Trong hướng dẫn này
- Suy nghĩ về các mối đe dọa
- Nền tảng quản lý khóa
- Lưu trữ lạnh và ví phần cứng
- Bảo mật đa chữ ký
- Bảo mật vận hành
- Các vectơ tấn công phổ biến
- Bảo mật cho tài sản lưu ký
- Xây dựng phòng thủ theo chiều sâu
Suy nghĩ về các mối đe dọa
Bảo mật không có mô hình đe dọa chỉ là phỏng đoán. Trước khi chọn biện pháp, hãy hiểu bạn đang bảo vệ mình khỏi điều gì.
Ba nhóm mất mát
1. Bạn mất quyền truy cập. Khóa bị phá hủy, bị quên hoặc không thể truy cập. Không ai có thể chi tiêu bitcoin, kể cả bạn.
2. Người khác có quyền truy cập. Kẻ tấn công lấy khóa của bạn bằng hack, trộm cắp hoặc lừa đảo. Họ chi tiêu bitcoin trước khi bạn kịp ngăn chặn.
3. Bạn bị cưỡng ép. Ai đó buộc bạn chuyển bitcoin bằng đe dọa thể chất, cưỡng chế pháp lý hoặc thao túng.
Các biện pháp khác nhau bảo vệ các nhóm khác nhau. Bản sao lưu bằng thép bảo vệ khỏi hỏa hoạn (nhóm 1) nhưng không chống được kẻ trộm tìm thấy nó (nhóm 2). Passphrase phức tạp bảo vệ khỏi trộm cắp nhưng tạo rủi ro quên mất (nhóm 1).
Điều chỉnh bảo mật theo tình huống
Mô hình đe dọa của bạn phụ thuộc vào:
- Số tiền có nguy cơ. Giá trị cao hơn biện minh cho độ phức tạp cao hơn.
- Năng lực kỹ thuật. Thiết lập tinh vi chỉ an toàn khi bạn vận hành đúng.
- Môi trường vật lý. Bạn có nơi lưu trữ an toàn không? Bạn có hay di chuyển không?
- Môi trường xã hội. Ai biết bạn nắm giữ bitcoin?
- Khoảng thời gian. Bảo mật cho một thập kỷ khác với bảo mật cho một tháng.
Không có cấu hình tốt nhất cho mọi người. Chỉ có cấu hình phù hợp với tình huống của bạn.
Làm nền tảng, hãy bắt đầu đơn giản hơn bạn nghĩ và chỉ thêm cấu trúc khi bạn có thể duy trì:
- Nếu đang học, hãy ưu tiên sao lưu và khôi phục rõ ràng hơn là các tính năng “thông minh”.
- Nếu số tiền đáng kể, hãy loại bỏ các điểm lỗi đơn lẻ (thường bằng multisig hoặc lưu ký cộng tác).
- Nếu có người thừa kế, hãy thiết kế để thực thi được, không chỉ để giữ bí mật.
Cân bằng giữa bảo mật và khả dụng
Các biện pháp bảo mật khó dùng thường thất bại. Bạn quên quy trình, bạn đi đường tắt, bạn mắc lỗi dưới áp lực.
Mục tiêu không phải là bảo mật tối đa, mà là mức bảo mật tối đa mà bạn thực sự duy trì được. Một thiết lập đơn giản dùng đúng cách an toàn hơn một thiết lập phức tạp mà bạn né tránh hoặc làm sai.
Thuật ngữ chính
- Khóa riêng: Bí mật cho phép chi tiêu bitcoin. Ai có khóa đều có thể chuyển bitcoin.
- Seed phrase (cụm từ khôi phục): Danh sách từ có thể khôi phục ví. Hãy coi như chìa khóa tổng.
- Ví phần cứng: Thiết bị ký giao dịch mà không lộ khóa cho máy tính thông dụng.
- Multisig: Ví yêu cầu nhiều khóa để ủy quyền giao dịch (ví dụ 2-trên-3). Xem đa chữ ký.
- 2FA: Yếu tố đăng nhập bổ sung. Dùng ứng dụng xác thực hoặc khóa phần cứng. Tránh SMS cho tài khoản giá trị cao.
Nền tảng quản lý khóa
Bảo mật bitcoin quy về quản lý khóa: cách bạn tạo, lưu trữ, sao lưu và sử dụng khóa riêng.
Tách giao diện ví khỏi tài sản: ứng dụng ví là công cụ, quyền kiểm soát nằm ở khóa.
Seed phrase
Hầu hết ví dùng seed phrase: 12 hoặc 24 từ mã hóa khóa riêng. Ai có cụm từ này đều có thể chi tiêu bitcoin của bạn.
Việc tạo cụm từ rất quan trọng. Seed phrase nên được tạo bởi phần mềm hoặc phần cứng đáng tin cậy với độ ngẫu nhiên phù hợp. Không bao giờ dùng seed phrase do người khác đưa. Không tạo từ một mẫu tự nghĩ ra.
Sao lưu vật lý là thiết yếu. Ghi ra giấy hoặc khắc lên kim loại. Không lưu dạng số ở nơi có thể bị hack.
Vị trí quan trọng. Bản sao lưu ở nhà không giúp gì nếu nhà bạn cháy. Bản sao lưu ở két ngân hàng có thể không truy cập được khi khủng hoảng.
Passphrase
Passphrase (đôi khi gọi là “từ thứ 25”) thêm một bí mật bổ sung. Với passphrase, người tìm thấy seed phrase vẫn không thể truy cập bitcoin.
Đổi lại: nếu quên passphrase, bitcoin của bạn sẽ mất. Passphrase phù hợp với người có thói quen ghi nhớ tốt hoặc lưu trữ passphrase an toàn. Rủi ro cho người dễ quên.
Nghịch lý sao lưu
Sao lưu tăng an toàn trước mất mát nhưng tăng rủi ro bị trộm. Nhiều bản sao hơn nghĩa là nhiều nơi kẻ tấn công có thể tìm thấy. Ít bản sao hơn nghĩa là rủi ro mất toàn bộ cao hơn.
Số lượng phù hợp tùy thuộc mô hình đe dọa: thảm họa vật lý có khả năng hơn hay trộm cắp? Bạn tin tưởng các địa điểm đến mức nào?
Lưu trữ lạnh và ví phần cứng
Lưu trữ lạnh nghĩa là giữ khóa trên thiết bị không bao giờ kết nối internet. Điều này loại bỏ nhóm tấn công lớn nhất: hack từ xa.
Vì sao lưu trữ lạnh hiệu quả
Hầu hết các vụ trộm bitcoin xảy ra từ xa. Kẻ tấn công xâm nhập máy tính bằng malware, phishing hoặc lỗ hổng. Họ tìm file ví và seed phrase. Họ chờ bạn mở ví nóng.
Lưu trữ lạnh loại bỏ phần lớn đường tấn công từ xa. Nếu khóa không bao giờ chạm vào thiết bị có internet, kẻ tấn công từ xa không thể trích xuất trực tiếp.
Ví phần cứng
Ví phần cứng là thiết bị chuyên dụng cho lưu trữ lạnh. Chúng giữ khóa trong chip an toàn và ký giao dịch mà không lộ khóa cho máy tính.
- Mua trực tiếp từ nhà sản xuất. Thiết bị từ bên thứ ba có thể bị can thiệp.
- Xác minh thiết bị là chính hãng. Hầu hết nhà sản xuất cung cấp quy trình xác minh.
- Giữ firmware cập nhật. Các lỗ hổng được phát hiện và vá.
- Xác minh điều bạn ký. Kiểm tra địa chỉ nhận và số lượng trên màn hình thiết bị, không chỉ trên máy tính.
Ví phần cứng không hoàn hảo. Chúng có thể bị mất, bị đánh cắp hoặc hỏng. Đây là một lớp bảo vệ, không phải giải pháp hoàn chỉnh.
Thách thức vận hành
Lưu trữ lạnh chỉ an toàn bằng các quy trình xung quanh nó. Nếu bạn nhập seed phrase trên máy tính có internet “chỉ một lần”, bạn đã phá hỏng mục đích.
Quy tắc đơn giản: giữ seed phrase ngoại tuyến và kiểm tra địa chỉ và số lượng trên màn hình đáng tin cậy trước khi ký.
Bảo mật đa chữ ký
Thiết lập đa chữ ký yêu cầu nhiều khóa để ủy quyền giao dịch. Multisig 2-trên-3 yêu cầu bất kỳ hai trong ba khóa để chi tiêu.
Vì sao multisig quan trọng
Multisig loại bỏ điểm lỗi đơn lẻ:
- Bị lộ một khóa không gây hậu quả chí tử. Kẻ tấn công có một khóa vẫn không thể chi tiêu.
- Không ai có thể hành động một mình. Giảm rủi ro nội bộ và dễ bị cưỡng ép.
- Mất một khóa vẫn không mất tiền. Với 2-trên-3, bạn có thể mất một khóa và vẫn khôi phục.
Với số tiền lớn giữ lâu dài, multisig mang lại mức an toàn mà cấu hình một khóa không có được.
Cấu hình phổ biến
2-trên-3 là tiêu chuẩn. Bạn kiểm soát cả ba khóa, lưu ở các vị trí khác nhau. Bất kỳ hai khóa có thể chi tiêu. Bảo vệ khỏi mất hoặc bị trộm một khóa.
3-trên-5 cung cấp dự phòng cao hơn. Có thể mất hai khóa và vẫn khôi phục. Phù hợp cho số tiền rất lớn hoặc tổ chức.
Lưu ký cộng tác là bên thứ ba giữ một hoặc nhiều khóa, hỗ trợ khôi phục mà không có quyền kiểm soát đơn phương.
Độ phức tạp của multisig
Multisig phức tạp hơn khi thiết lập và vận hành:
- Bạn phải tạo và lưu trữ nhiều khóa một cách an toàn.
- Bạn cần bảo tồn cấu hình ví, không chỉ các khóa.
- Chi tiêu cần phối hợp nhiều khóa, có thể ở các vị trí khác nhau.
Bảo mật multisig đáng với độ phức tạp đối với số tiền đủ lớn. Với số tiền nhỏ, độ phức tạp có thể tạo nhiều rủi ro hơn lợi ích.
→ Đọc: Hướng dẫn multisig Bitcoin
Bảo mật vận hành
Các biện pháp kỹ thuật thất bại khi thực hành vận hành yếu. Hầu hết các cuộc tấn công thành công khai thác hành vi con người, không phải lỗ hổng mật mã.
Bảo mật thông tin
Những gì bạn tiết lộ ảnh hưởng đến an toàn:
- Không tiết lộ số tiền. Càng ít người biết, bạn càng ít là mục tiêu hấp dẫn.
- Giao tiếp an toàn. Giả định email và SMS không riêng tư. Dùng nhắn tin mã hóa cho trao đổi nhạy cảm.
- Cảnh giác dò xét. Các câu hỏi bất thường về tài sản hoặc bảo mật là dấu hiệu cảnh báo.
Bảo mật vật lý
Bảo mật số bị giới hạn bởi bảo mật vật lý:
- Bạn lưu các bản sao lưu ở đâu? Ai có thể truy cập?
- Bạn có mang theo thiết bị hoặc vật liệu sao lưu có thể bị mất hoặc bị trộm không?
- Hãy nghĩ xem kẻ xâm nhập có thể làm gì nếu ở một mình trong nhà bạn 30 phút.
Phòng thủ trước thao túng xã hội
Tấn công thao túng xã hội khiến bạn tự làm suy yếu bảo mật của mình:
- Phishing. Trang web hoặc tin nhắn giả mạo dụ bạn tiết lộ khóa hoặc gửi bitcoin.
- Mạo danh. Kẻ tấn công giả làm hỗ trợ, bạn bè hoặc cơ quan chức năng.
- Tạo cảm giác khẩn cấp. Gây áp lực thời gian để ngăn suy nghĩ cẩn trọng.
Phòng thủ đòi hỏi sự nghi ngờ. Xác minh yêu cầu qua kênh độc lập. Dành thời gian trước các yêu cầu gấp. Hãy giả định bất kỳ ai hỏi khóa hoặc seed phrase đều là kẻ tấn công, vì dịch vụ hợp pháp không bao giờ cần chúng.
Các vectơ tấn công phổ biến
Hiểu cách tấn công xảy ra giúp bạn ưu tiên phòng thủ.
| Tấn công | Cách hoạt động | Phòng thủ |
|---|---|---|
| Phishing | Trang giả thu thập seed phrase | Chỉ tải từ nguồn chính thức |
| Malware | Tìm file ví, theo dõi clipboard | Ví phần cứng, thiết bị chuyên dụng |
| Hoán đổi SIM | Nhà mạng chuyển số cho kẻ tấn công | Ứng dụng xác thực, không dùng SMS |
| Trộm cắp vật lý | Truy cập thiết bị hoặc bản sao lưu | PIN, passphrase, nơi lưu trữ an toàn |
| Tấn công “cờ lê 5 đô” | Cưỡng ép vật lý | Không khoe sở hữu, ví cưỡng bức |
Phishing và phần mềm giả
Tấn công phổ biến nhất là lừa người dùng tự giao khóa của mình:
- Trang ví giả thu seed phrase trong quá trình “thiết lập”
- Tiện ích trình duyệt độc hại đổi địa chỉ nhận
- Hỗ trợ giả yêu cầu seed phrase để “xác minh” tài khoản
- Bản tải phần mềm bị cài malware
Phòng thủ: tải từ nguồn chính thức, kiểm tra checksum, không bao giờ nhập seed phrase trên website.
Malware
Malware có thể:
- Tìm file ví và seed phrase lưu dạng số
- Theo dõi clipboard để thay thế địa chỉ bitcoin
- Ghi lại phím khi bạn nhập mật khẩu
- Chờ bạn mở ví rồi cố rút tiền
Phòng thủ: cập nhật hệ thống, không cài từ nguồn không đáng tin, dùng ví phần cứng, cảnh giác thay thế địa chỉ, xác minh trên màn hình đáng tin cậy.
Hoán đổi SIM
Kẻ tấn công thuyết phục nhà mạng chuyển số của bạn sang SIM của họ, rồi dùng khôi phục qua SMS để truy cập tài khoản.
Phòng thủ: không dùng SMS cho 2FA ở tài khoản quan trọng. Dùng ứng dụng xác thực hoặc khóa phần cứng.
Trộm cắp vật lý
Nếu ai đó có quyền truy cập vật lý:
- Ví phần cứng có thể bị trộm (PIN giúp bảo vệ phần nào)
- Bản sao lưu seed phrase có thể bị chụp hoặc sao chép
- Máy tính có thể bị truy cập nếu không được mã hóa đúng cách
Phòng thủ: dùng PIN và passphrase, mã hóa thiết bị, bảo vệ địa điểm lưu trữ.
Tấn công “cờ lê 5 đô”
Cưỡng ép vật lý: ai đó đe dọa bạn cho đến khi bạn giao bitcoin.
Đây là loại khó phòng nhất. Các biện pháp giảm thiểu khả dĩ:
- Không khoe sở hữu (phòng thủ tốt nhất là không trở thành mục tiêu)
- Ví cưỡng bức (ví mồi với số tiền nhỏ)
- Rút tiền có khóa thời gian
- Phân bố khóa theo địa lý
Bảo mật cho tài sản lưu ký
Nếu bạn dùng dịch vụ lưu ký, an toàn của bạn phụ thuộc một phần vào cách họ làm và một phần vào cách bạn làm.
Đánh giá đơn vị lưu ký
- Mức độ tiếp xúc ví nóng và kiểm soát. Bao nhiêu giữ online và giới hạn truy cập ra sao?
- Multisig hoặc kiểm soát phân tán. Có yêu cầu nhiều phê duyệt không?
- Bảo hiểm. Có phạm vi bảo hiểm nào?
- Thành tích bảo mật. Đã từng bị tấn công chưa? Phản ứng thế nào?
- Minh bạch. Có công bố quy trình? Có kiểm toán độc lập không?
→ Đọc: Điều gì làm sụp đổ lưu ký
Bảo mật tài khoản của bạn
Ngay cả với đơn vị lưu ký an toàn, tài khoản của bạn vẫn có thể bị xâm nhập:
- Mật khẩu mạnh, duy nhất. Không bao giờ dùng lại mật khẩu.
