Topic: Resiko unlock pake private key - page 2. (Read 1191 times)
Untuk menjaga aset berharga agan, saran ane menggunakan file Json untuk membuka MEW atau menginstall metamask sesuai prosedurnya langsung dari MEW sendiri.
Hal tersebut hanya saran dari pihak MEW saja gan, untuk menghindari hal2 yang tidak di inginkan, Karna biasanya kalau unlock pakek private key ataupun keystore file rawan peretasan,
apapun itu resiko unlock menggunakan private key pasti ada. pengalaman saya juga pernah salah memasukkan private key di form bounty dan ane cepat2 kosong kan wallet itu dan pindah ke wallet baru. selalu kroscek, bookmark, dan lain sebagainya untuk menjamin keamanan dari wallet kita sendiri (be your own bank).
mo tanya dong, tiap unlock wallet di mew pake private key pasti ada warning, apakah resikonya memang setinggi itu login pake private key ?
Terlalu beresiko gan, karena sudah banyak cara hackers untuk membobol Wallet eth di MEW kalo saran ane make hardware Trezor gan
Ada beberapa kasus yang menyebabkan wallet kita terbobol, yaitu :
Airdrop diminta private key ane sering menjumpainya gan, jadi sangat hati2 kalo kita mengisi form airdrop apalagi kita lengah dan kita mengisi private key kita
Salah isi "eth wallet address" kita biasanya suka lupa jika kita mengkopas eth wallet, saat kita membuka akun mew kita menggunakan private key, kita bisa saja tanpa sadar mem-paste private key kita ke form google. Saran ane usahakan gunakan wallet dari trezor, minimal kita buka make file bernama JSON atau UTC file
Masuk Pada Web phising Meyetherwallet kita kadang juga inget buru buru membuka mew jadi kurang teliti masalah link, karena sudah banyak link phising myetherwallet bertebaran, bahkan mereka mengirim melalui spam mail. Solusinya adalah boomark selalu link myetherwallet asli.
Kompi kena Key longger virus ini dapat merekam berbagai aktifitas keyboard yang anda ketik, semua nya akan terekam dan akan dikirim kepemiliki virus sehingga wallet kita mudah dijebol, bukan hanya itu, virus ini juga dapat membobol berbagai akun pribadi kita. Solusinya adalah usahakan untuk selalu scan virus laptop anda dan jangan download sembarangan.
Apa itu key longger?
Baca artikel ini untuk penjelasan: https://combofix.org/what-is-a-keylogger-virus-and-how-to-remove-it.php
kalo ane sih sangat meminimalkan penggunaan Private Key selama metode login lain masih ada kayak pakek File JSON,
Menurut ane login pake file JSON sama berbahayanya dengen private key gan. Ketika agan salah upload ke situs phising dan akhirnya nginput password, sama aja artinya tengan koin agan raib. Saran ane sih malah jangan login dengan private key dan json sama sekali, pakai saja metamask dan hardware wallet.
kalo ane sih sangat meminimalkan penggunaan Private Key selama metode login lain masih ada kayak pakek File JSON,
Menurut ane login pake file JSON sama berbahayanya dengen private key gan. Ketika agan salah upload ke situs phising dan akhirnya nginput password, sama aja artinya tengan koin agan raib. Saran ane sih malah jangan login dengan private key dan json sama sekali, pakai saja metamask dan hardware wallet.
kalo ane sih sangat meminimalkan penggunaan Private Key selama metode login lain masih ada kayak pakek File JSON, import akun di metamask dan penggunaan wallet seperti imToken agar tidak selalu memasukkan Privatekey saat ingin bertransaksi di market kayak Etherdelta, Forkdelta yang butuh import akun.
Karena private key emang rentan banget kena phising kalo gak hati-hati saat login.
Karena private key emang rentan banget kena phising kalo gak hati-hati saat login.
Banyak metode yang dapat digunakan oleh para peretas untuk membobol wallet agan agan. dari metode brute force, keyloger, phising, sampe web session cookies hack. yang paling banyak dikenal metode brute force sama phising.
ini beberapa cara ringan saya untuk menghindari metode pembobolan diatas yang mungkin berguna.
