Mantenha suas criptos #SAFU (Dicas do CZ)

2020-02-23

Como parte do nosso comprometimento em ajudar a comunidade cripto a ficar mais segura, o CEO da Binance, CZ (Changpeng Zhao) abordou detalhes de diversos aspectos da segurança das criptos neste post no blog.

Segurança é importante. Parece óbvio, mas, de forma dolorosa, vemos as pessoas no dia a dia sem conscientização quanto a sua segurança. Igualmente doloroso é assistir a especialistas supondo que todos possuem o mesmo conhecimento técnico de problemas de segurança, propondo projetos e recomendações que são difíceis de usar e fáceis de estragar. Segurança é um tema amplo. Eu não sou especialista em muitas áreas, mas já testemunhei muitas pessoas enfrentando diversos problemas de segurança. A subida do preço da cripto, e o mercado em movimento, abre caminho para muitos novatos ingressarem novamente ao mundo da cripto. Neste artigo, tentarei ao máximo usar termos leigos para explicar alguns conceitos de segurança relacionados a guardar cripto, incluindo:

  1. Alguns conceitos básicos de segurança

  2. Motivos e formas para você querer, ou não, guardar você mesmo suas moedas

  3. Motivos e formas para você querer, ou não, guardar suas moedas em uma corretora centralizada

  4. Outros tópicos

Primeiramente, nada é 100% seguro. Se o nosso pequeno planeta for atingido por um asteroide, provavelmente seus fundos não estarão a salvo, independentemente do local em que estão armazenados. Sim, você poderia guardá-los no espaço, mas vamos ver quanto tempo isso duraria ou se valeria alguma coisa, uma fez que a Terra se foi. Provavelmente você não estaria mais se importando. Isso ilustra o fato de que a sua pergunta real é: está "seguro o suficiente?" 

Então, vamos definir "seguro o suficiente". O conceito é diferente, a depender da pessoa ou do propósito. Se você detém seus $100 de "dinheiro para gastar" na sua wallet (carteira), você provavelmente não precisa de ultra mega segurança. Sua wallet do celular provavelmente será o suficiente. Agora, se você guarda milhões de reais ou suas economias de uma vida, você vai querer tomar medidas mais fortes de segurança. Para o restante do artigo assumiremos que se trata de um valor considerável que você quer proteger.

Para proteger suas moedas, você precisa seguir três pontos:

  1. Prevenir que outros te roubem.

  2. Impedir que você as perca.

  3. Ter um forma de passar para seus entes queridos, no caso de você ficar inacessível.

Simples, correto? Bom, fazer os três corretamente requer algum conhecimento, esforço e atitude que não são conhecidas pela maioria das pessoas.

Então, vamos começar.

Motivos para você querer, ou não, guardar você mesmo suas moedas

Minhas chaves, meus fundos. Será?

Muitos especialistas em cripto consideram que o mais seguro é você mesmo guardar suas criptos, mas não consideram o quão técnico isso é para uma pessoa comum. Será que este é o melhor conselho para você? Vamos agora aprofundar nesta opção.

Primeiro, te faço uma pergunta: Você sabe o que é uma chave privada de Bitcoin? Se você não tem certeza do que é, você definitivamente deve continuar esta leitura.

Uma chave privada da Bitcoin se parece com isso: KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p

É isso. Apenas uma sequência de caracteres. Quem tiver uma cópia pode mover bitcoins que existirem neste endereço.

Há também o conceito de uma “frase semente,” que é uma sequência de 12 a 24 palavras simples em inglês em uma ordem específica. Ela pode ser usada para gerar um conjunto de chaves privadas. Muitas wallets usam esta semente. Para o resto do artigo usaremos o termo “chave privada,” mas a maioria dos procedimentos e recomendações também se aplicam à “semente.”

Voltando ao tópico, para você mesmo guardar sua cripto de forma segura, você precisa:

  1. Impedir que outros obtenham suas chaves privadas; prevenindo hackers, protegendo seu computador de vírus, na internet, etc.

  2. Evite perder sua chave privada; tenha backup para evitar a perda ou quebra de um dispositivo e proteja esses backup.

  3. Garanta uma forma de passar a chave privada aos seus sucessores em caso de falecimento. Não é um cenário agradável a se considerar, mas como adulto responsável por nossos entes queridos, precisamos considerar este risco.