- Xác thực hai yếu tố. Ứng dụng xác thực hoặc khóa phần cứng, không dùng SMS.
- Xác minh địa chỉ rút tiền. Kiểm tra qua nhiều kênh trước khi rút khoản lớn.
- Theo dõi hoạt động. Bật thông báo.
- Hoài nghi. Xác minh rằng liên lạc thực sự đến từ đơn vị lưu ký.
Đánh đổi
Lưu ký đổi rủi ro tự quản sang rủi ro đối tác. Bạn không còn lo mất khóa, nhưng phụ thuộc vào an ninh và sự trung thực của đơn vị lưu ký.
Với nhiều người nắm giữ, câu trả lời là dùng cả hai: một phần tự quản để kiểm soát, một phần gửi nơi tin cậy để đơn giản.
→ Cách tiếp cận bảo mật của chúng tôi
Xây dựng phòng thủ theo chiều sâu
Phòng thủ theo chiều sâu nghĩa là nhiều lớp độc lập. Nếu một lớp thất bại, lớp khác vẫn bảo vệ bạn.
Ví dụ bảo mật nhiều lớp
Đối với tự quản tài sản giá trị lớn:
- Ví phần cứng: Khóa không chạm vào máy tính thông dụng
- Multisig: Yêu cầu nhiều khóa, lưu ở nhiều nơi khác nhau
- Passphrase: Chỉ có seed phrase là chưa đủ
- Phân bố địa lý: Không có một nơi nào chứa đủ để bị lấy cắp
- Kỷ luật vận hành: Thực hành nhất quán, không đi đường tắt
Kẻ tấn công phải vượt qua nhiều lớp cùng lúc.
Tránh điểm lỗi đơn lẻ
Rà soát bảo mật của bạn. Một điểm lỗi đơn lẻ là bất kỳ thành phần nào chỉ cần hỏng một mình là gây mất mát:
- Có thiết bị nào mà nếu bị xâm nhập sẽ cho truy cập tất cả không?
- Có địa điểm nào mà nếu bị tiếp cận sẽ lộ toàn bộ bản sao lưu không?
- Có người nào mà nếu bị xâm nhập hoặc bị cưỡng ép có thể lấy hết không?
- Có thông tin nào mà nếu quên sẽ khóa bạn mãi mãi không?
Mỗi “có” là một điểm yếu cần xử lý.
Bảo trì và tài liệu
Bảo mật suy giảm theo thời gian. Phần cứng hỏng. Phần mềm phát sinh lỗ hổng. Hoàn cảnh thay đổi.
Lên lịch rà soát định kỳ. Kiểm tra bản sao lưu hoạt động. Cập nhật phần mềm. Xem lại xem thiết lập còn phù hợp với tình huống của bạn không.
Tài liệu hóa thiết lập đủ rõ để bạn có thể tái tạo khi quên chi tiết, người đáng tin có thể hỗ trợ khi bạn mất khả năng, và người thừa kế có thể truy cập tài sản sau khi bạn qua đời.
Lưu tài liệu riêng biệt khỏi các khóa mà nó mô tả.
→ Đọc: Lập kế hoạch thừa kế bitcoin
Đọc thêm
- Điều gì làm sụp đổ lưu ký. Các mô hình thất bại lưu ký phổ biến.
- Lưu ký dự trữ đầy đủ. Vì sao dự trữ 1:1 quan trọng với an toàn lưu ký.
- Tiêu chuẩn bảo mật của chúng tôi. Cách chúng tôi tiếp cận bảo mật tổ chức.
- Hướng dẫn lưu ký bitcoin. Bối cảnh lưu ký rộng hơn.
Nguồn tham khảo thêm
- BIP32: Ví xác định phân cấp. Tiêu chuẩn cốt lõi cho dẫn xuất khóa HD.
- BIP39: Mã ghi nhớ để tạo khóa xác định. Tiêu chuẩn seed phrase.
- Thông báo bảo mật Bitcoin Core. Công bố có trách nhiệm và khuyến cáo.