Brute force : karena metode brute force adalah metode percobaan login password berulang. langkah yang paling mudah adalah menggunakan password yang menggunakan kombinasi karakter unik, misal penggunaan alfabet, angka, huruf besar dan simbol, panjang karakter juga akan menjadi pertimbangan. kalo ga mao pusing pake password generator aja. misal *https://passwordsgenerator.net/ . semakin unik dan panjang mungkin si hacker membutuhkan milyaran tahun dan super komputer untuk melakukan login attempt.
Keyloger : adalah software perekaman password. saran saya jangan pernah login diwarnet atau komputer bukan milik agan. kalaupun terpaksa saya saranin gunakan onscreen keyboard buat ketik passwordnya. karena kita gak akan tau kalo komputer yang kita gunakan terinstal keyloger. karena keyloger ini bersifat stealth gak mudah terdeteksi. kalo buat dikomputer pribadi bagus nya install antivirus dan terupdate tiap hari untuk pencegahan.
Phising : adalah pencurian/merekam password menggunakan website yang menyerupai website yang di tuju. dalam hal ini saya menyarankan agan membookmark halaman website yang agan biasa login seperti web market/trading atau MEW dengan menekan CTRL+D supaya web yang agan tuju tersimpan dibrowser dan kalo mao visit tinggal klik di bookmark agan. biar gak kena jebakan betmen.
web session cookies hack : walaupun cookies password yang tersimpan pada browser umumnya terenkripsi MD5 yang mana agak sulit untuk mendeskripsi MD5. tetapi taukah agan kalo cookies itu bisa dicopy dan di gunakan di komputer lain untuk login. sehingga halaman login bisa di bypass. makanya saat ini sesuai ketentuan internasional banyak website yang selalu minta ijin untuk bisa mengakses cookies kita dengan alasan maksimalisasi konten web. kalo ane dalam hal ini selalu menghapus history cookies secara berkala. misal hapus cookies 1 jam terakhir setelah login.
kalo agan ga ngerti bahasa ane diatas mending pake antivirus yang terintegrasi dengan browser dan update tiap hari mudah2an dapat meminimalisir kejahatan dunia maya..
klo ada kesalahan mohon koreksi ane cuma kumur2 diatas.
ini beberapa cara ringan saya untuk menghindari metode pembobolan diatas yang mungkin berguna.
Brute force : karena metode brute force adalah metode percobaan login password berulang. langkah yang paling mudah adalah menggunakan password yang menggunakan kombinasi karakter unik, misal penggunaan alfabet, angka, huruf besar dan simbol, panjang karakter juga akan menjadi pertimbangan. kalo ga mao pusing pake password generator aja. misal *https://passwordsgenerator.net/ . semakin unik dan panjang mungkin si hacker membutuhkan milyaran tahun dan super komputer untuk melakukan login attempt.
Keyloger : adalah software perekaman password. saran saya jangan pernah login diwarnet atau komputer bukan milik agan. kalaupun terpaksa saya saranin gunakan onscreen keyboard buat ketik passwordnya. karena kita gak akan tau kalo komputer yang kita gunakan terinstal keyloger. karena keyloger ini bersifat stealth gak mudah terdeteksi. kalo buat dikomputer pribadi bagus nya install antivirus dan terupdate tiap hari untuk pencegahan.