Vamos olhar para cada um em detalhes.

1. Impeça que outros obtenham suas chaves

Isso é óbvio. Todos nós já ouvimos falar sobre hackers, vírus, cavalos de Troia, etc. Você não vai querer nada disso perto do dispositivo que você usa para guardar suas moedas.

Para conseguir se assegurar com um nível respeitável de confiança, seu dispositivo nunca deve se conectar à internet ou baixar arquivos. Então, como você utiliza um dispositivo como este para mandar e receber criptomoeda com segurança?

Vamos conversar sobre os diferentes dispositivos que você pode usar.

Um computador é uma escolha óbvia e geralmente a mais versátil. Sendo escolhido um computador para guardar as moedas, este nunca deve ser conectado à internet ou qualquer outra rede. Ao se conectar a internet, há uma chance de hackers invadirem o dispositivo através de eventual brecha no sistema operacional ou nos softwares usados. O Software nunca está livre de brechas.

Fica a dúvida: Como instalar um software num computador que não está conectado à internet? Através de um CD ROM ou um pen drive. Garanta que eles estão livres de ameaças. Utilize neles pelo menos uns três antivírus diferentes para escanear o possível e o impossível. Faça o download do software que você quer instalar (SO ou wallet) e baixe num pen-drive, aguarde por 72 horas, verifique as notícias para garantir que não há nenhum relato de quebra de segurança ou problemas sobre o software que você baixou ou do site em que realizou o download. Há casos em que o próprio site oficial foi hackeado e o download do software foi substituído por um cavalo de Troia. Você deve baixar softwares apenas de sites oficiais. Além disso, você deve usar apenas softwares open-source, para reduzir as chances de back-doors. Mesmo que você não seja um desenvolvedor, o software de open-source é analisado por outros desenvolvedores e tem uma chance menor de ter back-doors. Isso significa que você deve usar uma versão estável do Linux (não Windows ou Mac) como seu sistema operacional, e apenas use softwares de open-source para as wallets.

Após instalar tudo, use um pen-drive limpo para realizar uma assinatura offline em suas operações. Isso varia de acordo com a wallets, mas não é o escopo deste artigo. Fora o Bitcoin, muitas moedas não possuem uma wallet que possa ser assinada offline.

Você também precisa assegurar o dispositivo fisicamente. Se você for roubado, a pessoa que tiver o dispositivo em sua posse poderá acessá-lo fisicamente. Para tanto, tenha certeza que seu disco está fortemente criptografado, para que, mesmo que alguém o pegue, não seja capaz de lê-lo. Diferentes sistemas operacionais oferecem diferentes ferramentas de criptografia. Novamente, um tutorial sobre criptografia de disco não esta no escopo deste artigo, mas há muito conteúdo online.

Se você puder fazer bem feito tudo que foi exposto acima, provavelmente você não precisa ler o resto deste artigo. Mas se o que foi apresentado acima não faz parte do seu arroz com feijão, há outras opções.

Você pode usar o celular. Nos dias atuais, um celular que não foi rooted/jailbreak é geralmente mais seguro que um computador, em razão do utilização de sandbox no sistema operacional do celular. São tantas versões do Android que é difícil de acompanhar, então, no geral, eu recomendo o uso do iPhone. Novamente sugerimos que você use um celular apenas para wallet, separando do celular que você usa no dia a dia. Você deve redefinir o celular para configurações de fábrica apagando "todo conteúdo e configurações". Após, instale apenas o software da wallet e nada mais. Você deve manter o celular em modo avião o tempo inteiro, exceto quando usar a carteira para transferências. Além disso, recomendo o uso de um cartão SIM separado e apenas conectar a internet por meio de 4G. Nunca conecte seu celular no WiFi. Conecte-se à internet somente quando for usar o celular para assinar as transações ou realizar atualizações de software. Isso geralmente é o suficiente, se você não tiver um valor muito elevado em sua carteira.

