# Tippek a biztonságos kriptózáshoz # Önálló gép, nagyobb tablet Lehetőségek - Dedikált (csak erre a célra használt) gép MacOS, Linux, vagy Windows rendszerrel. Ebben a sorrendben. Nem azért mert gyagyi lenne a Windows, hanem az ismertsége és elterjedtsége a legnagyobb célponttá teszi a támadások számára. Tulajdonképp a legkisebb, legolcsóbb gép is megfelel a kedvenc márkádból. Szinte csak böngésző fut majd rajta. Annyi memória legyen legalább benne, ami az operációs rendszer kényelmes futtatásához szükséges. Ha előtelepített operációs rendszert fogsz használni, akkor márkás gépet vegyél. >[name=wacher] Ha esetleg kalóz windowsod van, akkor itt és most azt ne használd. A telepítő ISO-t [a Microsoft oldaláról töltsd le](https://www.microsoft.com/hu-hu/software-download) és egyszerűen ne aktiváld a Windowst. Kicsit morogni fog és pár funkció nem lesz elérhető, de ez ne zavarjon. Eszedbe se jusson valami kalóz telepítőkészletet vagy kalóz aktivátort használni. Tablet (és esetleg telefon) esetén mindent szedjél le, ami nem kell és csak azt tedd fel, ami szükséges. Csak jól ismert márkák eszközeiből válassz. - vagy virtuális gép: HYPER-V, VirtualBox, WMware player. - cold wallet csatlakoztatása nem egyszerű - viszont nagyon könnyű a rendszer mentése. - és ha semmiképpen sincs lehetőséged egy dedikált gépre vagy környezetre, akkor legalább legyen egy dedikáltan csak kriptózásra használt böngésződ. Mind a gép, mind a tablet megoldásnál csak SIM-kártya mentes megoldás jöhet szóba, otthoni WiFi-re csatlakozz és legalább egy router válasszon el a publikus internettől. Soha ne csatlakozz publikus WiFi-re! ## Vírusírtó - Windowsra elég a saját vírusírtója ## Jelszókezelő A jelszókezelő azért fog kelleni, mert minden egyes accounthoz mindig más jeleszót kell használni. Sehol sem szabad ugyanazt a jelszót többször felhasználni. Ugyanazt a felhasználónév + jelszó párost pedig főleg nem! Egyszerűbb, ha mindenhol más és más erős jelszót használsz. > [name=wacher] Az erős jeleszó valahogy így néz ki: `lqldJ3wQVAE!6THav3spp` - [KeepassXC](https://keepassxc.org), minden desktop platformra van portolása - LastPass Az erős jelszó használata azoknak, akik csak telefont használnak, persze kisebb szívás, ha az adott app nem támogatja a biometrikus azonosítást... >[name=wacher]Ebből a szempontból jó az Exodus, mert a gépen könnyű beállítani (seed és jelszó beírása) utána QR-kóddal lehet szinkronizálni egy mobil wallet felé. Az Exodus támogatja a biometrikus azonosítást. ## 2FA applikációk - Google autentikátor - már van backup opciója, de célszerű kikapcsolni - Microsoft autentikátor - van backup opciója, de nem crossplatformos (ha mondjuk Androidon használod, utána nem tudod importálni iPhone-ra, hiába jelentkezel be ugyanabba az MS accountba) - 2FAS - van export, import lehetősége - a bejegyzésekhez lehet ikonokat is rendelni - Authy - multi device megoldás (központi szerverre ment) - Gemini tőzsdéhez muszáj használni > [name=wacher] Én sosem használnék olyan password széfet vagy 2FA applikációt, amely saját szerverre ment adatot. Hiába open, kényelmes, stb így. Tehát pl Bitward, Authy nálam kilőve. A jelszókezelőbe én a 2FA secret key-eket is bele szoktam írni, így egy új vagy elvesztett telefon sem okoz problémát. A 2FAS szerintem kb mindent tud, ami elvárható egy ilyen programtól. ## Mentés. Mentés. Mentés. Mondom mentés! A legfontosabb dolgaidról mindig legyen mentésed. A legjobb, ha az egész gépről készítesz mentést időnként, ha meg tudod csinálni. - Windows felhasználóknak javaslom a [Macrium](https://www.macrium.com/reflectfree) programot). - Virtuális gép használata esetén a kikapcsolt gépet egyszerűen átmásolod egy külső SSD-re vagy egy pendrive-ra. - Tabletek, telefonok esetén csábító a felhős backup használata, de ne tedd. [Semmit nem töltünk fel a felhőbe, még Apple eszköz esetén sem!!!](https://www.bleepingcomputer.com/news/security/hackers-steal-655k-after-picking-metamask-seed-from-icloud-backup/) A rendszeres mentés véd a szoftverhibáktól, a zsarolóvírusoktól és más váratlan események következményeitől is. - Rendszeresen ments! - A mentést ne a mentett eszközön tartsd! - Ha nincs lehetőséged rendszerszintű mentésre, akkor legalább a jelszókezelőd adatfájláról csinálj időnként másolatot (vagy állítsd be, hogy csináljon; a KeepassXC például tud ilyet). - Böngésző profilmappa - Edge esetén "%LOCALAPPDATA%\Microsoft\Edge\User Data" - Lehetőleg 4-5 korábbi mentésed mindig legyen meg, néha nem tudhatod, hogy ami elromlott, az mikor is romlott el, melyik mentésben lesz meg jól. # Böngésző A legfontosabb eszközünk lesz. ## Általánosan javasolt beállítások, cookie policy - Cookie-k tiltása, illetve minimalizálni ezeket, mivel egy oldal átlagosan 20 különböző sütivel kínál meg. - Kapcsoldi ki a jelszavak mentését! - Kapcsoldi ki a böngésző felhasználói profilját, az eszközök közötti szinkronizálást! - Kapcsolj ki mindent, amire nincs szükséged, ami csak kényelmes, az nem szükséges. - Szokj rá a könyvjelzől használatára, lehetőleg onnan kapd elő, ami éppen kell! - Egy google találatra nem kattintasz, csak na 1000000%-ig biztos vagy benne, hogy egyébként helyes a találat és nem egy fizetett hirdetésként megjelenő rosszindulatú oldalról van szó. De inkább könyvjelző. ## Javasolt keresők - https://www.duckduckgo.com - https://www.startpage.com ## Információforrások Árfolyamok, contract addressek, project honlapok - https://coinmarketcap.com - https://coingecko.com - Hírek - https://www.coindesk.com - ## Böngészők hivatalos lelőhelyei - Chrome https://www.google.com/chrome/ - Edge https://www.microsoft.com/en-us/edge/download (Windows, macOS, Linux, Android, iOS) - Brave https://brave.com/download/ (Windows, MacOS, Linux) - Firefox https://www.mozilla.org/hu/firefox/new/ - Safari https://support.apple.com/downloads/safari ## Böngészőspecifikus beállítások, tudnivalók - Edge - a nyitó oldalt szabd minimálisra, semmi sallangot nem kell, hogy betöltsön - [edge://settings/privacy](edge://settings/privacy) - kapcsold ki a notifikációkat - Tracking prevention = strict - Privacy / Do not track request = On - Security / ezt állítsd Strict-re. Ettől egy csomó oldal nem fog működni, de majd akkor azoknál egyesével kikapcsolod. - Előbb-utóbb egy csomó wallet lesz a böngészőben. De nem kell, hogy ezek állandóan működjenek. Itt tudod kikapcsolni őket egyesével: [edge://extensions](edge://extensions/) - Chrome - tbd - Brave - tbd - Firefox - tbd - Safari - tbd # Email és VPN Email - használj dedikált címet, amit sehova máshova nem használsz (pl. [protonmail](https://proton.me/mail), ez a platform még VPN-t is ad) - Semmiképpen se használj gmail címet. Nem azért, mert ~~kémkedik utánad~~ ne lenne biztonságos, de egyszerűen a legismertebb platform így a legtöbb adathalász és egyéb támadást kapja. - soha ne dőlj be olyan emaileknek, hogy - nyertél egy olyan játékban amiben soha nem vettél részt - kaptál valakitől pénzt, akiről soha nem is hallottál, nem is ismered (ha meg ismered, akkor kérdezz rá nála élő szóban, hogy tényleg küldött-e valamit) - akármiért kaptál valamit, csak utalj be 1 akármit "ellenőrzésképpen" VPN - [protonVPN](https://protonvpn.com/). Ez a protonmail család tagja az ingynes csomaghoz is jár. > [name=wacher] a VPN (vagy TOR) használata szerintem felesleges, de ártani nem árthat, kivéve ha egy CEX, mondjuk a Binance kiszúrja a használatát és letiltja a számládat. # Hardverwalletek (céleszköz) Ha walletet készítesz, a seed szavakat ne fotózd le telefonnal. Ne kopipészteld egy txt fájlba. Vegyél elő két üres lapot és tollat. Többezer éve működik. **A 12-24 szavas seed szavakat később csak akkor kell használni, ha új eszközt vettél, mert a régi elveszett, elromlott vagy újratelepíted a géped, telefonod.** A wallet első induláskor megkérdezi, hogy újat akarsz vagy van már walleted. Utóbbi esetben kell majd a seedet a wallet programba beírnod. **🚩SOHA SEMMILYEN MÁS ESETBEN NEM SZABAD KIADNI EZEKET.** A seed seed megadása felszólításra, kérésre, "jószándékú" javaslatra önmagában Infinity Level Ultimate Red Flag. Ha mondjuk valami problémád van és twitteren, discordon kérsz segítséget és aki segíteni próbál azzal kezdi, hogy az ellenőrzéshez ezek szükségesek --> le akar húzni. Ha elirányít egy ellenőrző vagy connection oldalra, ahol kérik a seed-et --> le akar húzni. Ha a google találat egy látszólag ismerős oldalt hoz be, ami kéri a seedet -> kamu oldal. YouTube-on How to videó kéri hogy tölts le valamit és add meg a seedet -> kamu. Még egyszer: a tudatos wallet kreálás kivételével **🚩SOHA SEMMILYEN MÁS ESETBEN NEM SZABAD KIADNI A SEED SZAVAKAT.** A hardver walletek másik neve: cold wallet, hideg tárca. És a lényegük, hogy a privát kulcsunk (ami a tranzakciók indításához, jóváhagyásokhoz, digitális aláírásokhoz kell) soha semmilyen körülmények között nem hagyja el a tárcát. ## Ledger ~~https://www.ledger.com/~~ - Türelmem óceán, bizalmam porcelán. ## Trezor https://trezor.io - Open source hadver és firmware - Shamir Backup ## SafePal https://www.safepal.com - air-gapped wallet ## Latice1 https://gridplus.io/products/grid-lattice1 ## Ellipal https://www.ellipal.com - air-gapped wallet ## Keystone https://keyst.one - air-gapped wallet - open-source hadver és firmware - Shamir Backup ## Tangem https://tangem.com/pricing/?promocode=PDXNJW - air-gapped wallet (legalábbis nem kapcsolódik internetre) - NFC technológia: egy "bankkártyán" van a privát kulcs - NFC képes mobiltelefon kell hozzá - Összeköthető a [Rabby wallet-tel](#Rabby-wallet). - Részletes leírás: https://hackmd.io/@wacher/rkByOL1Dn # Szoftverwalletek Ha walletet készítesz, a seed szavakat ne fotózd le telefonnal. Lehetőleg ne kopipészteld egy txt fájlba. Vegyél elő két üres papírt és tollat. Többezer éve működik. A szoftver vagy hot walletek seed szavaira ugyanaz a szabály vonatkozik, amit a hardver walletekknél már írtam (lásd ott) **🚩SOHA SEMMILYEN ESETBEN NEM SZABAD KIADNI MÁSNAK A SEED SZAVAKAT.** A szoftver walletek többsége ajánl valamiféle swap lehetőséget (akár különböző láncok között is). Ezek általában KYC mentesek, cserébe drágák, ezért minden váltás előtt gondosan ellenőrizd, hogy mennyi coinért mennyit coint fogsz kapni. A lehetőség adott, mindenki maga dönt. A szoftver walletek másik neve: hot wallet, online tárca (ez utóbbi picit pontatlan, ugorjunk). ## Desktop alkalmazások ### Exodus wallet (multicoin) Elérhető: Linux, Windows, Mac, iPhone, Android - https://www.exodus.com - nem ma kezdte ([Exodus was founded in 2015 with headquarters in Nebraska](https://www.investopedia.com/exodus-vs-coinbase-5191437)) - nagyon sok, közel 300 coint és láncot ismer [[info]](https://www.exodus.com/status/#supported-assets) - WEB3 