近期被盗事件反思：加强账户安全新举措

注：本文来自@0xRichWang 推特：

近期看了好多被盗事件，好像是平台担责一一赔付了，但是用户自身，也应该主动提高账户的安全等级，毕竟钱是自己的。老祖宗说过“君子不立危墙之下”，直白说就是让风险没有发生的可能，而不是通过“亡羊补牢”减少风险发生后所带来的损失，主动规避风险，才是最高级的风险管理方式。

资金分散无论你的资金体量如何，都将资金至少分成两份。如果可以放在两个不同的平台最好，如果只认某一平台，那至少也要放在两个账户上。

不使用简单密码看似最无用处最多余，实则最重要。首先一定要使用大小写字母+符号的组合，已经很多平台强制要求如此了，但也有无需大小写无需符号就可以设置密码的平台。建议即使一个网站的登录、一个邮箱的注册、一个游戏的畅玩，都要按此规则设置足够强度的密码。

不重复使用密码也许你觉得交易平台的安全等级足够高，自己的密码不会外泄。但是现在是个网站就需要注册，是个应用就需要注册，可不是所有网站对用户的安全保护都很完善。也许你注册某一在线爱情动作片的密码，就适用于你的所有账户，如果该网站作恶或是出现安全问题，你的所有账户岂不是都一丝不挂的暴露在外？

定期修改密码这一点传统金融机构做的更为到位，不厌其烦的提醒，往往让人讨厌。但事实却是，传统金融不仅对用户如此建议，对自己员工的系统登陆更是如此要求，甚至既往密码都无法再次使用。你不知道你的密码什么时候被获取，也不知道攻击何时发动，所以不要怕麻烦，定期修改密码来阻止这一切的发生。

第三方应用授权无论是推特，还是Discord，甚至各个平台，当连接第三方时，都会常常遇到第三方授权的请求。首先，要仔细阅读授权的权限内容，不可以给出太高权限。其次，及时移除第三方授权，用完就移除，下次用的时候再授权就是。最后，非上不可的话，一定要使用备用账户，不要拿自己的主账户去冒险。

定期浏览登陆记录、查看设备管理不仅仅要及时移除非自己添加的设备，关注非自己登录的信息，同时也要移除自己不再使用的设备，避免因丢失、维修、出售后，出现风险。在邮箱的安全选项中执行同样的操作。

控制API权限API能不使用就不使用，非用不可的话，就严格控制API权限，据说此次事件API甚至获得了提币权限。同时也要定期的检查API，如果有非自己设置的高权限API及时删除。

一定要开启身份认证，即Google AuthenticatorGA的使用也很方便，没有理由不开启，直接把安全级别拉满，这次事件的受害者貌似普遍没有开启GA。需要注意的是，在下载Authenticator的时候会有各种小作坊产品，一定要认准开发者——Google。

Google Authenticator不要开云同步把右上角的小云彩点掉就行。

手抄Google Authenticator的key怎么记你钱包的密钥和助记词，就怎么记Key好了。记得多备份几份，以防藏得太隐秘你自己都找不见。

Google Authenticator与交易设备隔离将GA直接放在另一不联网手机上，这台设备永不联网，所以这台设备说是手机，但实际就是一台手机样式的保安密码器。

邮箱、手机号所在设备隔离有条件的话尽量分布在多台设备上吧，别嫌麻烦，一直在提设备隔离，并不会增添很多成本，因为一台iphone10现在只需不到1000块了。

大隐于世！这一点非常重要，如非必要，不要让身边任何人知道你在炒币。