Apa yang $ 10 juta dalam pencurian harian memberi tahu kami tentang keamanan crypto – TechCrunch

0
37


Jika Anda termasuk di antara semakin banyak orang yang tertarik dengan cryptocurrency, Anda mungkin tertarik untuk mengetahui bahwa hampir 7.000 orang kehilangan lebih dari $80 juta antara Oktober 2020 dan Maret 2021 — peningkatan 1.000% dari tahun lalu, menurut Komisi Perdagangan Federal.

Penipuan termasuk pertukaran mata uang palsu dan situs web “investasi” palsu yang menjual mata uang. Baru-baru ini, lebih dari $10 juta dicuri dalam berbagai cryptocurrency crypto pada hari-hari menjelang penampilan Elon Musk di “Saturday Night Live.”

Dan inilah masalahnya: Anda tidak memiliki cara untuk melindungi akun Anda dari pencurian apa pun. Di dunia cryptocurrency, tidak ada jaminan. Berbeda dengan dunia perbankan tradisional, tidak ada yang setara dengan Perusahaan Asuransi Deposit Federal untuk menutupi kerugian pada akun Anda. Jika aset Anda dicuri, Anda kurang beruntung.

Hampir 7.000 orang telah kehilangan lebih dari $80 juta antara Oktober 2020 dan Maret 2021 – meningkat 1.000% dari tahun lalu, menurut Komisi Perdagangan Federal.

Mengaktifkan akses aman ke aset cryptocurrency ini sangat penting untuk mencegah pencurian — yang, pada akhir tahun 2020, berjumlah lebih dari $10 juta per hari — dan/atau penguncian potensi kekayaan seseorang.

Tetapi bagaimana Anda dapat memastikan bahwa orang selalu dapat mengakses akun mereka? Itu tergantung pada bagaimana akun diatur pada awalnya — yang biasanya berarti bahwa kata sandi atau otentikasi berbasis pengetahuan (KBA) lainnya terlibat. Sayangnya, kata sandi tidak cocok untuk mengamankan akun bernilai tinggi karena dapat dengan mudah disusupi, baik melalui serangan phishing atau pencurian langsung.

Plus, jika Anda memiliki dompet cryptocurrency yang jarang digunakan, Anda mungkin lupa kata sandi awal dan mungkin mengalami masalah pulih itu — bahkan jika ada mekanisme untuk melakukan pemulihan. KBA juga diganggu dengan masalah mulai dari kurangnya ingatan (apa hobi favorit saya lagi?) hingga ketersediaan luas informasi “pribadi” di web (untuk beberapa dolar, Anda pasti dapat menemukan nama gadis ibu saya).

Pengambilalihan akun Cryptocurrency terjadi dengan meningkatnya frekuensi; itu tidak membantu bahwa ada beberapa hubungan kepercayaan yang telah ditetapkan sebelumnya antara pengguna dan penyedia pertukaran atau dompet dan bahwa hampir semua transaksi diselesaikan dalam beberapa menit dan tidak mudah dibatalkan.

Sayangnya, pengambilalihan ini menggunakan pola yang sangat mirip yang telah diamati selama bertahun-tahun di dunia perbankan tradisional: Penyerang pertama-tama akan mencoba memanen dan kemudian memasukkan kredensial yang dicuri. Jika itu tidak berhasil — misalnya pengguna telah melindungi akun mereka dengan memerlukan faktor kedua SMS — mereka akan beralih ke teknik populer untuk mengatasi SMS, seperti Pertukaran SIM atau Layanan relai SMS $16 yang mengirimkan kode SMS tersebut ke ponsel penyerang, yang mengarah pada pengambilalihan akun yang “berhasil”.

Bahkan token yang sangat aman atau aplikasi autentikator khusus rentan terhadap serangan replay dari peretas yang termotivasi — dan dengan pertaruhan kekayaan pribadi, tidak ada kekurangan motivasi.