wallet is van már [[info]](https://www.exodus.com/web3-wallet/) - a network fee állítható (BTC és ETH esetén biztos) - az FTX-szel állt partnerségben, az volt integrálva (de már nincs) - de van saját beépített váltási lehetősége is (nyilván nem olcsó, kb 3%-5% spread, változó). - kártyával is lehet kriptót vásárolni, annak díja jóval kedvezőbb (kb 0,5%) - desktop verzió telepítése után egy QR-kóddal szinkronizálható a(kár több) mobil wallet is. - mobile wallet-ből (még?) nincs watch only verzió de talán lesz egyszer [[reddit]](https://www.reddit.com/r/ExodusWallet/comments/jtne88/comment/gc6udpg/?utm_source=share&utm_medium=web2x&context=3) - Ledger támogatás: NEM - Trezor támogatás: IGEN - támogatja non-custodial stakelést, például - ADA, de nem delegálhatsz szabadon (csak [Everstake](https://cardanoscan.io/pool/446109cdad3e7dfc6e0bb4be5ecf25df02fcc2ec8f6df46a3ca2c537)) - ATOM, de nem választhatsz validátort (csak [Everstake](https://atomscan.com/validators/cosmosvaloper1tflk30mq5vgqjdly92kkhhq3raev2hnz6eete3)) - SOL, stb > [name=wacher] Nagyon csilivili, de a web wallet GUI-ja szerintem már erősen túlzás, zavaróan zsúfolt, nem tetszik. Láthatóan igyekeztek minél többet belegyömöszölni az asztali és/vagy mobil verziókból. Személy szerint ezt használom egy dedikált iPhone telefonon, HODL walletként és stakelésre. Az asztali verziót is használom, de az csak átmeneti wallet. ### Atomic wallet (multicoin) Elérhető: Linux, Windows, Mac, iPhone, Android Az önálló APK-t is le lehet tölteni a weboldalról, így olyan android telefonra is fel lehet tenni, ahol nem vagyunk bejelentkezve a google accountba. - https://atomicwallet.io - 2017 óta létezik [[info]](https://atomicwallet.io/about-us) - nagyon sok, közel 400 coint és láncot ismer [[info]](https://atomicwallet.io/prices) - van saját tokenjük (AWC), azt hanyagold, semmire sem jó - van saját beépített váltási lehetősége is - kártyával is lehet kriptót vásárolni (spread?) - a support segítőkész, gyorsan válaszolnak - támogatja non-custodial stakelést [[info]](https://atomicwallet.io/staking), de az Exodushoz hasonlóan nem választhatsz/delegálthatsz önállóan. > [name=wacher] Az Exodus csilivili GUI-jához képest ez nagyon letisztult, átlátható. Korábban ezt használtam, de volt egy időszak amikor a standalone apk-t nem frissítették hónapokig és azt írták, hogy nem is fogják, akkor hagytam ott őket. :::warning Közlemény a 2023. június elején észlelet hack-ről: https://atomicwallet.io/blog/june-3rd-event-statement ::: ### AirGap (multicoin) - https://airgap.it/ - ez igazi csemege: air-gapped software wallet ## További walletek Csak a legismertebben azok közül, amelyek több coinhoz és lánchoz is univerzálisan használhatók. Javasolt beállítások és egyéb tudnivalók. ### Metamask (ERC-20 kompatibilis láncokhoz) Elérhető: böngésző kiterjesztés (extension), iPhone, Android - https://metamask.io - open source [[github]](https://github.com/MetaMask/metamask-extension/) - Ledger támogatás: IGEN - dApp browser: NEM - csak ERC-20 tokenek ### Trust wallet Elérhető: böngésző kiterjesztés (extension), iPhone, Android, standalone APK - https://trustwallet.com - Binance hátszele is hajtja - open source (?) [[github]](https://github.com/trustwallet) - Ledger támogatás: ? - dApp browser: IGEN - multi asset wallet: IGEN (sok token, sok coin, sok lánc) ### Math wallet Elérhető: böngésző kiterjesztés (extension), iPhone, Android - https://mathwallet.org/en-us - Ledger támogatás: IGEN - dApp browser: IGEN - multi asset wallet: IGEN (sok token, sok coin, sok