Algumas wallets oferecem assinatura de transações offline (através de QR code), possibilitando que seu celular fique completamente offline, a partir do momento que você termina a instalação do aplicativo da wallet e gera sua chave privada. Assim você garante que sua chave privada nunca estará num celular conectado à internet. Isso irá proteger eventuais casos em que o aplicativo da wallet tem uma backdoor ou envia informação de volta ao desenvolvedor, o que já aconteceu com diversos aplicativos no passado, mesmo em versões oficiais. Mas você não poderá atualizar seu sistema operacional ou aplicativo de wallet. A atualização do software deverá ser feita em outro celular. Ao instalar a nova versão do aplicativo, coloque-o em modo avião, gere um novo endereço, faça o backup (veja mais adiante) e ai sim envie os fundos para o novo aparelho. Não é algo muito dinâmico. Além disso, há um número limitado de moedas/blockchain que essas carteiras suportam.

Você também precisa garantir a segurança física do seu telefone. Apesar das últimas versões do iPhone possuírem discos totalmente criptografados, há relatos de dispositivos que alegam conseguir desbloquear o iPhone, se tiverem acesso físico, quebrando a senha de acesso.

Hardware wallets

Você pode usar uma hardware wallet. Esses aparelhos foram projetados para que suas chaves privadas nunca deixem o dispositivo, assegurando que seu computador não tenha uma cópia da chave. A assinatura das transações acontece no dispositivo. Mas nada é 100% infalível. As Hardware wallets podem ter erros no firmware, software, etc. Existem várias hardware wallets no mercado. É recomendável escolher uma marca bem estabelecida, com anos de mercado, pois elas já foram mais testadas. Nas duas maiores marcas de hardware wallet, uma delas apresentou alguns relatórios em que hackers conseguiram acesso físico ao dispositivo, conseguindo obter facilmente sua chave privada. Portanto, você deve garantir que ela estará guardada com segurança. Além disso, quase todas as hardware wallets exigem uma interação com o software do computador (ou celular) para funcionar. Neste caso, você deve garantir que seu computador está limpo e livre de hackers/vírus. Há vírus que alteram o seu endereço de destino para o endereço do hacker no último minuto, dentre outros. Portanto, confirme o endereço de destino no dispositivo com muito cuidado. Você ainda terá que manter seu computador seguro. As hardware wallets previnem algumas formas básicas de roubo de chave privada por hackers, mas eu recomendo fortemente o uso de um computador limpo exclusivo só para isso. Um que você não use para qualquer outra coisa, com o firewall ligado no máximo. No geral, as hardware wallets são uma boa escolha, se você quiser guardar as moedas por conta própria. A parte complicada e um ponto franco sobre as hardware wallets é como você guarda o backup, o que abordaremos na próxima seção.

Existem muitas outras variações de dispositivos e wallets. Não conseguirei analisar todas, mas as informadas acima são os modelos padrão. Passada a explicação de como reduzir (e não eliminar) as chances de terceiros acessarem suas chaves, andamos 1/3 do caminho em explicar como guardar as moedas por conta própria.

2. Evite perder suas chaves

Você pode perder ou danificar o dispositivo usado para armazenar suas moedas. Logo, você precisa de:

Backups.

Aqui também existem vários métodos diferentes. Cada um tem seus prós e contras. Basicamente, você deve ter múltiplos backups, em diferentes localizações geográficas, que outras pessoas não possam ver (criptografadas).

Você pode anotar num pedaço de papel. Algumas carteiras que usam as "sementes" aconselham desta forma, já que é relativamente fácil anotar 12 a 24 palavras em inglês. No entanto, nas chaves privadas você pode facilmente errar uma letra maiúscula ou ter uma letra ilegível (O vs 0), ficando bem difícil, posteriormente, entender o que foi que aconteceu de errado. Também existem problemas sérios envolvendo um pedaço de papel. Ele pode facilmente ser:

  • Perdido - junto com outros papéis

  • Danificado - com fogo ou molhados

  • Facilmente ser lido por outros - sem criptografia

Algumas pessoas usam cofres de banco para armazenar chaves de papel. Geralmente não recomendo esta opção pelos motivos listados acima.

Não tire uma foto do papel (ou print de tela), sincronize com a nuvem e ache que isso é um backup seguro. Se um hacker invadir seu e-mail ou seu computador ele achará facilmente. Além disso, o provedor da nuvem pode ter várias cópias armazenadas em lugares diferentes e seus funcionários podem ter acesso. 

etiquetas de metal fabricadas especificamente para armazenar backup de sementes. Elas devem ser praticamente indestrutíveis, o que resolve os principais problemas de danificar em fogo ou alagamento. Porém, não resolve o problema de perda ou de leitura de terceiros, se você der acesso fisicamente. Mais uma vez, algumas pessoas as armazenam em cofres de banco, geralmente junto com seu ouro ou outro metal. Eu acho que isso é fácil entre as pessoas que atuam com metais. Se você usar essa abordagem, deve entender suas limitações e riscos.

