Article hero image

ਉੱਨਤ ਸੁਰੱਖਿਆ: ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਵਾਲਟ ਐਕਸਪਲੋਇਟਾਂ ਵਿਰੁੱਧ ਰੱਖਿਆ

ਜਦੋਂ ਤੁਸੀਂ ਸਵੈ-ਸਾਰਕਾਰੀ ਵਿੱਤ ਦੀ ਦੁਨੀਆ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਦੇ ਨਿਰੋਧਕ ਗ੍ਰਾਹਕ ਹੋਣ ਤੋਂ ਆਪਣਾ ਬੈਂਕ ਬਣਨ ਵੱਲ ਤਬਦੀਲ ਹੋ ਜਾਂਦੇ ਹੋ। ਇਹ ਡੂੰਘਾ ਬਦਲਾਅ ਵਿਸ਼ਾਲ ਸ਼ਕਤੀ ਲਿਆਉਂਦਾ ਹੈ, ਪਰ ਨਾਲ ਹੀ ਪੂਰਨ ਜ਼ਿੰਮੇਵਾਰੀ ਵੀ। ਰਵਾਇਤੀ ਵਿੱਤੀ ਪ੍ਰਣਾਲੀ ਵਿੱਚ, ਬੈਂਕ ਭੌਤਿਕ ਸੁਰੱਖਿਆ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਧੋਖਾਧੜੀ ਵਿਰੁੱਧ ਬੀਮੇ ਨੂੰ ਸੰਭਾਲਦੇ ਹਨ। ਕ੍ਰਿਪਟੋ ਲੈਂਡਸਕੇਪ ਵਿੱਚ, ਉਹ ਜ਼ਿੰਮੇਵਾਰੀਆਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੁਹਾਡੇ ਉੱਤੇ ਪੈਂਦੀਆਂ ਹਨ।

ਬਹੁਤ ਸਾਰੇ ਨਵੇਂ ਆਉਣ ਵਾਲੇ ਮੂਲ ਸੁਰੱਖਿਆ ਨਾਲ ਸ਼ੁਰੂਆਤ ਕਰਦੇ ਹਨ: ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਵਰਤੋਂ ਅਤੇ ਦੋ-ਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ (2FA) ਚਾਲੂ ਕਰਨਾ। ਹਾਲਾਂਕਿ ਜ਼ਰੂਰੀ, ਇਹ ਉਪਾਅ ਸਿਰਫ਼ ਖਤਰੇ ਦੇ ਸਭ ਤੋਂ ਨੀਵੇਂ ਪੱਧਰ ਨੂੰ ਹੀ ਸੰਬੋਧਿਤ ਕਰਦੇ ਹਨ। ਗੁੰਝਲਦਾਰ ਹਮਲਾਵਰ—ਰਾਸ਼ਟਰ-ਰਾਜਾਂ ਤੋਂ ਲੈ ਕੇ ਉੱਚੀ ਤਾਲਮੇਲ ਵਾਲੀਆਂ ਅਪਰਾਧੀ ਸੰਸਥਾਵਾਂ ਤੱਕ—ਪਾਸਵਰਡ ਨੂੰ ਬਲ ਜ਼ੋਰ ਨਾਲ ਤੋੜਨ ਉੱਤੇ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦੇ। ਉਹ ਤੁਹਾਡੀਆਂ ਜਾਇਦਾਦਾਂ ਨੂੰ ਘੇਰਦੇ ਕਾਰਵਾਈ ਕਮਜ਼ੋਰੀਆਂ, ਮਨੋਵਿਗਿਆਨਕ ਭੁਲੱਖਾਂ ਅਤੇ ਤਕਨੀਕੀ ਪ੍ਰੋਟੋਕੋਲਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।

ਇਹ ਗਾਈਡ ਪਹਿਰੇਦਾਰ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਆਮ ਧੋਖਾਧੜੀ ਚੇਤਾਵਨੀਆਂ ਤੋਂ ਅੱਗੇ ਵਧਣ ਲਈ ਤਿਆਰ ਹੈ। ਅਸੀਂ ਪੇਸ਼ੇਵਰ-ਗਰੇਡ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਸਥਾਪਤ ਕਰਾਂਗੇ, ਉੱਨਤ ਰੱਖਿਆ ਵਾਸਟੂਕਲਾ (ਮਲਟੀ-ਸਿਗ), ਕਾਰਵਾਈ ਲਚਕਤਾ (OPSEC) ਅਤੇ ਗੁੰਝਲਦਾਰ ਮਨੁੱਖੀ ਹੇਰਫੇਰ ਵਿਰੁੱਧ ਸਕਿਰਪਟਿਵ ਰੱਖਿਆ ਉੱਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਿਤ ਕਰਦੇ ਹੋਏ, ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਤੁਹਾਡੀਆਂ ਜਾਇਦਾਦਾਂ ਉੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਐਕਸਪਲੋਇਟਾਂ ਵਿਰੁੱਧ ਸੁਰੱਖਿਅਤ ਹਨ।

Infographic

ਮੂਲ ਕਾਰਵਾਈ ਸੁਰੱਖਿਆ (OPSEC): ਅਦਿੱਖ ਨਾ ਹੋਣ ਵਾਲੀ ਬਚਾਅ

ਕਾਰਵਾਈ ਸੁਰੱਖਿਆ (OPSEC) ਜਾਣਕਾਰੀ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਬਚਾਉਣ ਦੀ ਵਿਧੀ ਹੈ ਜੋ ਜੋੜੇ ਜਾਣ ਤੇ ਮਹੱਤਵਪੂਰਨ ਭੁਲੱਖਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰ ਸਕਦੀਆਂ ਹਨ। ਕ੍ਰਿਪਟੋ ਵਰਤੋਂਕਾਰਾਂ ਲਈ, ਇਸ ਦਾ ਅਰਥ ਹੈ ਹਰ ਆਦਤ, ਡਿਵਾਈਸ ਅਤੇ ਸੰਚਾਰ ਚੈਨਲ ਨੂੰ ਜਾਂਚਣਾ ਤਾਂ ਜੋ ਹਮਲੇ ਦੇ ਉਪਰੋਂਦਰ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ। OPSEC ਸਾਫਟਵੇਅਰ ਖਰੀਦਣ ਬਾਰੇ ਨਹੀਂ ਹੈ; ਇਹ ਸੁਰੱਖਿਅਤ ਮਾਨਸਿਕਤਾ ਅਪਣਾਉਣ ਬਾਰੇ ਹੈ।

ਕੰਪਾਰਟਮੈਂਟਲਾਈਜ਼ੇਸ਼ਨ: ਵਿਛੋੜੇ ਦਾ ਸਿਧਾਂਤ

ਕਿਸੇ ਵੀ ਡਿਜੀਟਲ ਜਾਇਦਾਦ ਧਾਰਕ ਲਈ ਸਭ ਤੋਂ ਵੱਡਾ ਖਤਰਾ ਇੱਕ ਬਿੰਦੂ ਅਸਫਲਤਾ ਹੈ। ਹਮਲਾਵਰ ਫਲਦੇ ਹਨ ਜਦੋਂ ਉਹ ਇੱਕ ਐਂਟਿਟੀ ਨੂੰ—ਚਾਹੇ ਈਮੇਲ ਅਕਾਊਂਟ, ਫ਼ੋਨ ਜਾਂ ਖਾਸ ਕੰਪਿਊਟਰ ਹੋਵੇ—ਸਮਝੌਤਾ ਕਰਕੇ ਸਭ ਕੁਝ ਨੂੰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਕੰਪਾਰਟਮੈਂਟਲਾਈਜ਼ੇਸ਼ਨ ਵੱਖਰੇ ਖਤਰੇ ਅਤੇ ਪਹੁੰਚ ਦੇ ਪੱਧਰਾਂ ਨੂੰ ਵੱਖਰੇ, ਵਿਛੋੜੇ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵੰਡਣ ਦੀ ਅਭਿਆਸ ਹੈ।

व्यावहारिक ਲਾਗੂ ਕਰਨ:

  1. ਵਿਸ਼ੇਸ਼ ਵਿੱਤ ਡਿਵਾਈਸ: ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਲੈਣ-ਦੇਣ ਨੂੰ ਦਸਤਖਤ ਕਰਨ ਲਈ ਸਿਰਫ਼ ਇੱਕ ਸਾਫ਼, ਏਅਰ-ਗੈਪਡ (ਜਾਂ ਭਾਰੀ ਫਾਇਰਵਾਲ ਵਾਲੇ) ਕੰਪਿਊਟਰ ਜਾਂ ਮੋਬਾਈਲ ਡਿਵਾਈਸ ਵਰਤੋ। ਇਹ ਡਿਵਾਈਸ ਨੂੰ ਕਦੇ ਵੀ ਆਮ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਿੰਗ, ਈਮੇਲ ਜਾਂ ਸੋਸ਼ਲ ਮੀਡੀਆ ਲਈ ਨਾ ਵਰਤੋ। ਇਹ ਮਾਲਵੇਅਰ ਜਾਂ ਕੀਲੌਗਿੰਗ ਨੂੰ ਅਣਜਾਣੇ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਜਾਣ ਤੋਂ ਰੋਕਦਾ ਹੈ।
  2. ਈਮੇਲ ਅਤੇ ਅਕਾਊਂਟ ਪੱਧਰ: ਵੱਖਰੇ ਉਦੇਸ਼ਾਂ ਲਈ ਵੱਖਰੇ ਈਮੇਲ ਪਤੇ ਬਣਾਓ:
    • ਪੱਧਰ 1 (ਉੱਚ ਸੁਰੱਖਿਆ): ਸਿਰਫ਼ ਕੇਂਦਰੀਕ੍ਰਿਤ ਐਕਸਚੇਂਜਾਂ (CEX) ਅਤੇ ਬੈਂਕਿੰਗ 2FA ਰਿਕਵਰੀ ਲਈ ਵਰਤੋ ਸਿਰਫ਼
    • ਪੱਧਰ 2 (ਆਮ ਕ੍ਰਿਪਟੋ): ਨਿਊਜ਼ਲੈਟਰਾਂ, ਛੋਟੇ DeFi ਪ੍ਰੋਟੋਕੋਲਾਂ ਅਤੇ ਆਮ ਫੋਰਮਾਂ ਲਈ ਵਰਤੋ।
    • ਪੱਧਰ 3 (ਲੋਕਕ ਸੋਸ਼ਲ): ਹਰ ਚੀਜ਼ ਲਈ ਵਰਤੋ।
  3. ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰੋਫਾਈਲਾਂ: ਵੱਖਰੇ ਵਾਲਟਾਂ ਅਤੇ ਐਕਸਚੇਂਜਾਂ ਲਈ ਵੱਖਰੀਆਂ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰੋਫਾਈਲਾਂ (ਜਾਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵੱਖਰੇ ਬ੍ਰਾਊਜ਼ਰ) ਵਰਤੋ। ਜੇਕਰ ਇੱਕ ਪ੍ਰੋਫਾਈਲ ਮਾਲੀਸ਼ਸ ਐਕਸਟੈਂਸ਼ਨ ਨਾਲ ਪ੍ਰਭਾਵਿਤ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਹੋਰ ਸੁਰੱਖਿਅਤ ਰਹਿੰਦੀਆਂ ਹਨ।

ਸਾਫ਼ ਮਸ਼ੀਨ: ਡਿਵਾਈਸ ਹਾਈਜੀਨ ਅਤੇ ਅਪਡੇਟਾਂ

ਹਮਲਾਵਰ ਅਕਸਰ ਪੁਰਾਣੇ ਸਾਫਟਵੇਅਰ ਵਿੱਚ ਜਾਣੀਆਂ ਭੁਲੱਖਾਂ ਜਾਂ ਪਿੱਛੋਕੜ ਪ੍ਰਕਿਰਿਆਵਾਂ ਰਾਹੀਂ ਅਣਜਾਣੀਆਂ ਕੋਡ ਚਲਾਉਣ ਰਾਹੀਂ ਪ੍ਰਵੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। "ਸਾਫ਼ ਮਸ਼ੀਨਾਂ" ਨੂੰ ਬਣਾਈ ਰੱਖਣਾ ਗੰਭੀਰ ਜਾਇਦਾਦ ਪ੍ਰਬੰਧਨ ਲਈ ਅਣਗਹਿਲੀਯੋਗ ਹੈ।

ਕਾਰਵਾਈ ਡਿਵਾਈਸ ਹਾਈਜੀਨ:

  • ਜ਼ਰੂਰੀ ਆਪਟਿਕ ਅਪਡੇਟਾਂ: ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਸਾਰੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਆਪਟਿਕ ਅਪਡੇਟ ਹੋਣ ਲਈ ਸੈੱਟ ਹਨ। ਹਮਲਾਵਰ ਅਕਸਰ ਉਹ ਭੁਲੱਖਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ ਜੋ ਹਮਲੇ ਤੋਂ ਥੋੜ੍ਹੇ ਦਿਨਾਂ ਜਾਂ ਘੰਟਿਆਂ ਪਹਿਲਾਂ ਪੈਚ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।
  • ਘੱਟੋ-ਘੱਟ ਸਾਫਟਵੇਅਰ ਸਿਧਾਂਤ: ਸਿਰਫ਼ ਜਾਇਦਾਦ ਪ੍ਰਬੰਧਨ ਜਾਂ ਜ਼ਰੂਰੀ ਕਾਰਵਾਈਆਂ ਲਈ ਚਾਹੀਦੇ ਸਾਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਤ ਕਰੋ। ਹਰ ਸਥਾਪਿਤ ਸਾਫਟਵੇਅਰ ਇੱਕ ਸੰਭਾਵੀ ਸੁਰੱਖਿਆ ਛੇੜ ਹੈ। ਪੁਰਾਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਮਿਟਾਓ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੀ ਆਵਰਤੀ ਆਡਿਟ ਚਲਾਓ।
  • ਪੂਰੀ ਡਿਸਕ ਐਨਕ੍ਰਿਪਸ਼ਨ (FDE): ਸਾਰੀਆਂ ਡਿਵਾਈਸਾਂ ਉੱਤੇ FDE ਸਕਿਰਪਟਿਵ ਹੈ (ਉਦਾਹਰਨ ਲਈ, Mac ਉੱਤੇ FileVault, Windows ਉੱਤੇ BitLocker)। ਜੇਕਰ ਤੁਹਾਡਾ ਲੈਪਟੌਪ ਜਾਂ ਫ਼ੋਨ ਗੁਆਚ ਜਾਂ ਚੋਰੀ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ FDE ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਭੌਤਿਕ ਸਮਝੌਤਾ ਤੁਰੰਤ ਡਿਜੀਟਲ ਸਮਝੌਤੇ ਨੂੰ ਨਹੀਂ ਲੈ ਜਾਂਦਾ, ਜਿਵੇਂ ਐਨਕ੍ਰਿਪਟਡ ਵਾਲਟ ਫਾਈਲਾਂ ਜਾਂ ਕੈਸ਼ਡ API ਕੁੰਜੀਆਂ।
Infographic

ਮਨੋਵਿਗਿਆਨਕ ਸ਼ੋਸ਼ਣ ਨਾਲ ਲੜਨਾ (ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ)

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਉੱਚ-ਨੈੱਟ-ਵਰਥ ਕ੍ਰਿਪਟੋ ਵਰਤੋਂਕਾਰਾਂ ਵਿਰੁੱਧ ਇੱਕਲਾ ਸਭ ਤੋਂ ਆਮ ਅਤੇ ਸਫਲ ਹਮਲਾ ਵੈਕਟਰ ਹੈ। ਇਹ ਤਕਨੀਕੀ ਚਮਤਕਾਰ ਉੱਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦਾ, ਸਗੋਂ ਮਨੁੱਖੀ ਮਨੋਵਿਗਿਆਨ ਨੂੰ ਹੇਰਫੇਰ ਕਰਨ ਉੱਤੇ—ਤੁਰੰਤਤਾ, ਅਥਾਰਟੀ, ਡਰ ਜਾਂ ਝੂਠੀ ਘਨੀਭਾਵਨਾ ਵਰਤ ਕੇ ਪੀੜਤ ਨੂੰ ਬਲਾਤ ਨਿੱਜੀ ਕੁੰਜੀਆਂ ਜਾਂ ਪਹੁੰਚ ਗੁਣਧਰਮ ਆਪਣੇ ਆਪ ਸੌਂਪਣ ਲਈ ਮਜਬੂਰ ਕਰਨਾ।

ਅਨੁਕਰਣ ਹਮਲਿਆਂ ਨੂੰ ਪਛਾਣਨਾ ਅਤੇ ਰੋਕਣਾ

ਗੁੰਝਲਦਾਰ ਹਮਲਾਵਰ ਆਮ ਈਮੇਲ ਨਹੀਂ ਵਰਤਦੇ; ਉਹ ਭਰੋਸਾ ਬਣਾਉਣ ਜਾਂ ਦਬਾਅ ਪਾਉਣ ਲਈ ਡਿਜ਼ਾਈਨ ਕੀਤੀਆਂ ਡੀਪ-ਫੇਕ ਪਛਾਣਾਂ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਹਮਲੇ ਅਕਸਰ ਵੈਧ ਐਂਟਿਟੀਆਂ ਦੇ ਭੇਸ ਵਿੱਚ ਹੁੰਦੇ ਹਨ—ਗ੍ਰਾਹਕ ਸਹਾਇਤਾ ਤੋਂ ਲੈ ਕੇ ਪ੍ਰੋਜੈਕਟ ਸੰਸਥਾਪਕਾਂ ਤੱਕ।

ਆਮ ਅਨੁਕਰਣ ਤਰੀਕੇ:

  1. ਵੇਲ ਫਿਸ਼ਿੰਗ (ਸਪੀਅਰ ਫਿਸ਼ਿੰਗ): ਹਮਲਾਵਰ ਪੀੜਤ ਨੂੰ ਡੂੰਘਾਈ ਨਾਲ ਖੋਜਦੇ ਹਨ, ਅਕਸਰ ਉਹਨਾਂ ਦੀਆਂ ਹੋਲਡਿੰਗਾਂ, ਵਰਤੇ ਜਾਂਦੇ ਪ੍ਰੋਟੋਕੋਲ ਅਤੇ ਉਹਨਾਂ ਦੀ ਲੋਕਕ ਸੰਚਾਰ ਸ਼ੈਲੀ ਨੂੰ ਜਾਣਦੇ ਹਨ। ਉਹ ਜਾਣੇ-ਪਛਾਣੇ ਵਪਾਰਕ ਸਾਥੀ ਜਾਂ ਪੀੜਤ ਅਕਸਰ ਨਾਲ ਜੁੜੇ ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਕੋਰ ਵਿਕਾਸਕਾਰ ਦਾ ਭੇਸ ਬਦਲ ਸਕਦੇ ਹਨ, ਉੱਚ ਯਥਾਰਥਵਾਦੀ ਈਮੇਲ ਟੈਂਪਲੇਟਾਂ ਜਾਂ ਸਿੱਧੇ ਸੁਨੇਹੇ (DMs) ਵਰਤ ਕੇ।
  2. ਤੁਰੰਤਤਾ ਫੰਦਾ: ਕੋਈ ਵੀ ਸੰਚਾਰ ਜੋ ਤੁਰੰਤ ਕਾਰਵਾਈ ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ—"ਤੁਹਾਡਾ ਅਕਾਊਂਟ ਫ੍ਰੀਜ਼ ਹੋ ਗਿਆ ਹੈ; ਅਤੇ ਇੱਥੇ ਕਲਿੱਕ ਕਰੋ," ਜਾਂ "ਅਸੀਂ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਭੁਲੱਖਾ ਲੱਭਿਆ ਹੈ; ਸੁਰੱਖਿਅਤ ਪਤੇ ਤੇ ਫੰਡ ਟ੍ਰਾਂਸਫਰ ਕਰੋ"—ਇੱਕ ਲਾਲ ਝੰਡਾ ਹੈ। ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਹਮੇਸ਼ਾ ਵਿਧੀਬੱਧ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ, ਤੁਰੰਤ ਨਹੀਂ।
  3. ਅਥਾਰਟੀ ਧੋਖਾ: ਹਮਲਾਵਰ IRS ਏਜੰਟਾਂ, ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਅਧਿਕਾਰੀਆਂ ਜਾਂ ਨਿਗਰਾਨੀ ਨਿਗਮਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ਆਉਂਦੇ ਹਨ, ਉਪਭੋਗਤਾ ਨੂੰ ਹدایਤ ਨੂੰ ਪਾਲਣ ਨਾ ਕਰਨ ਉੱਤੇ ਦੰਡ ਦੀ ਧਮਕੀ ਦਿੰਦੇ ਹਨ (ਉਦਾ., ਮਾਲੀਸ਼ਸ ਲਿੰਕ ਰਾਹੀਂ ਵਾਲਟ ਨੂੰ ਵੈਲੀਡੇਟ ਕਰਨਾ)। ਯਾਦ ਰੱਖੋ: ਵੈਧ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਕਦੇ ਵੀ ਈਮੇਲ ਜਾਂ ਤੁਰੰਤ ਸੁਨੇਹੇ ਰਾਹੀਂ ਕ੍ਰਿਪਟੋ ਟ੍ਰਾਂਸਫਰ ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਕੁੰਜੀ ਜਾਣਕਾਰੀ ਨਹੀਂ ਮੰਗਦੀਆਂ।

