管;最重視保安的精靈,則會把這張紙用信封封好,再放進保險箱儲存⋯⋯總之人人都創作一個只有自己知道的方法,去存放這大秘密。

但尼歌發現,其實安全問題依然存在:盜賊或鬼魅有可能會在精靈家中找到藏有秘密的紙張;大寶藏之下,親友有可能變得不可靠⋯⋯但最困擾還不是別人的貪婪,而是自己的不小心,若果弄丢了夾萬的鑰匙,或者忘記了備份的紙張放在那個磚頭入面,那就頭大了。然後精靈為免上述的意外,他們就唯有給備份做多幾個備份,而每多一個備份,就會增加多一份洩漏天機的危險⋯⋯

Photo by Michael Dziedzic on Unsplash

魔法石的出現,首先最直接的好處是將需要記下秘密的紙張減至最低。精靈只需要將秘密咒語放入幾個魔法石,然後選一個隨身攜帶使用,其他的魔法石就收藏好,就已經好安全了。萬一魔法石落入盗賊手上都不要緊,因為魔法石只聽命主人,三次錯誤操作魔法石就會自動毁滅,所以,其他人強行使用魔法石的話,都只會毁掉魔法石而不會找到秘密咒語。

就算精靈始終都想找一個真正安全的地方藏好這個秘密,但最少應該一個備份就足夠了,不必在不同地方都要為這個備份安放「備份」。所以整個操作就會安全好多了。


一直以來,我們都習慣了將最大的財富放在銀行。而銀行的金庫、電腦系統、自動櫃員機都是由政府監管的銀行管理,而銀行就聘用各種專業人士去建立電腦和會計系統確保安全,所以我們都習慣性認為將錢放在銀行是安全的。銀行安全,就表示(暗示?)我們的財富都很安全,所以我們都很少思考如何保護財富不被偷去。

可是當用家開始接觸加密貨幣之後,就會發現這個用戶體驗和我們平日的處置的財富都很不同。加密貨幣為我們帶來強大的金融自由,用家利用區塊鏈和智能合約,用家就已經可以直接進行交收、過戶和各式各類的金融服務而不需將財富放在銀行或中介。嚴格來說,加密貨幣技術並不是代替了銀行的功能,而是將令每個人自己都成為一間小銀行,去為自己或其他人服務。然而,「力量愈大,責任也都愈大」,沒有人會為你的財富負責,每個加密貨幣用家都要思考如何才能保護自己的財富。

Photo by Franck on Unsplash

作業安全(Operations Security, OpSec)是網絡保安中非常重要,但往往是被忽略的一環。有不少人,就如上述的精靈那樣,為保護組成各種私鑰,至關重要的助記碼(Seed, seed phrase,或mnemonic seed,就是上面精靈要記住的一組英文字)免於洩露或遺失,都自行設計了很多方法去收藏助記碼,然而,那些各式各樣的手段,卻又會產生其他可能的保安漏洞。

不同人的技術能力,風險承擔能力,使用習慣,和需要處理的威脅模型(Threat model)都不盡相同,所以也沒有一套全球通行,人人合用的加密貨幣保安方案。但就著普遍用戶需要處理一個「日常會使用,不算非常之大,但又夠大到很不願意失去」的金額的情況下,可以考慮採用以下的步驟:

  1. 把助記碼備份寫在紙上或刻在金屬片上,然後放到信封封好,再放到安全地方(如夾萬,保險箱)。
  2. 到官方網站購買兩個(或以上) 硬體錢包(Hardware wallet)。兩個硬體錢包最好不同牌子,定期更新並都安裝好助記碼。
  3. 將兩個硬體錢包中其中一個作為日常使用,另一個則作為後備,安置到安全地方,並且和助記碼備份分開儲存。
  4. 絕不把助記碼告訴其他人,也不會把助記碼安裝到任何裝置(如電腦,電話)。

這樣做的話,在任何情況都會有起碼一個後備方案可以找回助記碼,而助記碼不是在安全的硬體錢包,就是備份在安全的地方。就算遺失日常使用的硬體錢包都好,正常使用下硬體錢包是非常難破解的,萬一懷疑助記碼失竊,用家亦可以利用後備錢包,在相對短的時間內將加密貨幣轉移至安全地方。

Not your keys? Not your coins.

最後,最重要、最要緊的是,絕對不可把助記碼告訴任何人或機構(是任.何),也不要為求方便,便將助記碼輸入到任何硬體錢包之外的電腦、電話或者網站。所有加密貨幣的交易和簽署,都只會由硬體錢包來執行。

看到這裡,我想大家都會覺得不容易吧。是的,今天大家要使用加密貨幣的話,的確是有一個學習階段,就好像習慣了騎馬的貴族要學習駕駛汽車一樣。但我認為,只要下一點點苦功,還是人人都能學會的。

#我要真通識加密貨幣第1話第2話第3話第4話第5話