A abordagem que eu recomento é usar alguns Pendrives, mas isso exige um pouco de conhecimento técnico (a típica falácia projetada por especialistas). Existem pendrives USB resistentes a impacto/água/fogo/imãs. Você pode armazenar versões criptografadas do backup de sua chave privada em vários desses pendrives e armazená-lo em vários locais (amigos ou parentes). Isso cumpre todos os requisitos abordados no início da seção, várias localizações, dificilmente será danificado ou perdido e improvavelmente será lido por terceiros. O segredo aqui é a forte criptografia. Para isso, existem muitas ferramentas no mercado, que seguem evoluindo com o tempo. O VeraCrypt é uma ferramenta básica que fornece um nível decente de criptografia. O antecessor do VeraCrypt, o TrueCrypt, foi popular por um tempo, mas mais tarde alguns relatórios revelaram algumas vulnerabilidades e o desenvolvimento foi interrompido. Por esse motivo, é recomendável que você faça sua própria pesquisa e encontrar as melhores e mais atualizadas ferramentas de criptografia. Também é importante não fornecer a ninguém uma cópia do seu backup, mesmo que criptografado. E é recomendável que você renove suas chaves privadas (gerando novas e transferindo fundos das antigas para as novas) periodicamente.

Agora, já percorremos 2/3 do caminho de como armazenar moedas por conta própria.

3. Cuide de seus entes queridos

Nós não vivemos para sempre. É necessário montar um plano de sucessão/herança. De fato, as criptos facilitam a transmissão de sua riqueza aos seus herdeiros, com menos intervenção de terceiros.

Novamente, existem algumas maneiras diferentes de fazer isso.

Se você utilizar os meios de baixa segurança, como carteira de papel ou etiquetas de metal, você pode simplesmente dividir com eles. Isso tem algumas desvantagens em potencial, é claro. Mas se forem jovens ou não tiverem conhecimento técnico, eles podem não ter os meios adequados para manter ou proteger uma cópia dos backups. Se eles bobearem com a segurança, um hacker pode facilmente roubar seus fundos. Além disso, eles podem levar seu dinheiro a qualquer momento. Você pode ou não querer que isso ocorra, a depender da sua relação de confiança.

Sou fortemente contra o compartilhamento de chaves entre pessoas, independente da relação que tenham, pelo simples motivo de que se os fundos forem movimentados/roubados, será impossível determinar quem o movimentou ou quem sofreu uma quebra de segurança. Pode ser muito bagunçado.

Você pode deixar sua carteira de papel ou etiquetas de metal em um cofre de banco ou com um advogado. Mas, como mencionado acima, se qualquer uma dessas pessoas obtiver uma cópia da sua chave, será possível movimentar seus fundos sem muito lastro. Isso é diferente do advogado ter que ir até o banco e movimentar o montante da sua conta para a dele.

O método do pendrive, abordado acima, possibilita a transferência do seu patrimônio com mais segurança. Mas, como dito, requer um pouco mais de organização.

Há serviços onlines chamados "A chave de um homem morto". Eles te enviam uma mensagem/e-mail de vez em quando (digamos, mensalmente). Você precisa clicar em um link ou logar para responder. Se você não responder por um certo período de tempo, eles presumem que você é "um homem morto", e mandam os e-mails que você previamente estabeleceu o conteúdo e os destinatários. Não vou indicar ou endossar qualquer um desses serviços, você deve dar um Google e testar por conta própria. Na verdade, o próprio Google é uma chave de um homem morto. Nas configurações do Google há a opção de deixar alguém ter acesso a sua conta se você não a acessá-la no prazo de três meses. Pessoalmente, eu nunca testei e não posso indicar. Faça o seu próprio teste.

Se você estiver pensando " Oh! Ótimo, eu simplesmente envio a chave privada por e-mail para os meus filhos", por favor, leia este artigo novamente do começo.

Você pode estar pensando, "eu poderia colocar a senha que eu usei para criptografar o pendrive num e-mail, desse jeito, meus filhos e seu cônjuge podem desbloqueá-lo". Está chegando perto, mas ainda não é isso. Já que você não deve deixar a senha do seu backup por ai num servidor de internet. Isso enfraquece consideravelmente a segurança do seu backup/fundos.

