Авторизация бинанс
По просьбам желающих (Привет, Александр!), рассматриваю авторизацию Binance и защиту аккаунта биржи, в целом.
В прошлой статье я частично рассмотрел Бинанс.
У вас, как минимум, уже для входа на биржу используется логин + пароль!
Выше на картинке пункты, которые используются дополнительно для действий с биржей.
Простая минимальная схема авторизации:
- Вводим логин + пароль
- Вводим код Google аутентификации
- Вводим код с почты
- Подключаем Юбикей и нажимаем разрешить
Максимальная схема авторизации:
- Вводим логин + пароль
- Вводим код Google аутентификации
- Вводим код с почты
- Вводим код из смс (я не пробовал)
- Подключаем Юбикей и нажимаем разрешить
Зачем так сложно?
Вы готовы расстаться с этими деньгами?
Если вы готовы расстаться со всеми деньгами на счету, то используйте минимальную защиту.
Если у вас достаточно крупная сумма на счету и вы почему-то ее всю держите на бирже, то используйте надежную схему или максимальную.
Далее, по всем факторам авторизации -
Почему это хорошо подключить? Ключ физически у вас!
Мошенник должен физически получить ключ для выполнения операций на бирже.
Если мошенник знает ваш пароль, имеет доступ к почте, сделал дубликат сим карты и смог подобрать гугл аутентификатор, то вывести деньги с биржи не сможет.
Уязвимость: Мошенник может сбросить юбикей привязку, но на это дается довольно много времени. Вы заметите уведомление о сбросе ключа.
Мошенник может купить говно монету на весь ваш баланс, а со своей стороны продать монету дороже (или купить все паки NFT за ваш баланс и продать себе за копейки)
Я не проверял, говорят, это реально =)
Я не проверял такого рода схемы т.к. меня ни разу не взламывали.
После ввода логина и пароля, бинанс попросит вставить ключ юбикей в компьютер для подтверждения авторизации.
Очень важно подключить хотя бы этот способ подтверждения входа.
В чем суть? Вы ставите гугл аутентификатор (или аналог) к себе на телефон.
Важно! Этот мастер-код рекомендую не только отсканировать в приложении гугл аутентификатор, но и сохранить в надежном месте!
Если со смартфоном что-то случится, с помощью этого кода, можно будет заново добавить бинанс в гугл аутентификатор.
Сохраните этот мастер-код не в заметки на телефон, не в текстовый файл на рабочий стол, а в реально надежное место!
Статья о надежном хранилище для кодов будет позже.
После ввода мастер-кода в гугл аутентификатор, приложение начнет генерировать 6 цифр каждые 30 секунд.
6 цифр генерируются на основе мастер-кода + текущем времени на смартфоне.
Важно на смартфоне иметь точное время!
Эти 6 цифр нужно ввести после ввода логина и пароля на бирже:
Сначала вводим логин + пароль!
Затем, бинанс просит код из приложения!
Это уже хорошо для безопасности!
Связка код из почты + гугл аутентификатор:
Мошенник не знает мастер-кода (вы же сохранили его в надежном месте, правда?) и не сможет авторизоваться под вашим аккаунтом.
Тем самым, мы защитились от мошенника, который знает логин пароль от бинанс.
Уязвимость та же: Мошенник, зная аккаунт почты, может сбросить гугл аутентификатор, но на это дается довольно много времени.
Вы заметите уведомление о сбросе гугл аутентификатора во входящем письме.
В чем отличие гугл аутентификатора и юбикей?
гугл аутентификатор, а именно мастер-код в теории можно скопировать. Такое может случится, если к вашему компьютеру имеет доступ мошенник, который записывает действия с экрана.
Аппаратный ключ нельзя скопировать с помощью зараженного компьютера.
Если вы доверяете оператору связи.
Если вы написали заявление о сбросе симкарты только в присутствии хозяина симки, то можете использовать и такой метод авторизации.
За входящие смски кто платит? Скорее всего, вы!
Если ваш баланс меньше 30к долларов, то не стоит сильно волноваться за взлом вашего аккаунта мошенником.
Мошенник атакует точечно аккаунты, заведомо зная примерный баланс аккаунта.
Мошенник не будет применять сложные механизмы сброса симкарты (рискуя знакомым в офисе оператора), если баланс биржи не покроет его расходы.
4. Очевидный пункт - одноразовый код, который приходит на почту.
Связка гугл аутентификатор + код с почты.
При авторизации или снятии средств, подтверждение кодом по почте - очень важная штука.
5 пункт обязателен для таких вещей.
Включите антифишинг код! Добавьте кодовое слово.
Теперь, когда будет приходить письмо на почту от бинанс, кодовое слово вы увидите в письме сверху справа:
