Veiligheid op exchanges
Als je wilt handelen deponeer je je geld bij een exchange. Dat heeft twee interessante gevolgen. Ten eerste is technisch gezien jouw geld vanaf dat moment in bezit van de exchange. Vertrouw je je exchange ermee? Ten tweede krijg je toegang tot je geld met je inloggegevens. Of anders gezegd, iedereen die op jouw account kan inloggen, heeft toegang tot je geld. In dit artikel gaan we hierop in.
Vertrouw je je exchange?
Op verschillende manieren kan een exchange jouw geld kwijtraken. Ze kunnen worden gehacked. De eigenaars kunnen met het geld verdwijnen. De lijst met "crypto heists" wordt elk jaar langer. In februari raakte de Italiaanse exchange BitGrail voor 139 miljoen euro aan Nano kwijt.
Helaas is de grootte of bekendheid van een exchange geen garantie voor veiligheid. De hack van BitGrail kwam door een vrij knullige fout bij de validatie van de gebruikersinvoer. Code audits en penetratietests hadden dit waarschijnlijk gevonden. Maar er is een fundamenteler probleem.
Niets is perfect veilig
Beveiliging is asymetrisch. De verdediger moet elk punt op orde hebben, terwijl de aanvaller maar één zwak punt hoeft te vinden. Geen enkel systeem zal ooit perfect veilig zijn. Alles is te hacken. Desnoods door spionage, omkoping of door ergens met een tank naar binnen te rijden.
De vraag is of een systeem adequaat beveiligd is, dat wil zeggen, dat de beveiliging in overeenstemming is met de belangrijkheid van het systeem. Laten we zeggen dat het systeem dat kernwapens lanceert betere beveiliging nodig heeft dan het systeem dat de backups van wikipedia bevat.
En daar ligt het probleem. Een grote, bekende exchange is automatisch ook een interessant doelwit. Hoe goed ze ook hun best doen, er is altijd kans dat iemand een gaatje vindt.
Niet bewaren op een exchange
Bij een decentralized exchange blijft je geld van jezelf (in je eigen wallet) totdat de transactie plaatsvindt. Een probleem is dat er op dit moment nog weinig goede decentralized exchanges zijn. Laag volume, matige gebruiksvriendelijkheid, weinig functionaliteit. Lees meer over decentralized exchanges in deze blog.
Voorlopig gebruiken we nog gecentraliseerde exchanges, waardoor het aan te raden is om je geld zo kort mogelijk op een exchange te hebben staan. Eigenlijk alleen tijdens het handelen. Houden voor de lange termijn doe je het best in je eigen wallet. Je kunt ook meerdere exchanges gebruiken om het risico te spreiden.
Beveilig je account
Het tweede gevolg van handelen op een exchange is dat je inloggegevens toegang geven tot je geld. Het is daarom van belang om je account goed te beveiligen. Een aantal tips:
- Gebruik een sterk wachtwoord (> 25 tekens lang).
- Gebruik voor elk systeem een uniek wachtwoord.
- Bewaar je wachtwoorden in een password manager (wij zijn fan van 1Password).
- Whitelist je IP-adres voor withdrawal (en evt. API toegang), dan kan je alleen vanaf jouw IP geld opnemen.
- Stel two factor authentication (2FA) in.
Dat laatste licht ik graag nog even toe. Authenticatie is het controleren of je bent wie je beweert te zijn. Je geeft een gebruikersnaam of e-mail op, en moet daarna bewijzen dat jij dat echt bent. Het minste wat je kunt doen is een wachtwoord vragen. Maar veiliger is om meerdere "factors" te vragen. Een factor is een soort bewijs. Bijvoorbeeld "iets wat je weet", "iets wat je hebt" of "iets wat je bent".
Bij two factor authentication moet je met twee factors bewijzen dat jij het bent. Bijvoorbeeld een wachtwoord (iets wat je weet) en een code die door een app gegenereerd wordt (iets wat je hebt). Je telefoon heeft misschien een pin (iets wat je weet) en een vingerafdruk (iets wat je bent). Merk op dat twee wachtwoorden of een wachtwoord en een zelf gekozen pincode niet 2FA is. Het is twee keer dezelfde factor (iets wat je weet).
Bij elke exchange kun je 2FA inschakelen (en zo niet, wegwezen!). Doe dat altijd.
Beveilig je systeem
Niet specifiek voor exchanges, maar wel relevant, is het beveiligen van je systeem:
- Zorg voor anti-malware en anti-virus, zeker als je Windows gebruikt.
- Gebruik geen publieke wifi. En als het een keer moet, gebruik een VPN.
- Versleutel je harddisk. Als je laptop of pc gestolen wordt, dan kan de dief niet bij je bestanden (en wallets).
- Controleer of je naar de goede site surft, wees alert op phishing.
- Gebruik een password manager voor het invullen van wachtwoorden, die werkt alleen als je op het juiste domein zit.
Als je munten langer bewaart, kun je een hardware wallet gebruiken. De private key staat dan niet meer op je computer, en kan dus ook niet worden gestolen of onderschept. Je kunt natuurlijk wel weer je hardware wallet kwijtraken... ;-).
Alles geregeld? Happy trading!
Iedereen heeft een mening
Onder de noemer Opinie
schrijven we regelmatig over een spraakmakende podcast, video of tweetstorm.
We zijn het niet noodzakelijkerwijs eens met de spreker of schrijver, maar vinden het interessant genoeg om
te delen, duiden en ondertitelen.