Se você estiver pensando em misturar/criptografar o e-mail com a senha para o pendrive, com outras senhas que você compartilha com meus familiares, você esta no caminho certo. Na verdade, você não precisa de uma segunda senha. Existe uma antiga ferramente de criptografia chamada PGP (ou GPG) que você deve procurar. A PGP é uma das ferramentas mais recentes que utiliza criptografia assimétrica (a mesma usada no Bitcoin). Não cabe a mim apresentar um tutorial completo em PGP, há muito material onlines. Resumindo, você deve pedir para seu cônjuge e/ou filho gerar sua própria chave de segurança PGP e você criptografa para eles, com a chave pública deles, sua mensagem de homem morto. Dessa forma, apenas eles podem ler o conteúdo de sua mensagem e ninguém mais. Este método pode ser bem seguro, mas requer que seus familiares tenham condição de manter sua chave privada PGP protegida e sem perdê-la. E, claro, eles precisam saber como usar o e-mail PGP, que possui suas peculiaridades técnicas/complicadas.

Se você acompanhou as recomendações até aqui, você atingiu o nível básico (não avançado) de como armazenar sozinho um valor considerável de criptomoedas. Existem muitos outros tópicos que poderíamos discutir que também abordam alguns dos problemas mencionados até o momento, incluindo multi-sig, assinaturas threshold, etc., mas isso provavelmente pertence a um guia mais avançado. Na próxima parte, veremos:

Usando Corretoras

Quando dizemos neste artigo corretoras, nós nos referimos às corretoras centralizadas que guardam seus recursos financeiros.

Então, após ler a parte anterior você pode pensar "Caramba, isso é muito trabalhoso. Vou apenas deixar minhas moedas na corretora." Bom, utilizar a corretora também tem seu risco. As corretoras são responsáveis em manter seus recursos financeiros e seu sistema seguros, mas você ainda precisa seguir alguns procedimentos para garantir a segurança da sua conta.

Use apenas corretoras de reputação ilibada

Sim, é fácil eu dizer isso, já que a Binance é uma das maiores corretoras do mundo. Há razões fortes para isso. Nem todas as corretoras são iguais.

As grandes corretoras investem pesado em segurança e infraestrutura. A Binance investe centenas de milhões de dólares em segurança. Faz todo o sentido para o tamanho da nossa escala de negócios. A segurança engloba muitas áreas diferentes, desde equipamento, redes, procedimentos, pessoal, monitoramento de risco, big data, IA, treinamento, pesquisa, testes, parceiros terceirizados e até relacionamento com autoridades governamentais globais. Manter uma segurança adequada exige um gasto considerável de dinheiro, pessoas e esforços. As corretoras pequenas simplesmente não tem o tamanho ou recurso financeiro para isso. Eu posso ser criticado por dizer isso, mas é uma das razões por eu sempre falar que, para a maioria das pessoas comuns, é mais seguro confiar numa corretora centralizada do que manter as moedas em sua própria guarda.

Existe o risco da contraparte. Muitas corretoras pequenas/novas podem se tratar de um golpe desde o início. Eles coletam alguns depósitos e depois fogem com os fundos. Por essa mesma razão, fique longe das corretoras "não lucrativas" ou que oferecem taxa zero, descontos pesados e/ou outros incentivos negativos de lucro. Se o objetivo da corretora não é obter lucro, é bem possível que o objeto real seja desviar os seus fundos. Segurança adequada é cara e exige um financiamento de um modelo de negócio sustentável. Não economize com segura quando se trata de seus recursos financeiros. As corretoras grandes e lucrativas não possuem motivação para realizarem golpes. Quando você já gerencia um negócio lucrativo, sustentando bilhões de dólares, que incentivo você teria para furtar poucos milhões e viver escondido e com medo?

As grandes corretoras também são mais testadas nas áreas da segurança. Sim, isso também é um risco. Os hackers focam mais em grandes corretoras. Porém, hackers também miram em corretoras pequenas, da mesma forma, e algumas se apresentam como um alvo mais fácil. As grandes corretoras normalmente tem em torno de 5 a 10 empresas terceirizadas de segurança trabalhando, de forma alternada, para realizar testes de quebra de segurança.