ਰੱਖਿਆ ਰਣਨੀਤੀ: ਵੈਰੀਫਿਕੇਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ:

  • ਸਾਂਝਾ ਰਹੱਸ ਬਣਾਓ: ਜੇਕਰ ਤੁਸੀਂ ਕ੍ਰਿਪਟੋ ਖੇਤਰ ਵਿੱਚ ਵਪਾਰਕ ਸਾਥੀਆਂ ਜਾਂ ਮਹੱਤਵਪੂਰਨ ਸੰਪਰਕਾਂ ਨਾਲ ਅਕਸਰ ਸੰਚਾਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਪਹਿਲਾਂ ਤੋਂ ਵਿਵਸਥਿਤ ਸੰਚਾਰ ਚੁਣੌਤੀ ਜਾਂ ਸਾਂਝਾ ਰਹੱਸ ਕੋਡ ਬਣਾਓ ਜੋ ਤੁਸੀਂ ਪਛਾਣ ਵੈਰੀਫਾਈ ਕਰਨ ਲਈ ਵਰਤੋ ਪਹਿਲਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਮਾਮਲਿਆਂ ਬਾਰੇ ਚਰਚਾ ਕਰਨ ਤੋਂ।
  • ਆਊਟ-ਆਫ਼-ਬੈਂਡ ਕਨਫਰਮੇਸ਼ਨ: ਕਦੇ ਵੀ ਉਸ ਮੀਡੀਅਮ ਰਾਹੀਂ ਭੇਜੇ ਗਏ ਲਿੰਕਾਂ ਜਾਂ ਹدایਤਾਂ ਉੱਤੇ ਭਰੋਸਾ ਨਾ ਕਰੋ ਜਿਸ ਰਾਹੀਂ ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕੀਤਾ। ਜੇਕਰ ਤੁਸੀਂ ਈਮੇਲ ਰਾਹੀਂ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹੋ, ਤਾਂ ਉਸ ਸੇਵਾ ਦੀ ਅਧਿਕਾਰਕ ਵੈੱਬਸਾਈਟ (ਉਦਾ., Coinbase.com) ਤੇ ਸੁਤੰਤਰ ਰੂਪ ਵਿੱਚ ਨੈਵੀਗੇਟ ਕਰੋ ਅਤੇ ਨੋਟੀਫਿਕੇਸ਼ਨਾਂ ਜਾਂਚੋ। ਜੇਕਰ ਚੇਤਾਵਨੀ Telegram ਰਾਹੀਂ ਆਈ ਹੈ, ਤਾਂ ਪਹਿਲਾਂ ਵੈਰੀਫਾਈ ਕੀਤੇ ਫ਼ੋਨ ਨੰਬਰ ਰਾਹੀਂ ਵਿਅਕਤੀ ਨੂੰ ਕਾਲ ਕਰੋ ਜਾਂ ਵੱਖਰੇ ਸੰਚਾਰ ਚੈਨਲ ਨੂੰ ਵਰਤੋ ਉਹਨਾਂ ਦੀ ਪਛਾਣ ਕਨਫਰਮ ਕਰਨ ਲਈ।

ਸੀਡ ਫ੍ਰੇਜ਼ ਐਕਸਟ੍ਰੈਕਸ਼ਨ ਸਕੈਮ ਦੀ ਬਣਤਰ

ਜਦੋਂਕਿ ਸਟੈਂਡਰਡ ਫਿਸ਼ਿੰਗ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਪਾਸਵਰਡ ਮੰਗਦੀਆਂ ਹਨ, ਗੁੰਝਲਦਾਰ ਸਕੈਮ ਚੁਣੌਤੀਪੂਰਨ ਲਾਭ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ: ਰਿਕਵਰੀ ਸੀਡ ਫ੍ਰੇਜ਼ (ਜਾਂ ਮਨੇਮੋਨਿਕ ਫ੍ਰੇਜ਼)। ਇਹ ਹਮਲੇ ਅਕਸਰ ਉੱਚੀ ਤਰ੍ਹਾਂ ਨਿੱਜੀਕ੍ਰਿਤ ਹੁੰਦੇ ਹਨ ਅਤੇ ਗੁੰਝਲਦਾਰ ਸੈੱਟਅਪ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ।

ਸੀਡ ਫ੍ਰੇਜ਼ ਐਕਸਟ੍ਰੈਕਟ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਤਰੀਕੇ:

  • "ਵਾਲਟ ਸਿੰਕਿੰਗ" ਟੂਲਜ਼: ਹਮਲਾਵਰ ਨਕਲੀ ਸਾਫਟਵੇਅਰ ਜਾਂ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰਮੋਟ ਕਰਦੇ ਹਨ ਜੋ ਵਾਲਟ ਪ੍ਰਦਰਸ਼ਨ ਵਿੱਚ ਸੁਧਾਰ ਦਾਅਵਾ ਕਰਦੀਆਂ ਹਨ, ਫੰਡ ਮਾਈਗ੍ਰੇਟ ਕਰਦੀਆਂ ਹਨ, ਜਾਂ ਸੁਰੱਖਿਆ ਆਡਿਟ ਕਰਦੀਆਂ ਹਨ। ਸਾਫਟਵੇਅਰ ਦਾ ਮੁੱਖ ਕੰਮ ਸਿਰਫ਼ ਵਰਤੋਂਕਾਰ ਤੋਂ ਉਹਨਾਂ ਦੀ ਸੀਡ ਫ੍ਰੇਜ਼ "ਪਹੁੰਚ ਵੈਰੀਫਾਈ ਕਰਨ" ਲਈ ਇਨਪੁਟ ਕਰਨ ਲਈ ਕਹਿਣਾ ਹੈ।
  • ਮਾਲੀਸ਼ਸ ਏਅਰਡ੍ਰੌਪ ਦਾਅਵੇ: ਵਰਤੋਂਕਾਰਾਂ ਨੂੰ ਕਥਿਤ ਵੈਲੂਏਬਲ ਟੋਕਨ ਏਅਰਡ੍ਰੌਪ ਦਾਅਵਾ ਕਰਨ ਲਈ ਸਾਈਟ ਤੇ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। "ਅਥਾਰਾਈਜ਼" ਦਾਅਵੇ ਲਈ, ਸਾਈਟ ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ 12 ਜਾਂ 24-ਸ਼ਬਦ ਰਿਕਵਰੀ ਫ੍ਰੇਜ਼ ਦਾਖਲ ਕਰਨ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕਰਦੀ ਹੈ। ਵੈਧ ਸਮਾਰਟ ਕਾਂਟ੍ਰੈਕਟ ਇੰਟਰੈਕਸ਼ਨਾਂ ਕਦੇ ਵੀ ਨਿੱਜੀ ਕੁੰਜੀ ਜਾਂ ਸੀਡ ਫ੍ਰੇਜ਼ ਦਾ ਇਨਪੁਟ ਨਹੀਂ ਮੰਗਦੀਆਂ।
  • ਗ੍ਰਾਹਕ ਸਹਾਇਤਾ ਅਨੁਕਰਣ: ਲੋਕਕ ਸਹਾਇਤਾ ਚੈਨਲਾਂ (ਜਿਵੇਂ Discord ਜਾਂ Telegram) ਨੂੰ ਮਾਨੀਟਰ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਇੱਕ ਸਮੱਸਿਆ ਵਾਲੇ ਵਰਤੋਂਕਾਰ ਨੂੰ DM ਕਰਦਾ ਹੈ, ਸਹਾਇਤਾ ਸਟਾਫ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ, ਅਤੇ ਵਰਤੋਂਕਾਰ ਤੋਂ "ਅਕਾਊਂਟ ਨੂੰ ਡੀਬੱਗ ਕਰਨ" ਲਈ ਉਹਨਾਂ ਦੀ ਸੀਡ ਫ੍ਰੇਜ਼ ਨੂੰ "ਪੜ੍ਹੋ" ਜਾਂ ਇਨਪੁਟ ਕਰਨ ਲਈ ਕਹਿੰਦਾ ਹੈ।

ਪੂਰਨ ਨਿਯਮ: ਤੁਹਾਡੀ ਸੀਡ ਫ੍ਰੇਜ਼ ਮਾਸਟਰ ਕੁੰਜੀ ਹੈ। ਇਹ ਸਿਰਫ਼ ਭਰੋਸੇਯੋਗ ਹਾਰਡਵੇਅਰ ਡਿਵਾਈਸ (ਜਿਵੇਂ Ledger ਜਾਂ Trezor) ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਸੈੱਟਅਪ ਜਾਂ ਰਿਕਵਰੀ ਦੌਰਾਨ ਦਾਖਲ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ। ਇਹ ਕਦੇ ਵੀ ਕੰਪਿਊਟਰ, ਸਮਾਰਟਫ਼ੋਨ, ਵੈੱਬਸਾਈਟ ਜਾਂ ਸਾਫਟਵੇਅਰ ਵਾਲਟ ਵਿੱਚ ਟਾਈਪ ਨਹੀਂ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ।

ਭੌਤਿਕ ਅਤੇ ਟੈਲੀਕਾਮ ਹਮਲਾ ਵੈਕਟਰਾਂ ਨੂੰ ਘੱਟ ਕਰਨਾ

ਰੱਖਿਆ ਪੂਰੀ ਤਰ੍ਹਾਂ ਡਿਜੀਟਲ ਨਹੀਂ ਹੈ। ਹਮਲਾਵਰ ਵਧੇਰਹੇ ਭੌਤਿਕ ਪਹੁੰਚ ਅਤੇ ਕੇਂਦਰੀਕ੍ਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ, ਖਾਸ ਕਰਕੇ ਟੈਲੀਕਾਮਿਊਨੀਕੇਸ਼ਨਾਂ ਨੂੰ ਲਾਭ ਲੈਂਦੇ ਹਨ, ਤਾਂ ਜੋ ਤੁਹਾਡੀ ਅਸਲ ਪਛਾਣ ਅਤੇ ਡਿਜੀਟਲ ਜਾਇਦਾਦਾਂ ਵਿਚਕਾਰ ਗੈਪ ਨੂੰ ਪੁਲ ਕੀਤਾ ਜਾ ਸਕੇ।