lánc) - minden egyes lánchoz külön-külön seed pass tartozik ### Rabby wallet - Támogatja a [Tangem walletet](#Tangem) WalletConnect kapcsolaton keresztül. - open source - multi asset wallet: IGEN (sok token, sok coin, sok lánc) ### Kepler wallet - Cosmos ökoszisztéma ### Nova wallet - Polkadot, Moonbeam ökoszisztéma ## Telefon, mint wallet Nem elvitatva a hardver walletek előnyét, és azt hogy egy általános használatú, mindenféle progival (esetleg vírussal) telepakolt, állandóan magammal cipelt telefon nem igazán biztonságos, vajon egy - dedikáltan erre a célra használt, - SIM kártya nélküli, kizárólag itthoni LAN-ra WiFi-n kapcsolódó, - általában a fiókban kikapcsolva pihenő, - OS szintű backup mentés kikapcsolva - teljesen szűz állapotú telefon (csak OS frissítés jön rá), - amin még google fiók sincs beállítva, és - csak a wallet.apk az egyetlen utólag telepített program (már ha a használt program hivatalosan is kínál ilyen lehetőséget), az a telefon biztonságosnak tekinthető? Vagy ugyanez iPhone-nal, bár ott nem találtam sideload lehetőséget. De talán a rosszindulatú kód is kevesebb, a gyártó presztízséről nem is szólva. Telefon és tablet esetén mindent szedjél le, mindent ami nem kell és csak azt tedd fel, ami szükséges. Csak jól ismert márkák eszközeiből válassz, ne az Aliexpresszről rendeljél 100$-ért valami szutykot. > [name=wacher]Ez a megoldás inkább HODL-re jó (ajánlott?), bár a legtöbb dApp támogatja a WalletConnect kapcsolatot, ami egy szintén WalletConnect kompatibilis tárcával kényelmes is. :::info Silur egyébként azt [[mondta]](https://forbes.hu/uzlet/kriptovaluta-kriptografia-silur-hekker/), hogy > Milyen böngészőt ajánlasz? Ez már-már vallási kérdés. Én Firefoxot használok. A legtöbben Chrome-ot, de a Chrome kódbázisa óriási, nagy számok törvénye szerint lesz benne valami hiba, amit ki lehet használni. > Milyen telefont? Google Pixel telefonok és [[Graphene]](https://grapheneos.org/) operációs rendszer. Nem ismert, de a legbiztonságosabb. A legtöbb hacker és kódoló ilyet használ. >Milyen kriptowalletet? [[Unstopable]](https://unstoppable.money/): nyílt forráskódú és egyszerűen gyönyörű a kódja. A Metamask is jó, de azért legyen mellette egy ledgered is. ::: ## Szoftverwalletek frissítése A szoftverwalletek frissítéséhez kizárólag a hivatalos forrásokat használd! Csak akkor frissítsd a szoftvert, amikor az felajánlja a lehetőséget és kövessük a szoftver utasításait, ez általában Update! gomb megnyomása ;) A böngészőbe épülő walleteket nem kell frissíteni, elintézi a böngésző. :::warning **Ha valaki arra akar rávenni, hogy ilyen-olyan linkre kattintva frissítsd a walletedet, fuss!** ::: Ha Youtube-on keresel megoldást egy problmádra és egy How to fix.... videót találsz, mindig ellenőrizd, hogy: - van-e és mennyi like van a videón - a csatorna egyébként is kritpó tartalmakat tesz közzé, vagy mondjuk 3 éve még foci kontentet gyártott, aztán nagy kihagyás után pár hónapja kissé gyanús kriptós anyagok vannak? # CEX - centralized exchange Legismertebb tőzsdék - https://binance.com - http://coinbase.com - https://kraken.com - https://gate.io - https://poloinex.com - https://okx.com - https://www.kucoin.com A címeket a [coinmarketcap.com] és a [coingecko.com] oldalakon is ellenőrizheted. Hidd el, hogy ezeken a tőzsdéken mindent megtalálsz, nem kell olyan kis tőzsdékre regelned, amelyekről soha senki nem is hallott. Ha valaki megkeres, hogy nyertél vagy kaptál BTC-t csak regeleje ide vagy oda, hidd el: átverés. Lehet, hogy úgy néz ki mint egy rendes tőzsde, beutalni és talán