A Binance vai um passo além do que muitas corretoras, em termos de segurança. Nós investimos pesado em big data e IA para combater hackers e golpistas. Conseguimos evitar que muitos usuários perdessem seus recursos financeiros quando eles sofreram o golpe em seu cartão SIM . Alguns usuários que possuem diversas corretoras relataram que, quando tiveram sua conta de e-mail hackeada, os golpistas levaram seus fundos de outras corretoras, enquanto seus recursos na Binance ficaram protegidos, por causa da nossa IA que bloqueou a tentativa do hacker de sacar o valor da conta. As pequenas corretoras não conseguem fazer isso nem se elas quisessem, simplesmente por não terem big data. 

Protegendo sua conta

Ao usar uma corretora é, obviamente, importante proteger sua conta. Vamos começar do básico.

1. Proteja seu próprio computador.

Destacamos novamente que seu computador frequentemente será o ponto mais fraco da cadeia de segurança. Se puder, use um computador exclusivo para acessar sua conta na corretora. Instale um software antivírus comercial (sim, invista em segurança) e, miniminize demais softwares desnecessários. Ligue seu firewall no máximo.

Jogue seus jogos, navegue na internet, faça downloads, etc num computador diferente. Mesmo neste computador, tenha o antivírus ligado e o firewall ao máximo. Um vírus neste computador tornará muito mais fácil o hacker pular para outros computadores que estão na mesma rede. Portanto, mantenha-o limpo.

Evite baixar arquivos

Mesmo se você não guardar sua própria wallet no seu computador, eu recomendo que você não baixe nenhum arquivo no seu computador ou telefone. Se alguém for te mandar um documento em word, peça que troquem por um link para o Google Doc. Se enviarem um PDF, abra-o no Google drive em um navegador e não no seu computador. Se enviarem um vídeo engraçado, peça para que enviem o link do vídeo na plataforma online. Sim, eu sei que é muito trabalhoso, mas segurança não é gratuita, e não vale o preço de perder suas economias. Veja tudo na nuvem. Não baixe nada localmente.

Além disso, desative "salvar fotos e vídeos automaticamente" em seus aplicativos de mensagens instantâneas. Muitos deles têm o padrão definido para baixar gifs e vídeos, o que não é uma boa prática de segurança.

Acompanhe as atualizações de software

Sei que todas as atualizações do sistema operacional são chatas, mas geralmente corrigem brechas de segurança que foram recentemente descobertas. Os hackers também monitoram essas atualizações e geralmente usam exatamente essas brechas de segurança para entrar nos computadores das pessoas que tem preguiça em atualizar. Os softwares de wallet ou os aplicativos de corretoras geralmente seguem a mesma prática. Portanto, garanta que você usa sempre a versão mais recente.

2. Proteja sua conta de e-mail.

Eu recomendo usar uma conta do Gmail ou Protonmail. Esses dois provedores de email tendem a ser mais seguros do que os outros. Já vimos um número bem maior de quebras de segurança em outras plataformas de e-mails.

Eu recomendo fortemente criar um e-mail único para cada corretora que você usa, deixando difícil de adivinhar qual é. Dessa forma, se outra corretora tiver uma falha de segurança, sua conta na Binance não será afetada. Isso também reduzirá a quantidade de envio de phishing ou golpes por email.

Ative o 2FA no seu e-mail. Eu recomendo usar o Yubikey para suas contas de e-mail. É uma maneira forte de evitar muitos tipos de ataques, incluindo sites de phishing, etc. Abordaremos mais sobre 2FA posteriormente.

Se você mora num país em que ocorre o golpe da troca de chip de celular (SIM), não associe seu número de telefone como um método de recuperação de senha do e-mail. Vimos muitas vítimas do golpe da troca de chip terem suas senhas de e-mail redefinidas e hackeadas. No geral, eu não recomendo vincular celulares a conta de e-mail.. Mantenha-os separados.