Phising : adalah pencurian/merekam password menggunakan website yang menyerupai website yang di tuju. dalam hal ini saya menyarankan agan membookmark halaman website yang agan biasa login seperti web market/trading atau MEW dengan menekan CTRL+D supaya web yang agan tuju tersimpan dibrowser dan kalo mao visit tinggal klik di bookmark agan. biar gak kena jebakan betmen.
web session cookies hack : walaupun cookies password yang tersimpan pada browser umumnya terenkripsi MD5 yang mana agak sulit untuk mendeskripsi MD5. tetapi taukah agan kalo cookies itu bisa dicopy dan di gunakan di komputer lain untuk login. sehingga halaman login bisa di bypass. makanya saat ini sesuai ketentuan internasional banyak website yang selalu minta ijin untuk bisa mengakses cookies kita dengan alasan maksimalisasi konten web. kalo ane dalam hal ini selalu menghapus history cookies secara berkala. misal hapus cookies 1 jam terakhir setelah login.
kalo agan ga ngerti bahasa ane diatas mending pake antivirus yang terintegrasi dengan browser dan update tiap hari mudah2an dapat meminimalisir kejahatan dunia maya..
klo ada kesalahan mohon koreksi ane cuma kumur2 diatas.
~snip
intinya, kita yang harus benar benar menjaga dan berhati hati untuk proses memasukan password untuk unlock wallet.
mulai dari memperhatikan webnya scam atau tidak, web asli atau clone, dll gan banyakk.
Berhati-hati memang menjadi faktor keamanan yang paling menentukan,tapi namanya juga manusia pasti ada unsur kelalaiannya juga.intinya, kita yang harus benar benar menjaga dan berhati hati untuk proses memasukan password untuk unlock wallet.
mulai dari memperhatikan webnya scam atau tidak, web asli atau clone, dll gan banyakk.
Dan menurut saya metamask juga bisa diandalkan untuk keamanan aset digital kita,dan lebih baik langsung dibomark agar selalu masuk di situs aslinya agar sedikit meringankan pekerjaan.
kalau menurut saya sih sama saja, meskipun kita menggunakan metamask atau yang lainnya tetap harus memasukkan keystore dan password atau private key juga jika ingin login untuk pertama kalinya.Bedanya tidak akan pernah di minta memasukkan private key atau keystore lagi ketika ingin login.
yang jadi masalah adalah kita mengakses web phising,sehingga pelaku dapat mengambil data kita.
Setidaknya jika kita menggunakan metamask sebagai pengaman tambahan, maka saat kita lalai/lupa malah mengakses situs phishing, maka akan ada warning dari metamask, contohnya seperti ini:yang jadi masalah adalah kita mengakses web phising,sehingga pelaku dapat mengambil data kita.
Dan warning tersebut muncul tanpa saya harus login/daftar terlebih dulu, cukup dengan install metamask (sebagai plugin browser).
Artinya sebelum import wallet atau memasukkan private wallet ke metamask sekalipun, kita setidaknya sudah dicegah/diberikan peringatan bila mengakses situs berbahaya/phishing.
mo tanya dong, tiap unlock wallet di mew pake private key pasti ada warning, apakah resikonya memang setinggi itu login pake private key ?
itu peringatan / notice untuk meyakinkan agan masuk dengan proses tsb.Semua password dalam jenis apapun, mau private key, mau passphrase, mau keycode, mau password biasa, atau utc dll itu semuanya beresiko.
Terlebih device agan terkena rat atau keylogger maka dari itu segala bentuk pw yg di proses itu beresiko tinggi.
intinya, kita yang harus benar benar menjaga dan berhati hati untuk proses memasukan password untuk unlock wallet.
mulai dari memperhatikan webnya scam atau tidak, web asli atau clone, dll gan banyakk.
Private Key itu seperti inti kunci asetmu, contoh "Private key = anakmu, misalkan kamu suruh anakmu pergi kewarung sendirian, pasti rawan diculik, karena tidak ada seseorang dewasa atau orang lain menemani, dan anak adalah kunci aset berhargamu. Nah Private Key juga seperti itu, kalau Anda gunakan langsung tanpa pengaman atau enkripsi juga bahaya rawan jika komputermu ada problem, atau pembobolan." Intinya seperti itu, kurang tahu pembobolan macam apa, tapi intinya beresiko besar. Lebih baik gunakan Metamask dll yang tertera disana.
Ini menurut yang saya pahami, betulkan jika salah.