SIM ਸਵੈਪਿੰਗ ਨੂੰ ਰੋਕਣਾ: ਤੁਹਾਡੇ ਡਿਜੀਟਲ ਫ਼ੋਨ ਨੰਬਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ

SIM ਸਵੈਪਿੰਗ (ਜਾਂ SIM ਜੈਕਿੰਗ) ਕ੍ਰਿਪਟੋ ਧਾਰਕਾਂ ਵਿਰੁੱਧ ਸਭ ਤੋਂ ਵਿਨਾਸ਼ਕ ਹਮਲਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ। ਇਸ ਵਿੱਚ ਹਮਲਾਵਰ ਆਪਣੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਨਵੇਂ SIM ਕਾਰਡ ਤੇ ਤੁਹਾਡਾ ਫ਼ੋਨ ਨੰਬਰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਮੋਬਾਈਲ ਕੈਰੀਅਰ (ਉਦਾ., AT&T, Verizon) ਨੂੰ ਬੁਲਾਉਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਉਹ ਤੁਹਾਡੇ ਨੰਬਰ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰ ਲੈਂਦੇ ਹਨ, ਉਹ SMS-ਅਧਾਰਤ 2FA ਕੋਡਾਂ, ਅਕਾਊਂਟ ਰਿਕਵਰੀ ਲਿੰਕਾਂ ਅਤੇ ਵੈਰੀਫਿਕੇਸ਼ਨ ਕਾਲਾਂ ਨੂੰ ਅੱਤੋਂਦੇ ਹਨ, ਜੋ CEX ਸੁਰੱਖਿਆ ਨੂੰ ਤੁਰੰਤ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਉੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਅਕਾਊਂਟਾਂ (ਈਮੇਲ, ਬੈਂਕਿੰਗ, ਕ੍ਰਿਪਟੋ ਐਕਸਚੇਂਜਾਂ) ਨੂੰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।

ਉੱਨਤ ਰੋਕਣ ਰਣਨੀਤੀਆਂ:

  1. SMS 2FA ਵਰਤਣਾ ਬੰਦ ਕਰੋ: ਤੁਰੰਤ ਸਾਰੇ ਉੱਚ-ਮੁੱਲ ਅਕਾਊਂਟਾਂ (ਐਕਸਚੇਂਜ, ਪ੍ਰਾਇਮਰੀ ਈਮੇਲ) ਨੂੰ SMS-ਅਧਾਰਤ 2FA ਤੋਂ ਟਾਈਮ-ਅਧਾਰਤ ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ (TOTP) ਐਪ (ਜਿਵੇਂ Google Authenticator ਜਾਂ Authy) ਤੇ ਬਦਲੋ ਜਾਂ, ਆਦਰਸ਼ ਤੌਰ ਤੇ, ਹਾਰਡਵੇਅਰ ਸੁਰੱਖਿਆ ਕੁੰਜੀ (ਜਿਵੇਂ YubiKey)। TOTP ਕੋਡ ਡਿਵਾਈਸ ਉੱਤੇ ਲੋਕਲੀ ਜਨਰੇਟ ਹੁੰਦੇ ਹਨ ਅਤੇ ਫ਼ੋਨ ਕੈਰੀਅਰਾਂ ਵੱਲੋਂ ਅੱਤੋਂਦੇ ਨਹੀਂ ਹੋ ਸਕਦੇ।
  2. ਕੈਰੀਅਰ-ਲੈਵਲ ਸੁਰੱਖਿਆ: ਆਪਣੇ ਮੋਬਾਈਲ ਪ੍ਰਦਾਤਾ ਨਾਲ ਸੰਪਰਕ ਕਰੋ ਅਤੇ ਉਪਲਬਧ ਸਭ ਤੋਂ ਉੱਚੇ ਪੱਧਰ ਦੀ ਸੁਰੱਖਿਆ ਲਾਗੂ ਕਰੋ:
    • ਪੋਰਟ-ਆਊਟ ਫ੍ਰੀਜ਼/ਸੁਰੱਖਿਆ PIN: ਇੱਕ ਵਿਲੱਖਣ, ਗੁੰਝਲਦਾਰ PIN (ਤੁਹਾਡੀ ਜਨਮ ਮਿਤੀ ਜਾਂ SSN ਦੇ ਅੰਤਲੇ ਚਾਰ ਅੰਕ ਨਹੀਂ) ਲਈ ਬੇਨਤੀ ਕਰੋ ਜੋ ਅਕਾਊਂਟ ਵਿੱਚ ਕਿਸੇ ਵੀ ਬਦਲਾਅ (ਸ਼ਾਮਲ SIM ਬਦਲਾਅ ਜਾਂ ਪੋਰਟਿੰਗ) ਤੋਂ ਪਹਿਲਾਂ ਨੁਮਾਇੰਦੇ ਨੂੰ ਮੌਖਿਕ ਤੌਰ ਤੇ ਸਪਲਾਈ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
    • ਅੰਦਰੂਨੀ ਨੋਟਸ: ਕੈਰੀਅਰ ਨੂੰ ਅਕਾਊਂਟ ਉੱਤੇ ਅੰਦਰੂਨੀ ਨੋਟਸ ਰੱਖਣ ਲਈ ਕਹੋ ਜੋ ਕਹਿੰਦੇ ਹਨ ਕਿ ਪੋਰਟਿੰਗ ਜਾਂ SIM ਬਦਲਾਅ ਦੀਆਂ ਬੇਨਤੀਆਂ ਨੂੰ ਫੋਟੋ ID ਨਾਲ ਭੌਤਿਕ ਸਟੋਰ ਵਿੱਚ ਨਿੱਜੀ ਤੌਰ ਤੇ ਹੈਂਡਲ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
  3. ਰਿਕਵਰੀ ਲਈ ਵਿਸ਼ੇਸ਼ VoIP ਨੰਬਰ: ਰਿਕਵਰੀ ਉਦੇਸ਼ਾਂ ਲਈ ਸਿਰਫ਼ ਵੌਇਸ ਓਵਰ IP (VoIP) ਸੇਵਾ (ਜਿਵੇਂ Google Voice ਜਾਂ ਵਿਸ਼ੇਸ਼ ਸੁਰੱਖਿਅਤ ਫ਼ੋਨ ਸੇਵਾ) ਵਰਤਣ ਬਾਰੇ ਵਿਚਾਰ ਕਰੋ, ਤੁਹਾਡੇ ਪ੍ਰਾਇਮਰੀ ਐਕਸਚੇਂਜ ਅਕਾਊਂਟਾਂ ਨੂੰ ਤੁਹਾਡੇ ਭੌਤਿਕ ਸੈੱਲ ਨੰਬਰ ਤੋਂ ਵੱਖ ਕਰਦੇ ਹੋਏ।

ਸਪਲਾਈ ਚੇਨ ਖਤਰੇ: ਹਾਰਡਵੇਅਰ ਅਖੰਡਤਾ ਵੈਰੀਫਾਈ ਕਰਨਾ

ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਨਿੱਜੀ ਕੁੰਜੀਆਂ ਸਟੋਰ ਕਰਨ ਲਈ ਸੋਨੇ ਦਾ ਮਾਪਦੰਡ ਹਨ, ਪਰ ਉਹ ਨਵਾਂ ਖਤਰਾ ਪੇਸ਼ ਕਰਦੇ ਹਨ: ਸਪਲਾਈ ਚੇਨ। ਸਪਲਾਈ ਚੇਨ ਹਮਲਾ ਤਾਂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਹਮਲਾਵਰ ਉਤਪਾਦ ਨੂੰ ਨਿਰਮਾਣ, ਟ੍ਰਾਂਜ਼ਿਟ ਜਾਂ ਵੰਡ ਦੌਰਾਨ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ।

ਹਾਰਡਵੇਅਰ ਸਮਝੌਤੇ ਵਿਰੁੱਧ ਰੱਖਿਆ:

  1. ਸਿੱਧਾ ਸੋਰਸ: ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਹਮੇਸ਼ਾ ਨਿਰਮਾਤਾ ਦੀ ਅਧਿਕਾਰਕ ਵੈੱਬਸਾਈਟ ਤੋਂ ਸਿੱਧਾ ਖਰੀਦੋ। Amazon, eBay ਜਾਂ ਕਿਸੇ ਵੀ ਸੈਕੰਡਰੀ ਰੀਸੈੱਲਰ ਤੋਂ ਡਿਵਾਈਸ ਨਾ ਖਰੀਦੋ, ਕਿਉਂਕਿ ਇਹ ਚੈਨਲ ਪਹਿਲਾਂ ਤੋਂ ਛੇੜੇ ਹੋਏ ਡਿਵਾਈਸ ਭੇਜਣ ਲਈ ਕੁਖ਼ਿਆਤ ਹਨ।
  2. ਭੌਤਿਕ ਅਖੰਡਤਾ ਜਾਂਚ: ਪਹੁੰਚਣ ਉੱਤੇ, ਪੈਕੇਜਿੰਗ ਨੂੰ ਨਿੱਖਰ ਵਿਸਥਾਰ ਨਾਲ ਜਾਂਚੋ। ਟੁੱਟੇ ਸੀਲ, ਫਿਰ ਟੇਪ ਕੀਤੇ ਨਿਸ਼ਾਨਾਂ ਜਾਂ ਡਿਵਾਈਸ ਬਾਕਸ ਖੋਲ੍ਹੇ ਜਾਣ ਦੇ ਕਿਸੇ ਸਬੂਤ ਲਈ ਜਾਂਚੋ। ਭਰੋਸੇਯੋਗ ਬ੍ਰਾਂਡ ਅਕਸਰ ਛੇੜ-ਸਪੱਸ਼ਟ ਹੋਲੋਗ੍ਰਾਮਾਂ ਜਾਂ ਸਟਿੱਕਰ ਵਰਤਦੇ ਹਨ। ਜੇਕਰ ਪੈਕੇਜਿੰਗ ਸ਼ੱਕੀ ਹੈ, ਡਿਵਾਈਸ ਵਰਤਣ ਤੋਂ ਇਨਕਾਰ ਕਰੋ।
  3. ਫਰਮਵੇਅਰ ਵੈਰੀਫਿਕੇਸ਼ਨ: ਇੱਕ ਵੈਧ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਕਦੇ ਵੀ ਪਹਿਲਾਂ ਤੋਂ ਕੰਫਿਗਰ ਕੀਤੀ ਸੀਡ ਫ੍ਰੇਜ਼ ਨਾਲ ਨਹੀਂ ਭੇਜਿਆ ਜਾਂਦਾ। ਜੇਕਰ ਡਿਵਾਈਸ ਸੈੱਟਅਪ ਉੱਤੇ ਸੀਡ ਫ੍ਰੇਜ਼ ਦਿਖਾਉਂਦੀ ਹੈ ਤੁਸੀਂ ਜਨਰੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਤਾਂ ਇਹ ਸਮਝੌਤਾ ਹੋ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਵਿਚ, ਸੈੱਟਅਪ ਅਤੇ ਅਪਡੇਟ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੌਰਾਨ ਹਮੇਸ਼ਾ ਫਰਮਵੇਅਰ ਸਿਗਨੇਚਰ ਵੈਰੀਫਾਈ ਕਰੋ। ਉੱਨਤ ਵਾਲਟ ਫਰਮਵੇਅਰ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਜਾਂਚਾਂ ਵਰਤਦੇ ਹਨ ਜੋ ਡਿਵਾਈਸ ਉੱਤੇ ਚੱਲ ਰਿਹਾ ਫਰਮਵੇਅਰ ਨਿਰਮਾਤਾ ਵੱਲੋਂ ਅਸਲ ਅਤੇ ਅਛੇੜ ਹੈ।