3. Proteja suas senhas.

Use uma senha forte e exclusiva para cada site. Não se preocupe em tentar lembrar as senhas. Use uma ferramente de gerenciamento de senhas. Para a maioria das pessoas o LastPass ou 1Password será o suficiente. Ambos integram bem em navegadores, celulares, etc. Ambos afirmam que armazenam apenas senhas localmente, mas são sincronizados com dispositivos utilizando apenas senhas criptografadas. Se quiser algo mais elaborado, pode usar o KeePass, ou qualquer outra variante que se adapte ao seu sistema operacional. O KeePass armazena apenas informações localmente. Ele não é sincronizado entre dispositivos e possui menos suporte para celular. É um sistema open-source, então você não precisa se preocupar com backdoors, etc. Faça sua própria pesquisa e escolha uma ferramenta adequada a você. Mas não tente "economizar tempo" aqui usando a senha simples ou, pior, a mesma senha, em todos os lugares. Certifique-se de usar uma senha forte, caso contrário, o tempo que você economizar poderá custar muito caro.

Porém, com todas essas ferramentas, se você tiver um vírus no seu computador será seu fim. Portanto, assegure-se de ter um bom software antivírus rodando.

4. Ative 2FA.

É altamente recomendável que você ative o 2FA (autenticação de dois fatores) na sua conta Binance assim que você se cadastrar, ou agora, se ainda não o fez. Como o código 2FA geralmente fica no seu celular, ele pode protegê-lo, até certo ponto, no caso de comprometerem seu e-mail ou senha.

Porém, o 2FA não o protege contra tudo. Você pode ter um vírus no seu computador que roube seu e-mail e senha e, monitorando as teclas digitadas, ele também pode roubar o seu código 2FA à medida que você o digita. Você pode estar utilizando um site de phishing e inserir seu e-mail, senha e código 2FA no site falso, e, ao mesmo tempo, o hacker pode usar essas informações para acessar a conta da Binance. Existem muitas situações em potencial aqui, não podemos listar todas. Você ainda precisa manter seu computador seguro, tendo cuidado com sites de phishing (abordaremos mais sobre isso em outro tópico).

5. Configure o U2F.

O U2F é um dispositivo de hardware que gera um código cronometrado, com um domínio específico. O Yubikey é um tipo de dispositivo para isso. (Embora muitas carteiras de hardware também possam atuar como um dispositivo U2F, elas são um pouco mais complicadas, exigindo a instalação de aplicativos e muito mais cliques para navegar.) 

O U2F oferece três grandes vantagens. Primeiro, eles são baseados em hardware, então é quase impossível roubar o segredo armazenado no dispositivo. Dois, eles possuem um domínio específico. Isso te protege mesmo que você esteja utilizando inadvertidamente um site de phishing. E, por último, eles são muito fáceis de usar.

Pelas razões acima, Eu recomendo fortemente que você vincule uma Yubikey à sua conta na Binance. Ela oferece uma das melhores proteções contra tentativas de hackers de roubarem seus recursos financeiros. 

Você também deve vincular sua Yubikey ao Gmail, LastPass e quaisquer outras contas que ele aceite, para mantê-las seguras.

6. Pare de usar a verificação por SMS.

Houve um tempo em que recomendávamos verificação por SMS, mas os tempos mudaram. Dado o aumento de golpes por troca de chip de celular, recomendamos que você não use mais SMS e confie mais em 2FA ou U2F descritos acima.

7. Configure sua Whitelist de endereços para saque.

Nós recomendamos fortemente o uso do recurso de Whitelist para saques na Binance. Isso permite saques rápidos para seu endereço já registrado, deixando mais difícil para hackers adicionarem um endereço de saque.

8. Segurança da API

Muitos de nossos usuários usam APIs para transações e saques. A Binance oferece algumas versões diferentes de APIs, com a última versão aceitando a criptografia assimétrica, o que significa que precisamos apenas da sua chave pública. Dessa forma, você gera sua chave privada em seu ambiente e apenas nos fornece a sua chave pública. Utilizamos sua chave pública para verificar se as ordens são suas e nunca obteremos sua chave privada. Você deve manter sua chave privada em segurança.

Não há necessidade de fazer um backup da sua chave de API, da mesma maneira que faria ao manter suas próprias moedas. Nesse caso, se você perder sua chave de API, você pode sempre criar uma nova. Você só precisa garantir que ninguém mais tenha uma cópia de suas chaves de API.

9. Complete o L2 KYC.

Uma das melhores maneiras de manter sua conta segura é concluir o KYC nível 2. Dessa forma, saberemos o seu perfil. Podemos usar verificações avançadas de vídeos automatizados quando nosso mecanismo de risco de big data detectar anomalias na sua conta.