Dan mengenai metamask ternyata sempat beredar extension metamask palsu dan banyak memakan korban, thread pembahasannya sudah beberapa bulan yang lalu, menurut saya sih memakai extension juga rentan. Saya sndiri masih prefer MEW buka pake Keystore, ini ngak mungkin orang bisa ambil dan tidak ada resiko salah paste Ini menurut yang saya pahami, betulkan jika salah.
Quote
salah satunya adalah lupa dimana menyimpan filenya hingga ujung-ujungnya kandas semua asetnya
. kalo saya gak akan pernah lupa di mana letak aset yg menyangkut uang krn susah mencarinya. bisa jadi terlalu mudah mencari jadi lupa tarok di mana aset private key, dll
Quote
Saya ada sedikit saran juga ni kalau menyimpan sesuatu file yang bersangkutan dengan akun atau aset cryptocurrency ada baiknya jangan menyimpan di satu data (flashdisk) supaya aman kalau ada kehilangan salah satu flashdisk nya
klo saya gak pernah nyimpen private key atau seed di flashdisk, komputer atau hp walaupun terenksripted, itu sangat rawan dari segi keamanan.
walaupun private key panjang dan njelimet pasti saya catat di kertas dan disimpan. itu lebih aman klo cuma kata2 asal jgn dikasih catatan saja di kertas, misalkan :, private key bitcoin, ya sama aja boong. kasih kode dikit biar apal
mo tanya dong, tiap unlock wallet di mew pake private key pasti ada warning, apakah resikonya memang setinggi itu login pake private key ?
Kalau untuk resikonya pasti ada gan ya, tapi ada lebih baiknya agan coba untuk alternatif nya aja, mungkin lebih aman dengan itu kalau agan menggunakan laptop coba agan pakai metamask, kalau untuk android ada imtoken gan.Semoga bermanfaat
Lain kali kalau membuat akun wallet. Jangan lupa menaruhnya disatu tempat. Jangan terburu buru karena takutnya lupa nyimpen file UTC nya. Santai tapi pasti. Kalo udah gitu kan susah juga. Jadinya abang gak punya banyak alternatir untuk keamanan. Mending di import ke akun andorid saja. Supaya kalau kirim mengirim tidak mengulangi login dengan prvate key melainkan hanya password saja
Saya sampai saat ini memakai cara seperti yang abang bilang, karena saya rasa itu jadi cara yang aman untuk aset saya sendiri, banyak sudah kejadian seperti yang abang katakan, salah satunya adalah lupa dimana menyimpan filenya hingga ujung-ujungnya kandas semua asetnya. Saya ada sedikit saran juga ni kalau menyimpan sesuatu file yang bersangkutan dengan akun atau aset cryptocurrency ada baiknya jangan menyimpan di satu data (flashdisk) supaya aman kalau ada kehilangan salah satu flashdisk nya.
mo tanya dong, tiap unlock wallet di mew pake private key pasti ada warning, apakah resikonya memang setinggi itu login pake private key ?
resikonya bila chrome atau firefox atau browsermu ada spyware maka private key mu akan diketahui oleh hacker. usahan klo gak penting amat jgn buka wallet, cukup watching aja di etherscan lbh aman Iya Gan, Yang Dikhawatirkan Link Phising.
Terus Address Nya udah Kekait Dibot, Udah Ga bisa Diapaapain lagi, Setiap Deposit Pasti mental ke address lain, Ya Tinggal Realain Aja
Terus Address Nya udah Kekait Dibot, Udah Ga bisa Diapaapain lagi, Setiap Deposit Pasti mental ke address lain, Ya Tinggal Realain Aja
Sampeyan punya pengalaman terkait? Monggo berbagi dengan penulisan yang rapi dan mudah dipahami.
Dan kalau "udah ga bisa diapa-apain lagi", kok malah nyoba deposit?
mau sedekah atau ngapain nih
Iya Gan, Yang Dikhawatirkan Link Phising.