ਵਾਸਟੂਕਲਾ ਰੱਖਿਆ: ਮਲਟੀ-ਸਿਗਨੇਚਰ ਵਾਲਟਾਂ ਲਾਗੂ ਕਰਨਾ

ਮਹੱਤਵਪੂਰਨ ਅਮੀਰੀ ਪ੍ਰਬੰਧਨ ਲਈ, ਇੱਕਲੀ ਨਿੱਜੀ ਕੁੰਜੀ ਉੱਤੇ ਨਿਰਭਰਤਾ—ਭਾਵੇਂ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਉੱਤੇ ਸਟੋਰ ਕੀਤੀ ਹੋਵੇ—ਅਸਵੀਕਾਰਯੋਗ ਸਿਸਟਮਿਕ ਖਤਰਾ ਪੇਸ਼ ਕਰਦੀ ਹੈ। ਜੇਕਰ ਉਹ ਕੁੰਜੀ ਗੁਆਚ ਜਾਂਦੀ ਹੈ, ਨਸ਼ਟ ਹੋ ਜਾਂਦੀ ਹੈ, ਜਾਂ ਸਮਝੌਤਾ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਸਾਰੇ ਫੰਡ ਤੁਰੰਤ ਖਤਰੇ ਵਿੱਚ ਹਨ।

ਮਲਟੀ-ਸਿਗਨੇਚਰ (ਮਲਟੀ-ਸਿਗ) ਤਕਨਾਲੋਜੀ ਇਸ ਖਤਰੇ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ ਕੇਕੇ ਇੱਕ ਲੈਣ-ਦੇਣ ਨੂੰ ਅਥਾਰਾਈਜ਼ ਕਰਨ ਲਈ ਵੱਖਰੀਆਂ, ਵੱਖਰੀਆਂ ਨਿੱਜੀ ਕੁੰਜੀਆਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਇਹ ਸੰਸਥਾਗਤ ਅਤੇ ਉੱਚ-ਨੈੱਟ-ਵਰਥ ਵਿਅਕਤੀ ਸੁਰੱਖਿਆ ਲਈ ਸੋਨੇ ਦਾ ਮਾਪਦੰਡ ਹੈ, ਇੱਕ ਬਿੰਦੂ ਅਸਫਲਤਾ ਨੂੰ ਨਿਯੰਤਰਣ ਦੇ ਵੰਡੇ ਹੋਏ ਸਿਸਟਮ ਵਿੱਚ ਬਦਲਦੀ ਹੈ।

ਮਲਟੀ-ਸਿਗ ਸਿਧਾਂਤ ਨੂੰ ਸਮਝਣਾ

ਇੱਕ ਸਟੈਂਡਰਡ ਕ੍ਰਿਪਟੋ ਲੈਣ-ਦੇਣ ਨੂੰ 1-ਆਫ਼-1 ਅਥਾਰਾਈਜ਼ੇਸ਼ਨ (ਇੱਕ ਕੁੰਜੀ ਇੱਕ ਕੁੱਲ ਕੁੰਜੀ ਵਿੱਚੋਂ) ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਮਲਟੀ-ਸਿਗ ਸੈੱਟਅਪ ਦੋ ਨੰਬਰਾਂ ਨਾਲ ਵਿਵਸਥਿਤ ਹੁੰਦਾ ਹੈ: $M$ (ਲੋੜੀਂਦੀਆਂ ਦਸਤਖਤਾਂ ਦੀ ਘੱਟੋ-ਘੱਟ ਗਿਣਤੀ) ਅਤੇ $N$ (ਬਣਾਈਆਂ ਗਈਆਂ ਕੁੰਜੀਆਂ ਦੀ ਕੁੱਲ ਗਿਣਤੀ)।

ਇੱਕ ਆਮ, ਮਜ਼ਬੂਤ ਮਲਟੀ-ਸਿਗ ਕੰਫਿਗਰੇਸ਼ਨ $2$-ਆਫ਼-$3$ ($M=2$, $N=3$) ਹੈ। ਇਸ ਦਾ ਅਰਥ ਹੈ ਤਿੰਨ ਵੱਖਰੀਆਂ ਕੁੰਜੀਆਂ ਜਨਰੇਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਪਰ ਲੈਣ-ਦੇਣ ਨੂੰ ਦਸਤਖਤ ਕਰਨ ਅਤੇ ਬ੍ਰੌਡਕਾਸਟ ਕਰਨ ਲਈ ਉਹਨਾਂ ਵਿੱਚੋਂ ਸਿਰਫ਼ ਦੋ ਚਾਹੀਦੀਆਂ ਹਨ।

ਮਲਟੀ-ਸਿਗ ਦੇ ਫਾਇਦੇ:

  1. ਸਮਝੌਤਾ ਲਚਕਤਾ: ਹਮਲਾਵਰ ਨੂੰ ਫੰਡ ਚੋਰੀ ਕਰਨ ਲਈ ਦੋ ਕੁੰਜੀਆਂ (ਭੌਤਿਕ ਤੌਰ ਤੇ ਵੱਖਰੀਆਂ ਥਾਵਾਂ ਉੱਤੇ ਰੱਖੀਆਂ ਗਈਆਂ) ਨੂੰ ਸਮਝੌਤਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ। ਜੇਕਰ ਇੱਕ ਕੁੰਜੀ ਗੁਆਚ ਜਾਂ ਚੋਰੀ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਫੰਡ ਸੁਰੱਖਿਅਤ ਹਨ, ਬਸ਼ਰਤੇ ਹੋਰ ਦੋ ਕੁੰਜੀਆਂ ਸੁਰੱਖਿਅਤ ਰਹਿਣ।
  2. ਆਫ਼ਤ ਰਿਕਵਰੀ: ਜੇਕਰ ਪ੍ਰਾਇਮਰੀ ਕੁੰਜੀ (ਕੁੰਜੀ 1) ਨਸ਼ਟ ਹੋ ਜਾਂਦੀ ਹੈ (ਉਦਾ., ਗੁਆਚਿਆ ਹਾਰਡਵੇਅਰ ਵਾਲਟ), ਵਰਤੋਂਕਾਰ ਅਜੇ ਵੀ ਕੁੰਜੀ 2 ਅਤੇ ਕੁੰਜੀ 3 ਵਰਤ ਕੇ ਫੰਡ ਰਿਕਵਰ ਅਤੇ ਚਲਾ ਸਕਦਾ ਹੈ।
  3. ਸਰਬੱਤਾ ਨਿਯੰਤਰਣ: ਮਲਟੀ-ਸਿਗ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਵੱਡੇ ਕਾਰਪੋਰੇਟ ਜਾਂ ਪਰਿਵਾਰਕ ਫੈਸਲਿਆਂ ਲਈ ਸਹਿਮਤੀ ਚਾਹੀਦੀ ਹੈ, ਇੱਕ ਵਿਅਕਤੀ ਨੂੰ ਜਾਇਦਾਦਾਂ ਨੂੰ ਇਕੱਲੇ ਚਲਾਉਣ ਤੋਂ ਰੋਕਦੀ ਹੈ।

व्यावहारिक ਮਲਟੀ-ਸਿਗ ਸੈੱਟਅਪ ਰਣਨੀਤੀਆਂ

ਮਲਟੀ-ਸਿਗ ਦੀ ਪ੍ਰਭਾਵਸ਼ਾਲਤਾ ਪੂਰੀ ਤਰ੍ਹਾਂ $N$ ਕੁੰਜੀਆਂ ਨੂੰ ਜਨਰੇਟ ਕਰਨ, ਸਟੋਰ ਕਰਨ ਅਤੇ ਭੂਗੋਲਕ ਤੌਰ ਤੇ ਵੰਡਣ ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਕੁੰਜੀਆਂ ਅਪਣੰਧ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ, ਭਾਵ ਇੱਕ ਸਟੋਰੇਜ ਵਿਧੀ (ਉਦਾ., ਭੌਤਿਕ ਸੇਫ) ਨੂੰ ਸਮਝੌਤਾ ਕਰਨਾ ਦੂਜੇ (ਉਦਾ., ਬੈਂਕ ਵਾਲਟ) ਨੂੰ ਸਮਝੌਤਾ ਨਹੀਂ ਕਰਦਾ।

ਉਦਾਹਰਨ $2$-ਆਫ਼-$3$ ਕੁੰਜੀ ਵੰਡ ਰਣਨੀਤੀ:

ਕੁੰਜੀ ਫਾਰਮੈਟ ਸਟੋਰੇਜ ਥਾਂ ਖਤਰਾ ਘਟਾਉਣਾ
ਕੁੰਜੀ 1 (ਦਸਤਖਤ ਕੁੰਜੀ) ਹਾਰਡਵੇਅਰ ਵਾਲਟ A ਪ੍ਰਾਇਮਰੀ ਨਿਵਾਸ (ਪਹੁੰਚਯੋਗ, ਰੋਜ਼ਾਨਾ ਦਸਤਖਤ ਲਈ ਵਰਤੀ ਜਾਂਦੀ) ਪ੍ਰਾਇਮਰੀ ਹਾਰਡਵੇਅਰ ਦੇ ਨੁਕਸਾਨ ਵਿਰੁੱਧ ਘਟਾਉਣਾ।
ਕੁੰਜੀ 2 (ਬੈਕਅਪ ਕੁੰਜੀ) ਹਾਰਡਵੇਅਰ ਵਾਲਟ B ਸੁਰੱਖਿਅਤ ਆਫ਼ਸਾਈਟ ਥਾਂ (ਸੇਫ ਡਿਪਾਜ਼ਿਟ ਬਾਕਸ, ਭਰੋਸੇਯੋਗ ਕਾਨੂੰਨੀ ਐਂਟਿਟੀ) ਪ੍ਰਾਇਮਰੀ ਨਿਵਾਸ ਦੇ ਭੌਤਿਕ ਸਮਝੌਤੇ (ਆਗ, ਚੋਰੀ) ਵਿਰੁੱਧ ਘਟਾਉਣਾ।
ਕੁੰਜੀ 3 (ਰਿਕਵਰੀ ਕੁੰਜੀ) ਐਨਕ੍ਰਿਪਟਡ ਪੇਪਰ ਬੈਕਅਪ ਭੂਗੋਲਕ ਤੌਰ ਤੇ ਵੱਖਰੀ ਥਾਂ (ਉਦਾ., ਭਰੋਸੇਯੋਗ ਰਿਸ਼ਤੇਦਾਰ, ਵਿਦੇਸ਼ੀ ਸੇਫ ਡਿਪਾਜ਼ਿਟ ਬਾਕਸ) ਖੇਤਰੀ ਆਫ਼ਤ ਜਾਂ ਰਾਜਨੀਤਿਕ ਜ਼ਬਤ ਵਿਰੁੱਧ ਘਟਾਉਣਾ।

ਸੈੱਟਅਪ ਪ੍ਰਕਿਰਿਆ:

  1. ਅਪਣੰਧ ਜਨਰੇਸ਼ਨ: ਹਰ ਕੁੰਜੀ ਨੂੰ ਵੱਖਰੇ ਡਿਵਾਈਸ ਵਰਤ ਕੇ ਜਨਰੇਟ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ, ਆਦਰਸ਼ ਤੌਰ ਤੇ ਵੱਖਰੇ ਸਮੇਂ ਤੇ, ਤਾਂ ਜੋ ਉਹਨਾਂ ਦੀ ਐਂਟ੍ਰੋਪੀ ਅਪਣੰਧ ਅਤੇ ਅਲੱਗ ਹੋਵੇ।
  2. ਟੈਸਟਿੰਗ: ਸੈੱਟਅਪ ਤੋਂ ਬਾਅਦ, $M$ ਦਸਤਖਤਾਂ ਵਾਲਾ ਛੋਟਾ ਟੈਸਟ ਲੈਣ-ਦੇਣ ਚਲਾਓ (ਉਦਾ., $10$ ਮੁੱਲ ਦਾ ਕ੍ਰਿਪਟੋ ਚਲਾਉਣਾ) ਤਾਂ ਜੋ ਕੁੰਜੀ ਵੰਡ ਰਣਨੀਤੀ ਅਤੇ ਦਸਤਖਤ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਬਿਖਰੇ ਬਿਨਾਂ ਕੰਮ ਕਰਨ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾ ਸਕੇ ਵੱਡੀ ਜਾਇਦਾਦਾਂ ਜਮ੍ਹਾਂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ
  3. ਦਸਤਾਵੇਜ਼ੀਕਰਨ: ਦਸਤਖਤ ਅਤੇ ਰਿਕਵਰੀ ਪ੍ਰਕਿਰਿਆ ਲਈ ਵਿਸਥਾਰ ਨਾਲ ਦਸਤਾਵੇਜ਼ ਬਣਾਓ (ਕਿਹੜੀ ਕੁੰਜੀ ਕਿੱਥੇ ਹੈ, ਕਿਹੜਾ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਕਿਹੜੇ ਫਰਮਵੇਅਰ ਵਰਤਦਾ ਹੈ) ਅਤੇ ਇਸ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਨੂੰ ਕੁੰਜੀਆਂ ਤੋਂ ਇਲਾਵਾ ਸੁਰੱਖਿਅਤ ਅਤੇ ਵੱਖਰੇ ਤੌਰ ਤੇ ਸਟੋਰ ਕਰੋ।

ਉੱਨਤ ਵਾਲਟ ਪ੍ਰਬੰਧਨ ਅਤੇ ਲਚਕਤਾ ਪ੍ਰੋਟੋਕੋਲ

ਸਾਧਾਰਣ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਵਰਤੋਂ ਤੋਂ ਅੱਗੇ ਵਧਣ ਲਈ ਵੈਰੀਫਿਕੇਸ਼ਨ, ਕੁੰਜੀ ਰੱਖ-ਰਖਾਅ ਅਤੇ ਪੀੜ੍ਹੀਆਂ ਵਿਰਾਸਤ ਲਈ ਪੇਸ਼ੇਵਰ-ਗਰੇਡ ਪ੍ਰੋਟੋਕੋਲਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਫਰਮਵੇਅਰ ਅਤੇ ਅਸਲੀਤਾ ਜਾਂਚਾਂ ਵੈਰੀਫਾਈ ਕਰਨਾ

ਜਦੋਂਕਿ ਅਸੀਂ ਭੌਤਿਕ ਜਾਂਚ ਬਾਰੇ ਚਰਚਾ ਕੀਤੀ, ਉੱਨਤ ਵਰਤੋਂਕਾਰ ਨੂੰ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਉੱਤੇ ਚੱਲ ਰਹੇ ਸਾਫਟਵੇਅਰ ਪੱਧਰ ਨੂੰ ਵੀ ਵੈਰੀਫਾਈ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਪ੍ਰਕਿਰਿਆ, ਅਕਸਰ ਸੀਡ ਵੈਰੀਫਿਕੇਸ਼ਨ ਜਾਂ ਅਸਲੀਤਾ ਜਾਂਚ ਕਹਾਉਂਦੀ ਹੈ, ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਡਿਵਾਈਸ ਨਿਰਮਾਤਾ ਤੋਂ ਅਧਿਕਾਰਕ, ਵੈਰੀਫਾਈ ਕੀਤੇ ਕੋਡ ਨੂੰ ਚਲਾ ਰਿਹਾ ਹੈ।

  1. ਸੁਰੱਖਿਅਤ ਐਲੀਮੈਂਟ ਵਿਰੁੱਦ ਓਪਨ ਸੋਰਸ: ਆਪਣੇ ਵਾਲਟ ਦੀ ਬੁਨਿਆਦ ਨੂੰ ਸਮਝੋ। ਸੁਰੱਖਿਅਤ ਐਲੀਮੈਂਟ ਵਰਤਣ ਵਾਲੀਆਂ ਡਿਵਾਈਸਾਂ (ਭੌਤਿਕ ਛੇੜ ਵਿਰੋਧੀ ਚਿੱਪਾਂ) ਅਕਸਰ ਪ੍ਰੋਪ੍ਰਾਈਟਰੀ ਫਰਮਵੇਅਰ ਉੱਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ, ਜਦਕਿ ਓਪਨ-ਸੋਰਸ ਵਾਲਟ ਮਾਹਰ ਵਰਤੋਂਕਾਰਾਂ ਨੂੰ ਕੋਡ ਨੂੰ ਲੋਕਕ ਤੌਰ ਤੇ ਵੈਰੀਫਾਈ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਬੁਨਿਆਦ ਦੇ ਬਾਵਜੂਦ, ਹਮੇਸ਼ਾ ਨਿਰਮਾਤਾ ਦੇ ਅਧਿਕਾਰਕ ਸਾਫਟਵੇਅਰ ਬ੍ਰਿਜ ਜਾਂ ਡੈਸ਼ਬੋਰਡ ਨੂੰ ਅਪਡੇਟ ਅਤੇ ਵੈਰੀਫਿਕੇਸ਼ਨ ਲਈ ਵਰਤੋ।
  2. ਹੈਸ਼ਿੰਗ ਅਤੇ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ: ਫਰਮਵੇਅਰ ਅਪਡੇਟ ਕਰਨ ਸਮੇਂ, ਅਧਿਕਾਰਕ ਨਿਰਮਾਤਾ ਸਾਫਟਵੇਅਰ ਨਵੇਂ ਫਰਮਵੇਅਰ ਫਾਈਲ ਦਾ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਹੈਸ਼ (ਇੱਕ ਵਿਲੱਖਣ ਡਿਜੀਟਲ ਫਿੰਗਰਪ੍ਰਿੰਟ) ਗਣਨਾ ਕਰਦਾ ਹੈ। ਤੁਹਾਡੇ ਹਾਰਡਵੇਅਰ ਵਾਲਟ ਨੂੰ ਇਹ ਵੈਰੀਫਾਈ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਇਹ ਹੈਸ਼ ਕੰਪਨੀ ਵੱਲੋਂ ਪ੍ਰਕਾਸ਼ਿਤ ਅਪੇਕਸ਼ਿਤ ਮੁੱਲ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ। ਜੇਕਰ ਹੈਸ਼ ਮੇਲ ਨਹੀਂ ਖਾਂਦੇ, ਤਾਂ ਫਰਮਵੇਅਰ ਬਦਲਿਆ ਗਿਆ ਹੈ, ਅਤੇ ਅਪਡੇਟ ਨੂੰ ਰੱਦ ਕਰੋ। ਇਸ ਵੈਰੀਫਿਕੇਸ਼ਨ ਕਦਮ ਨੂੰ ਕਦੇ ਬਾਈਪਾਸ ਨਾ ਕਰੋ।
  3. ਪਾਸਫ੍ਰੇਜ਼ (25ਵਾਂ ਸ਼ਬਦ) ਰਣਨੀਤੀ: ਅੱਤ ਸੁਰੱਖਿਆ ਲਈ, "ਪਾਸਫ੍ਰੇਜ਼" (ਕਈ ਵਾਰ 25ਵਾਂ ਸ਼ਬਦ ਕਹਾਉਂਦੇ ਹਨ) ਵਰਤੋ। ਇਹ ਇੱਕ ਆਪਸ਼ਨਲ, ਵਰਤੋਂਕਾਰ-ਨਿਰਧਾਰਤ ਸ਼ਬਦ ਹੈ ਜੋ ਤੁਹਾਡੀ ਰਿਕਵਰੀ ਸੀਡ ਲਈ ਦੂਜਾ ਪਾਸਵਰਡ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਪਾਸਫ੍ਰੇਜ਼ ਕਦੇ ਵੀ ਤੁਹਾਡੀ ਯਾਦ ਜਾਂ ਤੁਹਾਡੇ ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ ਤੋਂ ਬਾਹਰ ਨਹੀਂ ਨਿਕਲਦਾ। ਜੇਕਰ ਹਮਲਾਵਰ ਤੁਹਾਡੀ 24-ਸ਼ਬਦ ਸੀਡ ਫ੍ਰੇਜ਼ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦਾ ਹੈ, ਤਾਂ ਉਹ ਅਜੇ ਵੀ 25ਵੇਂ ਸ਼ਬਦ ਬਿਨਾਂ ਤੁਹਾਡੇ ਫੰਡਾਂ ਤੱਕ ਪਹੁੰਚ ਨਹੀਂ ਕਰ ਸਕਦਾ। ਇਹ ਤੁਹਾਡੀ ਅਮੀਰੀ ਦੇ ਸਭ ਤੋਂ ਵੱਡੇ ਹਿੱਸੇ ਲਈ ਵਰਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ, "ਹਨੀ ਪੌਟ" ਰਕਮਾਂ (ਛੋਟੇ, ਫੈਂਕਣ ਵਾਲੇ ਫੰਡ ਜੋ ਹਮਲਾਵਰ ਨੂੰ ਆਕਰਸ਼ਿਤ ਅਤੇ ਵਿਅੋਹਾਰ ਕਰਨ ਲਈ ਡਿਜ਼ਾਈਨ ਕੀਤੇ ਗਏ ਹਨ) ਲਈ ਸਟੈਂਡਰਡ 24-ਸ਼ਬਦ ਡੈਰੀਵੇਸ਼ਨ ਪਾਥ ਨੂੰ ਰਾਖਵੀ ਰੱਖਦੇ ਹੋਏ।