kereskedni is tudsz majd, de kivenni nem fogsz tudni egy árva vasat sem. Amikor szertnél kivenni, akkor mindenféle indokokkal próbálnak még több pénzt behúzni: igazolásként, hogy a withdraw cím a tiéd, utalj be onnan X összeget vagy fizesd meg az adót (nem kell adóznod, legalábbis nem ott és nem akkor), stb. ## Csalások és adathalászat felismerése Csalások felismerésére legegyszerűbb módszer a józan ész: nem nyertél olyan játékban, amibe nem is neveztél. Nincsenek rokonaid a világ másik végén, akitől éppen örököltél. Nem kell verifikálni a tárcádat. A metamask nem csinál olyan karbantartást, hogy újból csatlakoztatni kell a tárcádat. Ha az általad használt tőzsde valami szoktatlan dolgot kér tőled, akkor először gyanakodj. Utóbbi felismeréshez a tőzsdék a az anti-phising használatát biztosítják. Az adathalász email mindig valami olyan levél, ami nagyon hasonlít a megszokott arculatra, nagyon ismerős, elsőre simán elhiszed, hogy valid levél. És tuti arra kér, hogy kattints és lépj be. Ez már általában csapda. Előbb-utóbb az lesz a vége, hogy a 12 szót vagy usernév+jelszó párost kell(ene) megadnod. Néha meglepően profin néz ki egy ilyen levél, jó a szövegezése első pillanatra nem tudod eldönteni biztosan, hogy igazi-e. Erre találták ki a CEX-ek, hogy a rendszerükben, a profiladatokban, a jelszó, stb. személyes adatok között meg kell adni egy kifejezést, amit egyből felismersz, gyerek-asszony-kutya-macska neve, akármi. Amit nem találhatnak ki találomra. Ha valóban a CEX küld neked levelet, akkor ez az általad kitalált szó, mint egy ismertetőjel, egy anyajegy ott lesz a levélben, általában az elején, jól látható helyen. `Anti-phising: <amit megadtál>`. Ha ez a szó nincs ott vagy rossz, akkor biztos lehetsz benne, hogy a levél csalóktól jött. # DEX - decentralized exchange - Végtelen költés approve ellenőrzése és visszavonása. Ezeket nem árt időnként ellenőrizni, hogy tényleg mindenről tudjuk-e hogy mi miért történt - https://debank.com/ Komplex áttekintést szinte a teljes kriptó életedről - https://bscscan.com/tokenapprovalchecker Itt pedig vissza is lehet vonni a korábbi Approve-okat (tx fee ellenében). A wallet, pl. Metamask "disconnect" funkciója csak azt akadályozza meg, hogy az adott oldal automatikusan hozzáférjen a tárcaadatokhoz, de a korábban megadott Approve-ok nem szűnnek meg! Lásd még: - ETH: https://etherscan.io/tokenapprovalchecker - BSC: https://bscscan.com/tokenapprovalchecker - Polygon: https://polygonscan.com/tokenapprovalchecker - Arbitrum: https://arbiscan.io/tokenapprovalchecker - Avalanche: https://snowtrace.io/tokenapprovalchecker - Fantom: https://ftmscan.com/tokenapprovalchecker - Optimistic: https://optimistic.etherscan.io/tokenapprovalchecker - https://rugdoc.io/ ## WalletConnect használata Mivel a Metamask és a legtöbb DEX támogatja a WalletConnect használatát, adódik egy érdekes lehetőség a a Metamask és a "kriptózáshoz használt eszköz" elválasztására. A Metamaskot nem arra a gépre, nem abba a böngészőbe, nem arra a telefonra telepítjük, ahonnan kriptózunk, hanem egy másikra. Egy DEX-hez pedig úgy kapcsolódunk, hogy a DEX Choose Wallet opciónál a WalletConnect-et választjuk, a megjelenő QR kódot a mobil Metamask-kal beolvassuk. Sajnos ehhez továbbra is aktív internetkapcsolat kell (otthoni WiFi elégséges), de legalább már a két eszközt (a böngészőt és walletet) fizikailag szétválasztottuk. Ugyanez ugyanígy működik - többek között - Trust Wallet-tel és Exodus wallet-tel is. >[name=wacher]A Ledger Live is WalletConnect kompatibilis eszköz, de azt még nem próbáltam.