Если вам близок вариант с использованием отдельного устройства для хранения кошелька, то можете аналогично завести такое же под Celsius с Authy. И то и другое в случае аппаратной неисправности устройства можно восстановить. Это может быть тот же ноутбук под linux, например, что снизит количество возможных атак.
Вариант с использованием отдельного устройства совсем не близок. Тем более на Linux, в котором я никогда не работал. Просто так случилось, что был старый и ненужный ноут с виндовс 7 и его как раз можно было применить для Электрума по схеме с двумя ноутами.
А чтобы просто следить за балансом и лишний раз не авторизоваться в сервисе, можно разрешить чтение по API и пользоваться сервисом
https://coinstats.app/portfolio/. Бесплатных функций для этого более чем достаточно.
Тема интересная. Только пока все это для меня выглядит очень сложно. Хотя может и стоит разобраться.
1. Включите двухфакторную аутентификацию, чтоб подтверждать авторизацию с помощью "Authy" или "Google Authenticator". Первый круче, хотя бы наличием резервного копирования и возможности установки сразу на несколько устройств. Можно ещё дополнительно защитить запуск самого "Authy" запросом другого пароля или запросом отпечатка, если он на смартфоне.
Ох, как же я не люблю эту 2FA. Каждый раз возня с тем, чтобы открыть на телефоне аутентификатор, потом ввести код. Да еще и боишься, что в один прекрасный момент он выйдет из строя, код не пришлет и у меня закроется доступ к аккаунту. Юзал раньше эту 2FA пару месяцев уже не помню для чего, потом нахрен снес с мобилы гугл аутентификатор и больше никогда не ставил.
2. Включите двухфакторную аутентификацию на своём почтовом аккаунте. Это дело все популярные почтовые провайдеры поддерживают.
Это вообще не вариант. Свою почту открываю по 20 раз в день. Проще повеситься, чем каждый раз тратить время на ввод кода 2FA.
3. Заранее определитесь с тем, на какие адреса будете выводить средства и добавьте эту информацию в кошелёк, потому что смена адреса вывода будет доступна только спустя 24 часа после запроса на изменение.
Вот это вообще самая нормальная тема. В идеале это дать Celsius указание, что вывод возможен только на те адреса, с которых был депозит. А если вдруг я захочу использовать неизвестный адрес, то пусть меня маринуют по полной и снова верифицируют по максимуму. И тогда не нужны были бы остальные способы защиты. Никогда не использую при отправке ВТС адреса для сдачи. Сдача приходит на тот же самый адрес. Не вижу смысла привлекать кучу адресов, когда движение крипты что так, что эдак легко отследить.
4. Стоит отдельно обратить внимание на защиту от фишинговых атак, если будете пользоваться веб-приложением. То есть может быть привязать сервис на отдельный почтовый аккаунт, пользоваться dns серверами со встроенной защитой от фишинга, добавить адрес сайта в закладки и пользоваться приватным режимом, либо специально настроенным браузером для избежания перехвата cookies.
Если честно, то сам не понял что за веб-приложение. Регался с ноутбука просто на сайте. Юзать веб-приложение смысла не вижу, а раз так, то и пользоваться им не буду. Вообще удобнее всего и вроде как безопаснее пользоваться мобильным приложением и число входов в аккаунт с сайта буду стараться сводить к минимуму.
5. Пароль авторизации в приложении должен быть стойким. А хранить его можно уже в менеджере паролей, который использует шифрование.
Пароль к аккаунту надежный. Все пароли записываю ручкой в бумажный блокнот. Так надежнее всего ))
6. Стоит помнить, что сотрудники Celsius.network никогда не просят пароль или сид фразу, или подключать сторонние кошельки типа Metamask и Ledger.
Это само собой. Мне кажется, что телефонные мошенники на десятилетия вперед привьют россиянам стойкий иммунитет к таким вещам ))
7. Включите авторизацию в приложении с помощью биометрии.
Включил. Как и у большинства других приложений включенный отпечаток пальца избавляет пользователя от необходимости ввода пин-кода. То есть это не только более безопаснее, но быстрее и удобнее.
8. Активируйте режим "HODL" и храните код для деактивации этой функции в надёжном месте. Для справки: Режим "HODL" выключает возможность вывода средств и изменение адресов для вывода. После выключения режима "HODL" пройдёт ещё 24 часа перед полным восстановлением этих возможностей.
Самая замечательная фишка в настройках безопасности аккаунта. Я правильно понял, что код для деактивации режима HODL - это почти как сид-фраза у криптокошельков? То есть потеряв код я не смогу выключить режим HODL даже если напишу в поддержку, скажу, что его потерял и пройду повторно полную верификацию? Если так, то никакие другие способы защиты получается не нужны - пусть мошенник взламывает аккаунт, сделать ничего не сможет. Но тут риск, что потеряв код, навсегда лишаешься своих средств.
11. Всегда корректно завершайте сессию при работе с Celsius (Log out)
Если редко заходить в приложение то да. А если необходимость зайти несколько раз в день, то я бы пренебрег. После нажатия Log out надо заново вводить мыло, пароль, а это время занимает.
Вообще у меня создалось ощущение, что если пользоваться для входа в аккаунт только мобильным приложением, только своей мобилой и только с домашнего вай-фай, то можно и не париться, забив на остальные способы защиты. Ну а что, биометрия для разблокировки телефона + биометрия для входа в приложение + включенный режим HODL, код от которого знаю только я и который записан ручкой на бумажке. Разве может мошенник обойти все эти препятствия?
P.S. Поддержка у Celsius мертвая конечно. Почти сутки не могут мне верифицировать аккаунт. Написано, что проверка идет и занимает обычно несколько минут и если через 24 часа ничего не изменится, то писать им. Похоже придется писать ((
Но опять же, вчера вечером им написал на мыло по другому вопросу - ответа нет.
Про биржу Бинанс не говорю - там еще меньше, но там все таки биржа и Бинанс с этой троицей сравнивать некорректно.
Стремно немного, что случись, так связи с конторой нет никакой.