O papel de uma carteira de hardware é proteger suas chaves privadas do comprometimento. No entanto, ainda é necessário observar alguns princípios básicos de segurança para evitar qualquer perda ou hacks.

Segurança da frase de recuperação (24 palavras)

Ao inicializar pela primeira vez uma carteira de hardware, você será solicitado a escrever 24 palavras em um papel. As 24 palavras são uma versão legível por humanos da sua semente (a partir do qual derivam todas as suas chaves privadas) e podem ser usadas para restaurar o acesso aos seus recursos criptográficos em outro dispositivo Ledger (ou um compatível).

Qualquer um que obtenha acesso a essas 24 palavras tenha acesso imediato aos seus recursos (o código PIN é uma proteção relacionada apenas ao seu dispositivo e não tem nada a ver com sua frase de recuperação).

Portanto, é da maior importância que você segure corretamente essas 24 palavras.

– nunca tire uma foto da sua folha de recuperação (como seria na nuvem e poderia ser acessível aos hackers)

– nunca entre suas 24 palavras em qualquer computador ou smartphone

– mantenha sua folha de recuperação em um lugar seguro, protegido da luz, umidade e fogo

Além disso, é fundamental garantir que você tenha gerado as 24 palavras. Nunca, nunca use um dispositivo pré-configurado. Nunca, nunca, use um conjunto de 24 palavras que lhe foram fornecidas por terceiros. O princípio básico é que você deve ser o único no mundo a ter conhecimento de suas 24 palavras.

Etapas de segurança para verificar seu endereço de recepção

A sua carteira de hardware requer uma interface de software no seu computador para interagir com você e acessar a internet (para que ela possa calcular seu saldo, obter o histórico de suas transações, etc.). É muito difícil verificar a integridade do software em seu computador e, portanto, você deve agir com os princípios de que o que você vê na tela pode ser comprometido.

Quando você precisa ver o seu endereço de recepção (para que você possa ser o destinatário de um pagamento), você deve tomar medidas adicionais para garantir que você não seja vítima de um homem do ataque do meio. Um invasor poderia controlar o ecrã do seu computador e mostrar-lhe um endereço errado que o tornaria beneficiado por qualquer transação.

Você deve verificar o endereço de recebimento exibindo-o em seu dispositivo.

No canto inferior direito da janela de recebimento, você tem um “botão de monitor” que mostrará o endereço do destinatário em sua carteira de hardware. Você deve certificar-se de que é o mesmo que o exibido, e também certifique-se de que este é o endereço que você enviará / cole / escaneia no aplicativo / serviço de destino . MyEtherWallet também propõe esta função.

Se você estiver usando uma carteira de software que não propõe esse recurso, recomendamos enviar uma pequena quantia primeiro e certifique-se de recebê-la corretamente (verifique se o saldo foi creditado). Este teste deve idealmente ser feito em outro computador. Está certo reutilizar o endereço que você acabou de verificar (você verá um novo endereço nas janelas de recebimento, esta é a maneira normal em que as carteiras de hardware estão funcionando).

Etapas de segurança para verificar o endereço do beneficiário

Quando você deseja enviar um pagamento para um terceiro, geralmente receberá o endereço do destinatário em uma página da Web ou através de um serviço de e-mail / mensageiro. Um ataque trivial para um malware seria substituir este endereço por um deles. Alguns malwares estão simplesmente monitorando a área de transferência para substituir o endereço que você acabou de copiar por um comprometido.

Verifique sempre o endereço do beneficiário no dispositivo (isto é executado pressionando um botão de confirmação), mas também sempre checar com um segundo canal. Por exemplo, solicite que o endereço seja enviado por SMS ou outro aplicativo de mensagens. Se você está depositando em uma troca, envie primeiro uma pequena quantia e verifique se ela chegou corretamente.

Pensamentos finais

Uma carteira de hardware garante a proteção de suas chaves privadas, fornecendo-lhe um isolamento completo contra a internet (as chaves nunca são “quentes”, ou seja, on-line, é por isso que muitas vezes é referido como “armazenamento frio”). No entanto, esta não é uma bala de prata contra todos os ataques possíveis e você sempre deve verificar e verificar novamente tudo, como explicado acima.

Com grandes poderes vem grandes responsabilidades. Ser seu próprio banco não é trivial e requer disciplina. Usar uma carteira de hardware não o torna invencível. Use o senso comum. Não confie, verifique.

Fonte: https://support.ledgerwallet.com/hc/en-us/articles/360000641713-Basic-security-principles-must-read-