ਡਿਜੀਟਲ ਜਾਇਦਾਦਾਂ ਵਿਰਾਸਤ ਵਿੱਚ ਲੈਣਾ: ਆਫ਼ਤ ਰਿਕਵਰੀ ਲਈ ਯੋਜਨਾਬੰਦੀ

ਸਵੈ-ਕਸਟਡੀ ਅਪਣਾਉਣ ਵਾਲਿਆਂ ਲਈ ਸਭ ਤੋਂ ਵੱਡੀਆਂ ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿਰਾਸਤ ਯੋਜਨਾਬੰਦੀ ਦੀ ਘਾਟ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਮਰ ਜਾਂਦੇ ਹੋ ਜਾਂ ਅਯੋਗ ਹੋ ਜਾਂਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡੇ ਸੁਰੱਖਿਆ ਉਪਾਅ—ਹਮਲਾਵਰਾਂ ਨੂੰ ਬਾਹਰ ਰੱਖਣ ਲਈ ਡਿਜ਼ਾਈਨ ਕੀਤੇ ਗਏ—ਤੁਹਾਡੇ ਪਰਿਵਾਰ ਨੂੰ ਹਮੇਸ਼ਾ ਲਈ ਬੰਦ ਕਰ ਦੇਣਗੇ। ਇੱਕ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀ ਤੋਂ ਬਿਨਾਂ ਸਪੱਸ਼ਟ ਵਿਰਾਸਤ ਯੋਜਨਾ ਅਧੂਰੀ ਹੈ।

ਡਿਜੀਟਲ ਵਿਲ ਬਣਾਉਣਾ:

  1. ਐਗਜ਼ੀਕਿਊਟਰ ਅਤੇ ਵਾਲਟ: ਇੱਕ ਭਰੋਸੇਯੋਗ ਡਿਜੀਟਲ ਐਗਜ਼ੀਕਿਊਟਰ (ਉਦਾ., ਵਕੀਲ ਜਾਂ ਨੇੜਲਾ ਪਰਿਵਾਰਕ ਮੈਂਬਰ) ਨਿਯੁਕਤ ਕਰੋ। ਇਸ ਵਿਅਕਤੀ ਨੂੰ ਕੁੰਜੀਆਂ ਤੱਕ ਤੁਰੰਤ ਪਹੁੰਚ ਦੀ ਲੋੜ ਨਹੀਂ, ਪਰ ਉਹਨਾਂ ਨੂੰ ਹدایਤਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੈ।
  2. ਐਨਕ੍ਰਿਪਟਡ ਡਾਟਾ ਵਾਲਟ: ਸਾਰੀ ਮਹੱਤਵਪੂਰਨ ਜਾਣਕਾਰੀ ਵਾਲੀ ਸੁਰੱਖਿਅਤ, ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਬਣਾਓ: ਵਾਲਟ ਨਾਮ, ਐਕਸਚੇਂਜਾਂ ਲਈ ਲੌਗਇਨ ਗੁਣਧਰਮ (ਜੇ ਲਾਗੂ ਹੋਵੇ), ਅਤੇ ਮਲਟੀ-ਸਿਗ ਰਿਕਵਰੀ ਕੁੰਜੀਆਂ (ਉੱਪਰ ਵਾਲੀ ਰਣਨੀਤੀ ਤੋਂ ਕੁੰਜੀ 2 ਅਤੇ ਕੁੰਜੀ 3) ਵਰਤਣ ਬਾਰੇ ਸਪੱਸ਼ਟ, ਕਦਮ-ਦਰ-ਕਦਮ ਹدایਤਾਂ।
  3. ਟਾਈਮਲੌਕ ਮੀਕੈਨਿਜ਼ਮ: ਇਸ ਐਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਅਤੇ ਸੰਬੰਧਿਤ ਪਾਸਵਰਡਾਂ/ਡੈਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਨੂੰ ਇੱਕ ਅਸਥਿਰ ਤੀਜੀ ਪਾਰਟੀ (ਜਿਵੇਂ ਵਕੀਲ ਜਾਂ ਡਿਜੀਟਲ ਜਾਇਦਾਦ ਐਸਕ੍ਰੋ ਸੇਵਾ) ਨਾਲ ਸਟੋਰ ਕਰੋ। ਸਮਝੌਤਾ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਫਾਈਲ ਅਤੇ ਕੁੰਜੀਆਂ ਸਿਰਫ਼ ਮੌਤ ਸਰਟੀਫਿਕੇਟ ਜਾਂ ਨੋਟਰਾਈਜ਼ਡ ਅਯੋਗਤਾ ਦੇ ਸਬੂਤ ਪੇਸ਼ ਕਰਨ ਉੱਤੇ ਐਗਜ਼ੀਕਿਊਟਰ ਨੂੰ ਰਿਲੀਜ਼ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ, ਇਸ ਤਰ੍ਹਾਂ "ਟਾਈਮਲੌਕ" ਬਣਾਉਂਦੀਆਂ ਹਨ ਜੋ ਅਕਾਲ ਵਹਾਰ ਨੂੰ ਰੋਕਦੀਆਂ ਹਨ।

ਪਛਾਣ ਦਾ ਭਵਿੱਖ: ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਪਛਾਣ (DID) ਟੂਲਜ਼

ਕਾਰਵਾਈ ਸੁਰੱਖਿਆ ਦਾ ਸਭ ਤੋਂ ਉੱਚਾ ਪੱਧਰ ਕੇਂਦਰੀਕ੍ਰਿਤ ਐਂਟਿਟੀਆਂ ਉੱਤੇ ਨਿਰਭਰਤਾ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਕਰਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ—ਨਾ ਸਿਰਫ਼ ਐਕਸਚੇਂਜ, ਸਗੋਂ ਇੰਟਰਨੈੱਟ ਸੇਵਾ ਪ੍ਰਦਾਤਾ, ਈਮੇਲ ਪ੍ਰਦਾਤਾ ਅਤੇ ਸੋਸ਼ਲ ਮੀਡੀਆ ਪਲੇਟਫਾਰਮ ਵੀ ਜੋ ਅਕਸਰ ਪਛਾਣ ਰਿਕਵਰੀ ਦੀ ਕੁੰਜੀ ਰੱਖਦੇ ਹਨ। ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਪਛਾਣ (DID) ਟੂਲਜ਼ ਇਸ ਭਰੋਸੇ ਦੀ ਲੋੜ ਨੂੰ ਘੱਟ ਕਰਨ ਦਾ ਰਾਹ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

ਕੇਂਦਰੀਕ੍ਰਿਤ ਪ੍ਰਮਾਣੀਕਰਨ ਤੋਂ ਅੱਗੇ ਵਧਣਾ

ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਕੇਂਦਰੀਕ੍ਰਿਤ ਪਛਾਣਕਰਤਾਵਾਂ (ਤੁਹਾਡਾ ਫ਼ੋਨ ਨੰਬਰ, ਤੁਹਾਡਾ Gmail ਅਕਾਊਂਟ, ਤੁਹਾਡਾ ਸੰਸਥਾਗਤ ਲੌਗਇਨ) ਉੱਤੇ ਭਾਰੀ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਜੇਕਰ ਹਮਲਾਵਰ ਇੱਕ ਨੂੰ ਸਮਝੌਤਾ ਕਰ ਲੈਂਦਾ ਹੈ, ਤਾਂ ਉਹ ਅਕਸਰ ਅਗਲੇ ਵੱਲ ਪਿਵੌਟ ਕਰ ਸਕਦਾ ਹੈ। DID ਵਰਤੋਂਕਾਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਡਿਜੀਟਲ ਪਰਸੋਨਾ ਉੱਤੇ ਸਵੈ-ਮਾਲਕੀ ਅਪਣਾਉਣ ਦਾ ਟੀਚਾ ਰੱਖਦੀ ਹੈ।

DID ਸੁਰੱਖਿਆ ਨੂੰ ਕਿਵੇਂ ਵਧਾਉਂਦੀ ਹੈ:

  • ਸਵੈ-ਸਾਰਕਾਰੀ ਪਛਾਣਕਰਤਾਵਾਂ: Google ਨਾਲ ਲੌਗਇਨ ਕਰਨ ਦੀ ਬਜਾਏ, ਵਰਤੋਂਕਾਰ ਆਪਣੇ ਡਿਵਾਈਸ ਜਾਂ ਵਾਲਟ ਉੱਤੇ ਪ੍ਰਬੰਧਿਤ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਪਛਾਣਕਰਤਾ (ਕੁੰਜੀ ਜੋੜੀ) ਨਾਲ ਲੌਗਇਨ ਕਰਦਾ ਹੈ। ਪਛਾਣ ਕੇਂਦਰੀਕ੍ਰਿਤ ਸਰਵਰ ਉੱਤੇ ਸਟੋਰ ਨਹੀਂ ਹੁੰਦੀ; ਇਹ ਵਰਤੋਂਕਾਰ ਵੱਲੋਂ ਸਟੋਰ ਅਤੇ ਪ੍ਰਬੰਧਿਤ ਹੁੰਦੀ ਹੈ।
  • ਡਾਟਾ ਲੀਕੇਜ ਘਟਾਉਣਾ: ਜਦੋਂ ਤੁਸੀਂ DID ਵਰਤ ਕੇ ਸੇਵਾ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਸਿਰਫ਼ ਘੱਟੋ-ਘੱਟ ਵੈਰੀਫਾਈਏਬਲ ਡਾਟਾ ਸਾਂਝਾ ਕਰਦੇ ਹੋ (ਉਦਾ., ਤੁਹਾਨੂੰ 18 ਸਾਲ ਤੋਂ ਵੱਧ ਸਾਬਤ ਕਰਨਾ) ਲੌਗਇਨ ਨਾਲ ਜੁੜੇ ਸਾਰੇ ਡਾਟੇ (ਈਮੇਲ ਪਤਾ, IP ਪਤਾ, ਡਿਵਾਈਸ ਟਾਈਪ) ਸਾਂਝੇ ਕਰਨ ਦੀ ਬਜਾਏ। ਇਹ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਉਪਲਬਧ ਨਿੱਜੀ ਪਛਾਣ ਜਾਣਕਾਰੀ (PII) ਦੀ ਮਾਤਰਾ ਨੂੰ ਡਰਾਮੈਟਿਕ ਤਰ੍ਹਾਂ ਘਟਾਉਂਦਾ ਹੈ।
  • ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਰਿਕਵਰੀ: ਜੇਕਰ DID ਨਾਲ ਜੁੜੀ ਨਿੱਜੀ ਕੁੰਜੀ ਗੁਆਚ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਰਿਕਵਰੀ ਨੂੰ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਸੋਸ਼ਲ ਰਿਕਵਰੀ ਵਿਧੀਆਂ (ਪਛਾਣ ਲਈ ਮਲਟੀ-ਸਿਗ ਸੈੱਟਅਪ ਵਰਗੀਆਂ) ਵਰਤ ਕੇ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਨਾ ਕਿ ਕੇਂਦਰੀਕ੍ਰਿਤ ਈਮੇਲ ਅਕਾਊਂਟ ਜਾਂ ਫ਼ੋਨ ਨੰਬਰ ਉੱਤੇ ਨਿਰਭਰ ਕਰਨਾ—ਦੋਵੇਂ SIM ਸਵੈਪਿੰਗ ਲਈ ਮੁੱਖ ਨਿਸ਼ਾਨੇ।

ਵੈਰੀਫਾਈਏਬਲ ਕ੍ਰੈਡੈਂਸ਼ਲਾਂ ਰਾਹੀਂ ਗੋਪਨੀਯਤਾ ਅਤੇ ਅਨੁਸਰਣ

DID ਦਾ ਮੁੱਖ ਹਿੱਸਾ ਵੈਰੀਫਾਈਏਬਲ ਕ੍ਰੈਡੈਂਸ਼ਲ (VC) ਹੈ। VCs ਭਰੋਸੇਯੋਗ ਸੰਸਥਾ ਵੱਲੋਂ ਜਾਰੀ ਕੀਤੇ ਗਏ ਪਛਾਣ ਜਾਂ ਸਥਿਤੀ ਦੇ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕਲੀ ਦਸਤਖਤ ਵਾਲੇ ਪ੍ਰੂਫ ਹਨ (ਉਦਾ., ਯੂਨੀਵਰਸਿਟੀ ਡਿਗਰੀ ਕ੍ਰੈਡੈਂਸ਼ਲ ਜਾਰੀ ਕਰਨਾ, ਜਾਂ ਸਰਕਾਰ ਉਮਰ ਕ੍ਰੈਡੈਂਸ਼ਲ ਜਾਰੀ ਕਰਨਾ)।

ਉੱਨਤ ਅਨੁਸਰਣ ਅਤੇ ਗੋਪਨੀਯਤਾ ਵਰਤੋਂ ਕੇਸ:

ਕੇਂਦਰੀਕ੍ਰਿਤ ਐਕਸਚੇਂਜਾਂ ਉੱਤੇ KYC (ਨਾਓ ਯੂਰ ਕਸਟਮਰ) ਲੋੜਾਂ ਨਾਲ ਨਿਪਟਣ ਵੇਲੇ, ਤੁਸੀਂ ਆਮ ਤੌਰ ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਦਸਤਾਵੇਜ਼ ਅਪਲੋਡ ਕਰਦੇ ਹੋ (ਪਾਸਪੋਰਟ, ਡਰਾਈਵਰ ਲਾਇਸੈਂਸ)। ਇਹ ਦਸਤਾਵੇਜ਼ ਡਾਟਾ ਬ੍ਰੀਚ ਹੋਣ ਉੱਤੇ ਵੱਡੀ ਹਮਲਾ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਹਨ।

VCs ਨਾਲ, ਵਿੱਤੀ ਸੰਸਥਾ ਤੁਹਾਡੀ ਪਛਾਣ ਵੈਰੀਫਾਈ ਹੋਈ ਹੈ ਇਸ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਵਾਲਾ VC ਜਾਰੀ ਕਰ ਸਕਦੀ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ ਨਵੇਂ ਪਲੇਟਫਾਰਮ ਤੇ ਜਾਂਦੇ ਹੋ, ਤੁਸੀਂ ਆਪਣਾ ਪਾਸਪੋਰਟ ਨਹੀਂ ਜਮ੍ਹਾਂ ਕਰਦੇ; ਤੁਸੀਂ ਸਿਰਫ਼ ਮੌਜੂਦਾ VC ਪੇਸ਼ ਕਰਦੇ ਹੋ, ਵੈਰੀਫਿਕੇਸ਼ਨ ਪਹਿਲਾਂ ਹੀ ਹੋ ਚੁੱਕੀ ਹੈ ਇਸ ਨੂੰ ਸਾਬਤ ਕਰਦੇ ਹੋਏ, ਅਧਾਰਭੂਤ PII ਨੂੰ ਉਜਾਗਰ ਨਾ ਕੀਤੇ। ਇਹ ਅਨੁਸਰਣ ਵਿਧੀ ਜ਼ਰੂਰੀ ਨਿਗਰਾਨੀ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਜਦੋਂਕਿ ਪੂਰਨ ਡਾਟਾ ਗੋਪਨੀਯਤਾ ਬਣਾਈ ਰੱਖਦੀ ਹੈ ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਤੁਹਾਡੇ ਐਕਸਪੋਜ਼ਰ ਫੁੱਟਪ੍ਰਿੰਟ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਕਰਦੀ ਹੈ।

ਨਿੱਗਮਨ: ਲਚਕਤਾ ਅਸੈੱਟ ਪ੍ਰਬੰਧਨ ਵਿੱਚ ਮਾਹਰ ਹੋਣਾ

ਡਿਜੀਟਲ ਅਰਥਵਿਵਸਥਾ ਵਿੱਚ ਅਸਲ ਸਵੈ-ਸਾਰਕਾਰੀਤਾ ਹਾਸਲ ਕਰਨ ਲਈ ਵਿਸ਼ੇਸ਼ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਵਰਗੇ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰ ਸਿੱਖਣ ਵੱਲ ਸਮਰਪਣ ਦੀ ਲੋੜ ਹੈ।

ਅਸੀਂ ਬੇਸਿਕਸ ਤੋਂ ਅੱਗੇ ਵਧ ਗਏ ਹਾਂ—ਸਮਝਦੇ ਹੋਏ ਕਿ ਗੁੰਝਲਦਾਰ ਹਮਲੇ ਨਾ ਸਿਰਫ਼ ਸਾਫਟਵੇਅਰ ਨੂੰ, ਸਗੋਂ ਮਨੁੱਖੀ ਮਨੋਵਿਗਿਆਨ (ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ), ਕੇਂਦਰੀਕ੍ਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ (SIM ਸਵੈਪਿੰਗ), ਅਤੇ ਭੌਤਿਕ ਸਪਲਾਈ ਚੇਨਾਂ (ਹਾਰਡਵੇਅਰ ਸਮਝੌਤਾ) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।

ਇੱਥੇ ਦੱਸੇ ਸਿਧਾਂਤਾਂ ਨੂੰ ਅਪਣਾ ਕੇ—ਕਠੋਰ OPSEC, ਜ਼ਰੂਰੀ ਕੰਪਾਰਟਮੈਂਟਲਾਈਜ਼ੇਸ਼ਨ, ਮਲਟੀ-ਸਿਗ ਸੈੱਟਅਪ ਰਾਹੀਂ ਲਚਕਤਾ ਬਣਾਉਣਾ, ਕੈਰੀਅਰ-ਲੈਵਲ SIM ਸਵੈਪ ਰੋਕਥਾਮ ਲਾਗੂ ਕਰਨਾ, ਅਤੇ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਪਛਾਣ ਦੇ ਭਵਿੱਖ ਪੌਟੈਂਸ਼ੀਅਲ ਦੀ ਖੋਜ ਕਰਨਾ—ਤੁਸੀਂ ਆਪ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਨਿਸ਼ਾਨੇ ਤੋਂ ਲਚਕਤਾ ਪਹਿਰੇਦਾਰ ਵਿੱਚ ਬਦਲ ਲੈਂਦੇ ਹੋ। ਤੁਹਾਡੀ ਸੁਰੱਖਿਆ ਪੋਸਚਰ ਸਕਿਰਪਟਿਵ, ਹਮੇਸ਼ਾ ਵਿਕਸਤ ਹੋਣ ਵਾਲੀ ਅਤੇ ਵੱਖਰੇ, ਅਪਣੰਧ ਰੱਖਿਆ ਪੱਧਰਾਂ ਦੇ ਰਣਨੀਤਕ ਲਾਗੂ ਕਰਨ ਉੱਤੇ ਬਣੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ। ਸਹੂਲਤ ਦੀ ਕੀਮਤ ਭੁਲੱਖ ਹੈ; ਉਦ्यमਸ਼ੀਲਤਾ ਦਾ ਇਨਾਮ ਵਿੱਤੀ ਸੁਤੰਤਰਤਾ ਅਤੇ ਸਥਾਈ ਸੁਰੱਖਿਆ ਹੈ।