Selain itu, pertumbuhan pesat dalam jumlah pengguna pertukaran mata uang kripto ditambah dengan kebutuhan akan keamanan siber yang kuat telah menghasilkan pengalaman dukungan yang mengerikan di mana pengguna harus menunggu selama berminggu-minggu atau bahkan berbulan-bulan untuk mendapatkan kembali akses ke akun mereka sendiri — hanya karena sangat sulit untuk mereka untuk membuktikan bahwa mereka adalah pemilik yang sah.

Praktik terbaik autentikasi dapat membantu

Jadi bagaimana kita memperbaiki situasi ini? Dengan otentikasi pengguna berbasis standar yang telah terbukti tahan terhadap phishing dan pengambilalihan akun — dan itu sudah tertanam dalam miliaran perangkat di seluruh dunia dan tersedia untuk hampir setiap pengguna di browser modern. Protokol otentikasi FIDO (Fast IDentity Online) dikembangkan oleh a siapa IT, pembayaran, dan layanan konsumen dan memastikan bahwa semua kredensial kriptografi disimpan di perangkat pengguna — sehingga menghilangkan serangan mesin-di-tengah yang paling canggih sekalipun.

Pertukaran crypto Gemini adalah pengadopsi awal FIDO untuk aplikasi ponsel cerdasnya dan untuk pengguna browser, dengan persentase yang terus meningkat dari penggunanya yang melindungi akun mereka dengan otentikasi FIDO dengan membeli kunci keamanan Bersertifikat FIDO. Ada sejumlah pertukaran lain yang telah menambahkan otentikasi FIDO, seperti Coinbase, yang juga mendukung kunci FIDO. Binance memiliki FIDO untuk versi webnya, tetapi belum pada aplikasi ponsel cerdasnya. Dan STEX juga memiliki dukungan untuk berbagai perangkat dan metode FIDO. Akhirnya, Dukungan dompet perangkat keras buku besar FIDO langsung di perangkat mereka.

Idealnya, akan lebih baik dan lebih efektif jika ada penerimaan industri cryptocurrency yang luas terhadap pendekatan FIDO terhadap otentikasi modern dan penerapan beberapa praktik terbaik terkait, seperti:

  • Standarisasi aliran dan praktik otentikasi di seluruh pertukaran kripto. Otentikasi pengguna yang lebih baik harus menjadi praktik standar untuk setiap pertukaran, bukan pembeda kompetitif. Jika semua bursa terkemuka beralih ke praktik terbaik industri untuk pembuatan akun, login, dan pemulihan, itu akan membantu melindungi pelanggan — dan aset kripto kolektif mereka.
  • Mengharuskan pengguna untuk mendaftarkan beberapa autentikator untuk membantu pemulihan akun untuk setiap pertukaran mata uang kripto, apakah itu dua kunci keamanan FIDO atau kunci keamanan FIDO dan autentikator biometrik. Memiliki beberapa kunci pemulihan akun untuk setiap pertukaran mata uang kripto akan membantu mengurangi beban dukungan dan membantu pengguna yang kehilangan perangkat. Ini juga akan menawarkan kepada pengguna pilihan opsi otentikasi yang lebih kuat.
  • Menghilangkan opsi pencadangan dan pemulihan yang kurang aman, seperti menggunakan SMS atau faktor otentikasi berbasis pengetahuan lainnya, juga akan membantu meningkatkan keamanan secara keseluruhan, terutama untuk pemulihan akun.

Intinya adalah agar pasar cryptocurrency mencapai potensi penuhnya, pertukarannya perlu secara kolektif mencapai keseimbangan antara anonimitas dan privasi yang membuat crypto unik dengan keamanan akun dan aset. Mengikuti jejak pertukaran crypto seperti Gemini dan membiarkan pengguna mengunci akun mereka adalah langkah bagus untuk melindungi pengguna dari phishing dan pengambilalihan akun sambil menjaga privasi dan kenyamanan.

Andrew Shikiar adalah CMO dan direktur eksekutif The FIDO Alliance, yang mempromosikan pengembangan, penggunaan, dan kepatuhan terhadap standar autentikasi dan pengesahan perangkat.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here