Checklist de sécurité basique

Salut à tous cher Steemians,

Alors voilà, je lis de plus en plus d'histoires de hacks, fishing, ramsomware et autres piratages qui déciment nos amis cryptos enthousiastes. Bien que la plupart du temps le problème se situe du côté de la naïveté de jeunes enthousiastes (jeunes au sens peu expérimenté hein ;-)) il y a aussi parfois des soucis plus "profonds" ou des failles qui auraient pu être "comblées" avec plus de vigilance.

J'aimerais du coup partager avec vous ma "checklist" de sécurité qui est certes un peu simpliste mais aura la mérite d'être "no bullshit" aussi ;-)

Voici donc mes recommandations :

1. Ne ré-utilisez JAMAIS deux fois le même mot de passe
2. Idéalement utilisez des générateurs de mot de passe pour que ceux-ci soient complexes (les gestionnaires de mot de passe sont super pour cela)
3. Si possible n'utilisez pas toujours le même compte email (conseil surtout valable pour vos comptes sur les places de marché afin qu'en cas de piratage de votre boîte mail seulement une partie de vos comptes sur des places de marchés soient exposés)
4. Utilisez la double authentification partout où cela est possible (Yubikey ou 2FA mais pas SMS)
5. L'usage d'un VPN est fortement recommandé (pour que des pirates éventuels ne puissent vous tracer / fisher car les attaques sont souvent ciblées donc si on ne peut savoir d'où vous vous connectez vous minimisez les chances d'être une cible)
6. Si vous êtes sous Windows => Anti-virus (dans l'absolu sous les autres OS aussi mais les exploits sont bien moins nombreux que sur l'OS aux mille fenêtres donc sortez couverts ;-))
7. Utilisez plutôt des "Hardware wallets" voire même mieux des paper wallet (en gros hardware si vous voulez utilisez vos coins "souvent", paper pour le stockage... paper wallet pouvant être gravées sur du metal pour la durée dans le temps au besoin)
8. Essayer de ne pas associer votre numéro de téléphone aux questions de sécurité (car ici aussi il est plus facile de pirater vos accès téléphonie qu'un Google Authenticator par exemple).
9. Ne stockez JAMAIS vos seed / codes de restauration / passphrase, etc. sur une machine ou un équipement connecté à internet (ces informations ne vous servent qu'en cas de perte de vos clés privées donc vous n'avez AUCUNE raison de les garder à "portée de main"... burinez moi ça dans du marbre et jetez le cailloux au fond de la marre ce sera très bien, vos poissons rouges n'ont pas la technicité suffisante pour s'en servir et les algues s'enlèvent très bien... même après 50 ans ;-)).
10. NE TELECHARGEZ RIEN BORDEL !!!

Bon ok j'ai craqué sur le 10... mais pourtant vous le savez que la faille de sécurité c'est surtout quand vous installez des trucs sans vraiment savoir d'où ça vient hein ? Bon allez ok une dérogation de la 10 serait de ne télécharger des trucs que si vous avez le checksum (ou SHA, ou clé de contrôle, etc.) et que vous êtes donc en mesure de vérifier que le logiciel est bien ce qu'il dit être (checksum correct / validé localement par vos soins).

Bref je suis parno.... et vous vous le vivez bien ?