Terus Address Nya udah Kekait Dibot, Udah Ga bisa Diapaapain lagi, Setiap Deposit Pasti mental ke address lain, Ya Tinggal Realain Aja
Terus Address Nya udah Kekait Dibot, Udah Ga bisa Diapaapain lagi, Setiap Deposit Pasti mental ke address lain, Ya Tinggal Realain Aja
kalau menurut saya sih sama saja, meskipun kita menggunakan metamask atau yang lainnya tetap harus memasukkan keystore dan password atau private key juga jika ingin login untuk pertama kalinya.Bedanya tidak akan pernah di minta memasukkan private key atau keystore lagi ketika ingin login.
yang jadi masalah adalah kita mengakses web phising,sehingga pelaku dapat mengambil data kita.
yang jadi masalah adalah kita mengakses web phising,sehingga pelaku dapat mengambil data kita.
mo tanya dong, tiap unlock wallet di mew pake private key pasti ada warning, apakah resikonya memang setinggi itu login pake private key ?
Itu karena udah banyak situs peniru/phising mirip MEW broh, makannya MEW lebih merekomendasikan mengakses privat key menggunakan Metamask dan Hardware. Kalo bisa teliti juga domain dan kontak/kustomer servis situs MEW yang si broh mau kunjungi, siapa tau ada yang ngga beres kan! Kasian hasil yang didapetin si broh kalo asal masukin privat key ke situs abal-abal. 
Maaf, sepertinya agak OoT.
Sedikit saran dari saya mengolah aset ETH dan tokennya. Memang banyak sekali resiko ketika unlocking MEW dengan Privkey. Setidaknya tulisan saya ini menyumbang cara aman sebelum menggunakan PrivKey dan opsi lebih baik daripada menggunakan MEW (meskipun sudah banyak yang menyarankan, tak apa
. Anggap saya hanya menyimpulkan berdasarkan pengalaman pribadi karena menggunakan PrivKey memang sangat simple sehingga masih banyak yang menggunakan metode ini).
1. Mengurangi resiko web phising (termasuk MEW dan situs wallet lainnya).
- Gunakan fitur bookmark seperti saran agan damsix dengan syarat memeriksa alamat situsnya sebelum dibookmark dan juga hindari mengklik iklan-iklan di situs web yang dikunjungi. Termasuk link rekomendasi dari web proyek baru yang mengharuskan membuat wallet dari situs pihak ketiga (dikhawatirkan link yang direkomendasikan situs tersebut mengarah ke situs wallet phising atau mengandung malware).
- Matikan fitur "suggestion recently visited" ketika menulis di address bar langsung (untuk mengurangi resiko jika ternyata web yang selama ini dikunjungi adalah palsu/phising). Bagi yang sudah yakin atau sudah dipastikan aman, tak mengapa jika ingin tetap menggunakan fitur ini.
- Gunakan mesin pencari seperti mbah google sepertinya lebih aman. (saya sangat merekomendasikan ini)
2. Mengurangi resiko virus copy-paste (untuk keperluan login, dll yang menggunakan data pribadi dan rahasia seperti Privkey dan Password).
- Gunakan antivirus (tentunya).
- Hindari (jika memungkinkan) pemakaian metode copy-paste (baik pake shortcut CTRL+C & CTRL+V, klik kanan copy>paste, ataupun lewat menu2 yang lain) karena yang diolah oleh virus ini adalah data yang tersimpan di clipboard. Solusinya, kita gunakan metode "select text>drag>drop" (teman-teman yang mengerti cara ini tolong bantu dijelaskan ya, prakteknya sebenarnya sangat mudah, tapi mau menjelaskannya yang sulit). Maka teks yang kita pilih tidak tersimpan di clipboard.
**Tips tambahan untuk bertransaksi ETH dan token-token ERC20 selain lewat MEW.
Saya lebih suka melakukan transaksi lewat Forkdelta Exchange. Ya, pengepul token dari yang berharga hingga rongsokan.
Saya yakin hampir semua bounty hunter pernah login disitus ini (mungkin karena terpaksa dan tidak ada exchange pilihan lain). Namun segi positifnya, kita hanya perlu login sekali seumur hidup (dengan satu browser yang sama) meskipun lama tidak diakses (setahu saya) dan tentu saja mengurangi resiko-resiko ketimbang melalui MEW yang harus bolak balik login setiap akan bertransaksi. Nah ini keuntungan pertama.
