L'explosion et la valeur élevée des tokens non fongibles (NFT) semblent détourner les investisseurs de l'idée d'améliorer leur sécurité opérationnelle pour éviter les exploits, ou alors c'est que les pirates suivent simplement l'argent et utilisent des stratégies très complexes pour exploiter les portefeuilles des collectionneurs.

C'est du moins ce qui s'est passé pour moi il y a longtemps, après que j'ai été victime d'un message classique envoyé sur Discord, qui m'a fait perdre lentement, mais trop rapidement, mes actifs les plus précieux.

La plupart des arnaques sur Discord se déroulent de manière très similaire : un pirate prend une liste de membres sur le serveur et leur envoie des messages directs dans l'espoir qu'ils mordent à l'hameçon.

ATTENTION : Plusieurs arnaques ont lieu sur Discord ce soir. REMETTEZ TOUT EN QUESTION. Avant de cliquer sur un lien, vérifiez quatre fois de qui il provient et s'il est fiable. Puis vérifiez 12 fois de plus sur Twitter via des sources fiables. - Farokh (@farokh) 27 octobre 2021.

« Ça arrive aux meilleurs d'entre nous», ne sont pas les mots que vous voulez entendre à propos d'un piratage. Voici les trois principales leçons que j'ai tirées de mon expérience sur la manière de doubler la sécurité, en commençant par réduire au minimum l'utilisation d'un hot wallet et en ignorant tout simplement les liens envoyés par messages directs.

Un cours accéléré sur les hardware wallets

Après mon piratage, on m'a immédiatement rappelé, et je ne le répéterai jamais assez, qu'il ne faut jamais partager sa phrase de démarrage. Personne ne devrait vous la demander. J'ai également appris que je ne pouvais plus renoncer à la sécurité au profit de la commodité.

Oui, les hot wallets sont beaucoup plus faciles et rapides à utiliser, mais ils n'offrent pas la sécurité supplémentaire d'un pin et d'une phrase de passe comme c'est le cas sur un hardware, ou cold wallet.

Les hot wallets comme MetaMask et Coinbase sont connectés à l'internet, ce qui les rend plus vulnérables et susceptibles d'être piratés.

Contrairement aux hot wallets, les cold wallets sont des applications ou des appareils dans lesquels les clés privées de l'utilisateur sont hors ligne et ne sont pas connectées à l'internet. Puisqu'ils fonctionnent hors ligne, les portefeuilles matériels empêchent les accès non autorisés, les hacks et les vulnérabilités typiques des systèmes, ce qui est susceptible de se produire lorsqu'ils sont en ligne.

4/ UTILISER UN PORTE-MONNAIE MATÉRIEL. Un hardware wallet stocke les clés en dehors de votre appareil principal. Votre appareil peut contenir des logiciels malveillants, des enregistreurs de frappe, des dispositifs de capture d'écran, des inspecteurs de fichiers, qui peuvent également espionner vos clés. Je recommande un Ledger Nano Shttps://t.co/LoT5lbZc0L. - richerd.eth (マ,マ) gm NFT.NYC (@richerd) 2 février 2022

De plus, les hardware wallet permettent aux utilisateurs de définir un code personnel pour déverrouiller leur hardware wallet et de créer une phrase de passe secrète comme couche de sécurité supplémentaire. Désormais, un pirate doit non seulement connaître la phrase de récupération et le code pin d'une personne, mais aussi une phrase de passe pour confirmer une transaction.

Les phrases de passe ne sont pas aussi connues que les phrases d'amorçage, car la plupart des utilisateurs ne sont pas habitués à utiliser un hardware wallet ou à connaître la mystérieuse phrases de passe.

L'accès à une phrase d'amorçage déverrouillera un ensemble de portefeuilles qui lui correspond, mais une phrase de passe a également le pouvoir de faire la même chose.

Comment fonctionnent les pass-phrases ?

Les phrases de passe sont à bien des égards une extension de la phrase d'amorçage d'une personne, car elles mélangent le caractère aléatoire de la phrase d'amorçage donnée avec l'apport personnel de l'utilisateur pour calculer un ensemble d'adresses totalement différent.

Considérez les phrases de passe comme la possibilité de déverrouiller tout un ensemble de portefeuilles cachés en plus de ceux déjà générés par l'appareil. Il n'existe pas de phrase de passe incorrecte et il est possible d'en créer une quantité infinie. De cette façon, les utilisateurs peuvent aller plus loin et créer des portefeuilles fictifs pour éviter qu'un piratage potentiel ne cible un portefeuille principal.

Diagramme de récupération de la seed phrase/phrase de passe. Source : Trezor

Cette fonction est utile pour séparer les actifs numériques d'un compte à l'autre, mais terrible en cas d'oubli. Le seul moyen pour un utilisateur d'accéder aux portefeuilles cachés à plusieurs reprises est de saisir la phrase de passe exacte, caractère par caractère.

Tout comme la phrase de démarrage, la phrase de passe ne doit pas entrer en contact avec un appareil mobile ou en ligne. Elle doit plutôt être conservée sur papier et stockée dans un endroit sûr.

Comment configurer une phrase de passe sur Trezor

Une fois qu'un hardware wallet est installé, connecté et déverrouillé, les utilisateurs qui souhaitent activer la fonction peuvent le faire de deux manières. Si l'utilisateur se trouve dans son wallet Trezor, il appuiera sur l'onglet « Advanced settings» (paramètres avancés), où il trouvera une case à cocher pour activer la fonction de phrase de passe.

Trezor wallet landing page. Source: Trezor

De même, les utilisateurs peuvent activer la fonction s'ils se trouvent dans la suite Trezor, où ils peuvent également voir si leur micrologiciel est à jour et leur broche installée.

Page d'accueil du portefeuille Trezor. Source : Trezor

Il existe deux modèles différents de Trezor, le Trezor One et le Trezor Model T, qui permettent tous deux aux utilisateurs d'activer des phrases de passe, mais de manière différente.

Le Trezor Model One offre uniquement aux utilisateurs la possibilité de taper leur phrase de passe sur un navigateur web, ce qui n'est pas l'idéal en cas d'infection de l'ordinateur. En revanche, le Trezor Model T permet aux utilisateurs d'utiliser l'écran tactile de l'appareil pour taper la phrase de passe ou de la taper dans le navigateur Web.

Interface du portefeuille Trezor Model T / Trezor. Source : Trezor

Sur les deux modèles, une fois la phrase de passe saisie, elle s'affiche sur l'écran de l'appareil et attend une confirmation.

Le revers de la médaille de la sécurité

Il existe des risques pour la sécurité, même si cela semble contre-intuitif. Ce qui rend la phrase de passe si forte en tant que deuxième étape d'authentification de la phrase de démarrage est exactement ce qui la rend vulnérable. En cas d'oubli ou de perte, les actifs sont pratiquement perdus.

Bien sûr, ces couches supplémentaires de sécurité demandent du temps et des précautions supplémentaires et peuvent sembler un peu excessives, mais mon expérience m'a appris à prendre mes responsabilités pour garantir la sécurité de chaque actif.

Les points de vue et opinions exprimés ici sont uniquement ceux de l'auteur et ne reflètent pas nécessairement ceux de Cointelegraph.com. Chaque investissement et chaque transaction comporte des risques. Vous devez effectuer vos propres recherches avant de prendre une décision.