Isso também é importante para a situação mencionada "se você ficar indisponível". A Binance pode ajudar os membros da família a acessarem a conta de seus parentes falecidos, com a devida verificação.

10. Proteja fisicamente seu telefone e dispositivos

Mais uma vez, você deve manter seu telefone seguro. Você provavelmente tem nele seu aplicativo de e-mail, o aplicativo da Binance e seus códigos 2FA. Não faça root ou jailbreak no seu celular. Isso reduzirá consideravelmente a sua segurança. Você também deve manter seu telefone fisicamente seguro e utilizar o bloqueio de tela. O mesmo vale para seus outros dispositivos. Garanta que eles não caiam em mãos erradas.

11. Tenha cuidado com ataques de Phishing

Tenha cuidado com ataques de phishing. Normalmente eles chegam por e-mail, mensagem de texto ou mídia social, com um link para um site falso que parece o site da Binance. Serão solicitadas suas informações de login, e os hackers as utilizarão para acessar sua conta verdadeira da Binance.

Prevenir o phishing requer apenas cuidados. Não clique em links em e-mails ou sites de mídia social. Acesse a Binance apenas digitando a URL ou usando um marcador. Não compartilhe seu email com outras pessoas. Não use o mesmo e-mail em outros sites. Tenha cuidado quando estranhos (especialmente homens chamados CZ ou similares) do nada começam a conversar com você no Telegram, Instagram etc.

No geral, se você seguir as recomendações acima, sua conta da Binance deverá ficar relativamente segura.

Então, qual é o melhor?

Geralmente, recomendo que as pessoas usem corretoras centralizadas e suas próprias wallets. Se você não tiver muito conhecimento de tecnologia, recomendo que deixe uma porção maior na Binance e deixe o montante "gastável" em sua própria certeira na (TrustWallet). Se você tem conhecimento técnico, então ajuste da melhor forma.

As corretoras centralizadas precisam fazer manutenção de vez em quando, então é importante deixar um valor separado caso você queira fazer uma transação neste meio tempo.

Alguns Outros Tópicos

Existem muitos golpes por ai. 

As pessoas criam contas falsas, similares a contas populares, em mídias sociais, como @cz_binance_, e tentam convencê-lo a enviar dinheiro. Lembre-se de uma regra: não envie dinheiro para as pessoas, a menos que você queira realmente fazer essa transação. Sempre use 2 formas diferentes para verificar se a pessoa para quem você está enviando é a pessoa certa. 

Se o CZ de repente entrar em contato com você e, através de uma história muito convincente, solicitar que você transfira algumas moedas para ele, por favor, denuncie essa conta imediatamente.

Se seu amigo repentinamente enviar uma mensagem de texto pedindo que você envie criptos para uma emergência, ligue para confirmar ou peça para enviar um pequeno vídeo para garantir. Suponha sempre que a conta dele tenha sido hackeada ou que alguém roubou seu telefone.

Fraudes do YouTube

Os golpistas do Youtube estão mais espertos, editando vídeos falsos do CZ distribuindo airdrops, etc. Mais uma vez, se encontrar algum, os denuncie.

Golpes sociais

Não caia nas distribuições de tokens que você primeiro precisa enviar algumas moedas para um endereço, para receber mais de volta. Você não receberá.

Lembre-se de uma regra simples: tenha cuidado quando for enviar cripto.

Nunca clique em links em e-mails

NUNCA clique em um link em um e-mail e insira seu nome de usuário ou senha no site. Isso é sempre uma armadilha. Nesse mesmo sentido, nunca entre em um link de um site de mídia social e realize o login. 

Parta do pressuposto que o link é um site de phishing. Apenas não os use.

Sempre digite a URL manualmente para sua corretora de cripto favorita. Aprenda a soletrar o Binance.com corretamente ou use um marcador.

Por fim

Você chegou ao final deste artigo, eu o parabenizo por isso. Espero que este artigo o ajude a entender mais sobre segurança para proteger melhor seus fundos. Se você seguir as recomendações descritas aqui, estará em boa forma para manter seus fundos de forma relativamente segura, sozinho ou na Binance.

CZ

Siga-nos no novo canal no Twitter, Instagram, Facebook e YouTube. Participe do nosso grupo oficial da Binance em Português Telegram para conversar com a nossa comunidade.