Keuntungan kedua, kita dapat mengirim ETH maupun Token dengan memanfaatkan fitur "Transfer" tanpa harus memindahkan ke Forkdelta terlebih dahulu (deposit).
Bila ada yang kurang, monggo disanggah dan di betulkan
Trims
Sedikit saran dari saya mengolah aset ETH dan tokennya. Memang banyak sekali resiko ketika unlocking MEW dengan Privkey. Setidaknya tulisan saya ini menyumbang cara aman sebelum menggunakan PrivKey dan opsi lebih baik daripada menggunakan MEW (meskipun sudah banyak yang menyarankan, tak apa
. Anggap saya hanya menyimpulkan berdasarkan pengalaman pribadi karena menggunakan PrivKey memang sangat simple sehingga masih banyak yang menggunakan metode ini).1. Mengurangi resiko web phising (termasuk MEW dan situs wallet lainnya).
- Gunakan fitur bookmark seperti saran agan damsix dengan syarat memeriksa alamat situsnya sebelum dibookmark dan juga hindari mengklik iklan-iklan di situs web yang dikunjungi. Termasuk link rekomendasi dari web proyek baru yang mengharuskan membuat wallet dari situs pihak ketiga (dikhawatirkan link yang direkomendasikan situs tersebut mengarah ke situs wallet phising atau mengandung malware).
- Matikan fitur "suggestion recently visited" ketika menulis di address bar langsung (untuk mengurangi resiko jika ternyata web yang selama ini dikunjungi adalah palsu/phising). Bagi yang sudah yakin atau sudah dipastikan aman, tak mengapa jika ingin tetap menggunakan fitur ini.
- Gunakan mesin pencari seperti mbah google sepertinya lebih aman. (saya sangat merekomendasikan ini)
2. Mengurangi resiko virus copy-paste (untuk keperluan login, dll yang menggunakan data pribadi dan rahasia seperti Privkey dan Password).
- Gunakan antivirus (tentunya).
- Hindari (jika memungkinkan) pemakaian metode copy-paste (baik pake shortcut CTRL+C & CTRL+V, klik kanan copy>paste, ataupun lewat menu2 yang lain) karena yang diolah oleh virus ini adalah data yang tersimpan di clipboard. Solusinya, kita gunakan metode "select text>drag>drop" (teman-teman yang mengerti cara ini tolong bantu dijelaskan ya, prakteknya sebenarnya sangat mudah, tapi mau menjelaskannya yang sulit). Maka teks yang kita pilih tidak tersimpan di clipboard.
**Tips tambahan untuk bertransaksi ETH dan token-token ERC20 selain lewat MEW.
Saya lebih suka melakukan transaksi lewat Forkdelta Exchange. Ya, pengepul token dari yang berharga hingga rongsokan.
Saya yakin hampir semua bounty hunter pernah login disitus ini (mungkin karena terpaksa dan tidak ada exchange pilihan lain). Namun segi positifnya, kita hanya perlu login sekali seumur hidup (dengan satu browser yang sama) meskipun lama tidak diakses (setahu saya) dan tentu saja mengurangi resiko-resiko ketimbang melalui MEW yang harus bolak balik login setiap akan bertransaksi. Nah ini keuntungan pertama.
Keuntungan kedua, kita dapat mengirim ETH maupun Token dengan memanfaatkan fitur "Transfer" tanpa harus memindahkan ke Forkdelta terlebih dahulu (deposit).
*******************************  | * - Tinggal isi amount (banyak token) yang akan ditransfer - Dan alamat ETH tujuan - Terakhir klik tombol Transfer Untuk mentransfer token, isi form sebelah atas. Untuk mentransfer ETH, form sebelah bawah  GAS juga dapat diatur melalui menu sebelah kanan atas |
Bila ada yang kurang, monggo disanggah dan di betulkan
Trims
Jump to: