что такое код для оплаты eal
Скрывайте карты: мошенники нашли новый способ вывода денег
У мошенников, которые воруют деньги с банковских карт с помощью социальной инженерии, появился новый популярный способ обналичивания средств, рассказали «Известиям» в крупнейших российских банках. Злоумышленники, обманом получив код подтверждения для перечисления средств, выводят их через сервисы card2card переводов, отправляя деньги на виртуальный «пластик» онлайн-кошельков. Эксперты считают, что таким образом преступники заметают следы и усложняют возврат средств.
Скажите код из СМС
В 80% случаев мошенники, которым удается с использованием методов социальной инженерии украсть деньги с чужой карты, переводят их на виртуальный «пластик», рассказали «Известиям» в пресс-службе Сбербанка. Там не уточнили, на какие способы вывода средств приходятся оставшиеся 20%. Помогают злоумышленникам в этом сервисы перечислений с карты на карту разных банков (система card2card переводов), которые позволяют отправить деньги по номеру «пластика», добавил директор департамента информационной безопасности Росбанка Михаил Иванов.
Card2card-платформы работают следующим образом: человек вбивает данные «пластика», с которого хочет снять деньги, и сведения карты, на которую хочет их зачислить (это может быть и виртуальный вариант). Затем владельцу карты-отправителя приходит SMS с кодом подтверждения, который он должен указать. Под видом сотрудников службы безопасности банка мошенники просят клиентов сообщить код из сообщения. В итоге деньги оказываются на виртуальной карте. Они есть, например, в «Яндекс.Деньги», QIWI или Webmoney.
— Чаще card2card-сервисы используются в качестве транзитного этапа по выводу денег, конечная точка — физический «пластик», с которого можно снять наличные, — указал глава департамента информационной безопасности ОТП банка Сергей Чернокозинский.
Собеседник из службы информационной безопасности одной из региональных кредитных организаций на условиях анонимности сообщил «Известиям»: если в прошлом году в банке не было зафиксировано ни одного случая кражи денег через сard2сard, то в 2019-м это происходит до четырех раз в месяц.
В ВТБ считают, что мошенники одинаково активно используют для вывода средств как виртуальный, так и физический «пластик». В МКБ в III квартале зафиксировали незначительное увеличение числа случаев мошенничеств с использованием card2card-переводов на виртуальные карты, рассказал «Известиям» директор департамента информационной безопасности банка Вячеслав Касимов.
Знают и борются
В ЦБ не ответили на вопрос «Известий» о мерах борьбы с использованием виртуальных карт и сервисов перевода с «пластика» на «пластик». В «Яндекс.Деньги», QIWI и Webmoney не сообщили «Известиям», как часто к ним обращаются правоохранительные органы за идентификацией пользователей, которые мошенническим путем получили средства, а также блокируют ли они их карты. Однако в пресс-службе «Яндекс.Деньги» подчеркнули, что содействуют следствию в раскрытии подобных дел в рамках законных процедур. Судебная практика показывает, что в ряде случаев при участии кредитной организации деньги пострадавшему удается вернуть.
Критерии безопасности
Содержание статьи
Зарождение стандарта
Обеспечение безопасности – важнейший фактор выбора программного обеспечения в
государственном секторе. Необходимость в существовании критериев безопасности
возникла на заре коммерческой эпохи использования операционных систем. В начале
80-х в США был разработан стандарт Trusted Computer System Evaluation
Criteria (TCSEC, более известный по названиям «Оранжевая книга», «Радужная
серия»). В конце 80-х европейские страны приняли свой стандарт Information
Technology Security Evaluation Criteria (ITSEC), в основу которого легли
положения TCSEC. В 1990 году Международная организация по стандартизации (ISO)
начала работу над общими критериями безопасности. Международные структуры,
принявшие участие в разработке, были не просто гражданскими институтами.
Взгляните на список: Агентство Национальной Безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Органы исполнения программы безопасности и сертификации (Англия),
Центр обеспечения безопасности систем (Франция), Агентство национальной
безопасности коммуникаций (Нидерланды) – все они в той или иной степени имели
отношение к военным. Не случайное совпадение. Идея создания общих критериев
зародилась в недрах закрытого АНБ.
Десятилетиями АНБ применяла практику создания жёстко контролируемого,
безопасного кода, разрабатываемого годами, уровень уязвимости которого стремился
к нулю. Подобный подход не мог дать пользователям ни разнообразия в выборе
программ, ни красивых эффектов, которые так любят секретарши во всех
государственных учреждениях. Необходимость, а вернее – желание использовать
коммерческие продукты на службе у государства, подвигло АНБ к неизбежному:
продукты открытого рынка должны были пройти специальную программу тестирования.
Такой программой стал стандарт «Common
Criteria for Information Technology Security Evaluation» – общие
критерии безопасности информационных технологий.
Разработка стандарта завершилась в 1993 году. Спустя шесть лет Common
Criteria официально был признан международным стандартом широкого профиля
использования: помимо государственных учреждений руководствоваться им при выборе
информационных систем смогли и обычные потребители. Common Criteria включил
тесты для множества видов продуктов: межсетевых экранов, антивирусных систем,
систем обнаружения вторжения, операционных систем и т. д.
Процесс сертификации
Стандартизация и сертификация систем защиты основывается на комплексах
проведённых тестов. Тесты производятся в специальных лабораториях независимых
фирм-экспертов, одобренных по стандарту Common Criteria. Продукты оцениваются на
соответствие ряду функциональных критериев и критериев надежности – так
называемых Protection Profiles («профилей защиты»). Существуют различные
определения профилей защиты в отношении операционных систем, брандмауэров,
смарт-карт и прочих продуктов, которые должны удовлетворять определенным
требованиям в области безопасности. Стандарт Common Criteria также устанавливает
ряд гарантированных параметров соответствия Evaluation Assurance Levels (EAL),
используемых при оценке продуктов.
Тестируемый софт должен обладать полным описанием с перечислением
характеристик систем защиты продукта, которое должно ответить на вопрос, что
собственно делает системный код. Кроме того, устанавливается оценочный рейтинг
EAL, в соответствии с которым будет производиться тестирование продукта.
Тестовая лаборатория определит, соответствует ли заданный уровень защиты
заявленному профилю защиты. После этого специальная комиссия подтверждает
достоверность испытаний и выписывает сертификат Common Criteria.
Что это означает для таких пользователей как я и вы? Тоже, что и для
пользователей в самых секретных застенках государства. Производитель сам
определяет уровень угроз, которым подвергается продукт. Требования выставляется
в соответствии с уровнем. И на этот самый уровень производится сертификация (sic!).
Если уже после сертификации в продукте обнаружатся новые, неизвестные ранее
уязвимости, производитель должен выпустить обновление и провести повторную
сертификацию.
Уровни безопасности
В настоящий момент выделяют семь уровней безопасности. EAL1-EAL4 уровни
являются общими, для всех стран поддерживающих стандарт. Высшие уровни
EAL5-EAL7 индивидуально принимаются каждой страной для учёта национальных
особенностей защиты государственных секретов. Каждый уровень может получить
приставку «+» (например, EAL4+), что означает постоянный выпуск обновлений для
сертифицированного продукта.
EAL1 – требования к безопасности существуют, но уровень подразумевает
почти полное отсутствие угроз со стороны внешней среды. Проверка осуществляется
«формально», никакие «тестовые лаборанты» в код не заглядывают.
EAL2 – уровень безопасности предоставляет пользователям полную
информацию об архитектуре ПО. Однако и в этом случае проверка касается лишь
огромного количества документации, описывающей процесс работы программного
обеспечения.
Пример достижения:
JBoss Enterprise Application Platform – интегрированная платформа для
разработки Java-приложений,
Symantec Endpoint Protection 11.0 – базовая система защиты
EAL3 – софт проходит проверку на наличие типичных уязвимостей в
тестовой лаборатории, соответствующей стандарту Common Criteria.
EAL5-EAL7 – система проверена всеми возможными математическими
методами; узкоспециализированные стандарты, основанные на критериях безопасности
конкретных стран-участников.
На страже государства
На сайте
Microsoft, в прессе и по телевидению всё чаще можно слышать заверения о
возросшем уровне безопасности операционных систем семейства Windows. Подобные
высказывания не голословны, а основываются на результатах тестирования
сторонними компаниями, чья деятельность сертифицирована по всем правилам Общих
Стандартов. Что ж, после такого становится понятно, почему такой важный с точки
зрения безопасности проект как «Электронная
Россия» базируется на
решениях компании Microsoft. Или почему военные США и России массово
устанавливают «Висту» на базах по всему миру.
Об уязвимостях операционных систем семейства Windows говорить излишне. Однако
Windows соответствуют высокому стандарту безопасности, позволяющему свободно
использовать ось в государственных целях. В этом, на первый взгляд, чувствуется
какая-то патология. Но лишь до тех пор, пока мы не начнём вчитываться в
многотомную документацию сертификатов безопасности. Там чётко указано
позиционирование Windows на тех профилях безопасности, которые не предназначены
для использования в условиях, когда действует систематическая продуманная атака
со стороны хакеров. Становится понятно, почему из года в год военные сети
остаются уязвимыми. Недавний
переполох в министерстве
обороны США привёл к временному запрету на использование всех типов сменных
носителей – от флешек до винчестеров. Такова оказалась цена за сертифицированную
безопасность.
Маркетинг и реальность
Действительно ли безопасна операционная система получившая сертификат
безопасности? Документация ничего не может сказать о качестве программного
обеспечения. Но она позволяет операционной системе чётко соответствовать
неадекватному набору требований.
На самом сайте Microsoft относительно получения сертификат Common Criteria
сказано следующее: «Независимое тестирование подтвердило высокий уровень
защищенности в широчайшем диапазоне реальных условий применения».
В настоящий момент 25 стран поддерживают стандарт. Common Criteria ISO 15408
уже является государственным стандартом России. Во многих правительственных
учреждениях наличие сертификата Common Criteria является обязательным условием
при поставке систем. Однако вокруг сертификатов безопасности общего применения
(возьмите для примера уровни EAL1-EAL4) сложилась опасная ситуация введения
пользователей в заблуждение. Стандарт Common Criteria является общепризнанной
независимой мерой оценки IT-продуктов с точки зрения безопасности, и
пользователи могут (и должны) руководствоваться им при выборе программного
продукта. Но не стоит забывать, что за словами «жёсткое и всестороннее
тестирование исходного кода для сертификации» подразумевается тестирование кода
в условиях, оговорённых заказчиком (создателем кода). Хакеры-гики не будут
заниматься экспериментальным взломом Windows 7, когда эта операционная система
будет передана на сертификацию. Уже через год-два новая система от Microsoft
получит уровень безопасности EAL4 (возможно, EAL5) и поступит в открытую
продажу. И здесь мы в первую очередь должны подумать о потребителях в
государственном секторе. Они (как и мы) должны быть уверенны в защищенности
программного продукта, основываясь не только на документации, но и на реальных
результатах практической эксплуатации.
Критерий выбора
Для понимания смысла использования Common Criteria важно знать как уровень
оценки EAL, так и проверявшиеся профили безопасности. К сожалению, пока выбор
систем государственного уровня основывается либо на утопических идеях (Поднимем
Россию с колен, построим «Русскую ось»!), либо на маркетинговых заявлениях.
В госаппарте есть эксперты соответствующего уровня. В Америке давно решили,
что стоимость переобучения персонала на новую систему обойдётся дороже, чем
многомиллиардный контракт с Microsoft. В конечном счете, неужели сумма ущерба от
всех хакерских атак не перекрывает стоимость внедрения новых, более безопасных
информационных систем? Верится с трудом.
Не знаю как в Америке, но в России существует служба «Специальной Связи и
Информации» (бывшая ФАПСИ), ответственная за безопасность информационных систем
на службе государства. Есть те замечательные люди, которые занимаются отловом
киберпреступников, а так же те, кто внимательно мониторит IT & Hack ресурсы. Им
обязательно попадётся на глаза эта статья. Возможно, она заставит задуматься.
Оплата по QR-коду через СБП: что это и зачем она бизнесу
Система быстрых платежей — новый способ принимать безналичную оплату с помощью QR-кода. Разбираемся, что это, кому подходит, как работает и как подключить
Леонид Шаманаев
Технолог Системы быстрых платежей в Тинькофф Бизнесе
По статистике ЦБ, больше 70% покупателей расплачиваются безналичным способом с помощью банковских карт или гаджетов с бесконтактной оплатой. В 2019 году Центробанк ввел Систему быстрых платежей для переводов между людьми, а сейчас она добралась и до бизнеса. Разбираемся, что такое СБП, зачем она бизнесу и почему она может конкурировать с эквайрингом.
Что такое СБП
СБП — Система быстрых платежей. Это сервис Банка России для моментальных платежей между людьми по номеру телефона. Если вы переводили деньги человеку в другой банк по номеру телефона и с вас не взяли комиссию, скорее всего, это был перевод через СБП. Еще СБП используют для оплаты товаров и услуг в розничных магазинах с помощью QR-кода.
С помощью СБП можно переводить деньги напрямую с банковского счета в одном банке на счет в другом банке, главное — чтобы банк отправителя и получателя платежа были подключены к этой системе. Перевод происходит моментально в любое время, даже в выходные и праздники.
Как работает оплата по QR-коду
Для клиента оплата по QR-коду проходит очень быстро, ему нужен только смартфон и приложение банка, подключенного к СБП:
Для бизнеса это работает так: заключаете договор с банком, банк предоставляет QR-код, по которому можно переводить деньги.
Динамический QR-код. Это уникальный код, который создают под конкретную покупку каждого клиента: он генерируется после внесения заказа и в нем уже указаны сумма и наименование товара. Клиенту достаточно отсканировать QR-код и сразу оплатить товар. Такой QR-код можно показать клиенту на экране кассы, компьютера или смартфона либо напечатанным на бумажном чеке.
Кому подойдет оплата по QR-коду
Оплата по QR-коду подходит большинству бизнесов, которые работают с клиентами в офлайне. Это новый способ оплаты и для клиентов, и для бизнеса, поэтому к нему еще не все привыкли. Но на практике это проще подключить, чем полноценный торговый эквайринг.
Для клиента это тоже удобно: для оплаты нужен только смартфон, подключенный к интернету, при этом не обязательно, чтобы телефон поддерживал бесконтактную оплату.
Вот несколько ситуаций, когда оплата по QR-коду может быть удобна бизнесу.
Кафе, бары и рестораны. В таких заведениях обычно стоят 1—2 терминала для приема карт, при этом бывают ситуации, когда сразу много людей хотят оплатить свой заказ и им приходится ждать, пока освободится терминал для оплаты картой.
С помощью QR-кодов можно сократить время ожидания в очереди. На пречеке вместе с подсчитанным заказом можно распечатать уникальный QR-код, тогда клиент просто отсканирует его и быстро оплатит заказ в приложении: не надо ждать, пока терминал обработает платеж и выпустит чек.
Маленькие магазины, мастерские по бытовому ремонту и другой микробизнес. Устанавливать торговый эквайринг может быть дорого для небольшого бизнеса: комиссия в 2—4 раза больше, чем в СБП. К тому же многие банки берут минимальную плату около 2000 ₽ в месяц.
Что выгоднее: оплата по QR-коду или эквайринг
Эквайринг — привычный и понятный способ оплаты, а оплата по QR-коду через СБП только начинает появляться на рынке, но постепенно начинает конкурировать с терминалами.
| QR-код | Эквайринг |
|---|---|
| Плюсы |
— комиссия ниже, чем за эквайринг;
— деньги поступают на счет моментально;
— не надо ждать, пока терминал проведет оплату, — меньше ожидание и очереди;
— наклейка не может сломаться: прием платежей по безналу будет работать всегда;
— QR-код можно напечатать на чеке и отдать курьеру, тогда терминал не понадобится
— клиенту не нужен доступ в интернет, достаточно иметь при себе карту или телефон с бесконтактной оплатой
— если у клиента нет интернета, сел телефон или нет онлайн-банка, он никак не сможет оплатить покупку;
— есть ограничение по сумме: за один раз нельзя переводить больше 600 000 ₽;
— если клиент хочет заплатить кредиткой, с него могут взять комиссию. Это зависит от банка, в котором открыта кредитка. Например, в Тинькофф комиссию не берут;
— не все банки начисляют кэшбэк за переводы через СБП
— нужно покупать или арендовать терминал;
— терминал может сбоить или сломаться, и тогда бизнес не сможет принимать платежи по безналу, пока его не починит;
— гости кафе, баров или ресторанов могут долго ждать, так как терминалов мало
Сейчас принимать оплату через терминал эквайринга дороже, чем по QR-коду.
| QR-код | Эквайринг | |
|---|---|---|
| Комиссия | 0,4% на товары повседневного спроса, 0,7% на все остальное | От 1% |
| Подключение | Бесплатно | Бесплатно |
| Минимальный платеж | Нет | Иногда есть |
| Терминал | Не нужен | Нужен |
| Скорость перевода | Моментально | На следующий день, часто только в будни |
С точки зрения сервиса для бизнеса лучше подключить и эквайринг, и оплату по QR-коду. Так у вас будет максимальный охват клиентов: те, у кого есть телефон с интернетом, смогут оплатить по QR-коду, а те, кто пришел с обычной картой или хочет оплатить кредиткой, — через терминал.
Подключить оплату по QR-коду
Оставить заявку. Чтобы подключить оплату по QR-коду, нужно обратиться в свой банк, специалисты банка все настроят и подключат. В Тинькофф это происходит так:
Сформировать QR-код. Есть два варианта: статический и динамический QR-код. Использовать статическую наклейку проще, ее можно распечатать или показать прямо на экране смартфона. Клиент сканирует код, сам вводит нужную сумму и оплачивает покупку. В этом случае вы можете не интегрировать эту систему со своей онлайн-кассой, а просто отдельно выбивать на ней фискальный чек на безналичную оплату и отдавать его клиенту.
Для динамического кода требуется интеграция с кассовыми программами — в этом случае на чеке или экране формируется уникальный QR-код с суммой покупки.
Это не так сложно, как кажется: настройку и интеграцию кассы с СБП берет на себя банк. Специалисты помогут настроить кассовую программу так, чтобы она сама выдавала нужный QR-код. Интеграцией занимаются банки и разработчики касс. Например, в Тинькофф уникальный QR-код поддерживают кассы «Контур», r_keeper, «Кристалл» и iiko. Еще простое подключение к кассе «1С:Розница».
Показать покупателю. Готовый QR-код нужно показать покупателю. Он отсканирует его, автоматически попадет в приложение банка и оплатит покупку через Систему быстрых платежей.
Обзор на аппаратный криптокошелёк Ledger Nano S
Ledger Nano S – аппаратный, или «холодный» кошелёк для криптовалюты. Он способен поддерживать большой список валют, включая набор самых популярных токенов – BTC, Ethereum, BCC, Riple, ETC, ZEC, LTC, BTG. Устройство имеет внутренний чип, который хранит ваш индивидуальный ключ в изолированной среде. Ledger Nano S интересен также тем, что позволяет одновременно хранить разные криптовалюты на одном устройстве.
Есть фирменный софт, обеспечивающий экстренное восстановление аккаунтов в случае потери физического носителя.
Устройство оснащено небольшим дисплеем, которое позволит видеть каждую совершаемую транзакцию, и управлять устройством. При каждом включении Ledger Nano S автоматически проверяет целостность своей прошивки, чтобы избежать внедрения шпионского программного обеспечения.
Естественно, главная задача крипто-кошелька – обеспечить максимальную защиту ваших крипто-капиталов, не допустив хакерских атак и кражи токенов. Такие случаи в настоящее время не так уж редки, и если суммы ваших операций на крпито-рынке существенны, то вам стоит озаботиться безопасностью ваших активов. Ledger Nano S – один из способов это сделать.
Рассмотрим далее, как выглядит взаимодействие с ним, и насколько это удобно.
Характеристики
| Модель | Ledger Nano S |
| Материал | нержавеющая сталь + пластик |
| Интерфейс | USB Type Micro-B |
| Чипы | ST31H320 (secure) + STM32F042 |
| Поддерживаемые ОС | Microsoft Windows 7, Linux, Microsoft Windows 8, Microsoft Windows 10, Mac OS 10.8 и выше, Chrome OS |
| Сертификация | CC EAL5+ |
| Поддержка криптографии | Message Digest: RIPEMD160, SHA224, SHA256, SHA384, SHA512, SHA3, SHA3-XOF, KECCAK Cryptography Key, with key generation: DES (64, 128,192 bits), AES (128 bits), ECC (256 bits), RSA (1024, 2048, 3072,4096 bits) RSA encryption with PKCS1 v1.5, PKCS1 OEAP, NOPAD schemes HMAC Signature: HMAC-SHA256, HMAC-SHA512 RSA Signature with PKCS1 v1.5, PKCS1 PSS schemes Elliptic Curve Signature: ECDSA/EC-Schnorr (SECP256K1, SECP256R1, Brainpool256R1, Brainpool256T1), EdDSA (Ed25519) Elliptic Curve Diffie Hellman: ECDH (SECP256K1, SECP256R1, Brainpool256R1, Brainpool256T1, Curve25519) Symmetric Cryptography: DES, Triple-DES, AES with ISO9797M1, ISO9797M2, NOPAD schemes Random Number Generation: RND, Prime RND (hardware support TRNG) |
| Комплект поставки | документация, USB кабель, шнурок для переноски |
| Размеры | 98мм x 18мм x 9мм |
| Вес | 16.2 г |
Распаковка
Ledger Nano S упакован в небольшую картонную коробку. Белый цвет, на лицевой стороне – принт самого устройства в натуральную величину. Напоминает упаковку мобильного телефона – толстый картон, приятный минималистичный дизайн.
Картон толстый, коробка жёсткая, вдобавок изначально была затянута в полиэтилен, защищающий от потёртостей и влаги.
Открыв крышку коробки, видим сверху сам кошелёк на специальной подложке. Под ним расположены все комплектные аксессуары. Полный набор следующий:
• Кошелёк Ledger Nano S
• Два шнурка и кольцо
Комплект вполне ожидаемый, есть даже шнурок на шею, чтобы не расставаться с кошельком никогда. Можно прицепить его и к связке ключей в качестве своеобразного брелка. Если вы занимаетесь торговлей на биржах, то такая возможность будет очень кстати.
Также в наличии комплект карточек-шпаргалок, предназначенных для записи и хранения контрольных фраз. Это удобно, и за это отдельное спасибо производителю.
Минус – в том, что в инструкциях нет ни слова на русском языке, а для некоторых пользователей это может создать затруднения.
Внешний вид
Ledger Nano S выглядит внешне как обычная флешка. Внешний защитный корпус выполнен из нержавеющей стали. Поверхность стилизована брашировкой, это уменьшает маркость и добавляет эстетики.
Корпус самого устройства – это пластик, матовый и плотный. С торца находится разъём micro-USB, на боковой грани есть две кнопки.
Также у устройства есть миниатюрный экранчик. Он одноцветный, но есть возможность инвертировать изображение, и отрегулировать яркость так, что будет резать глаза. Яркое солнце мешать точно не будет.
Внешность для подобного устройства, пожалуй, не слишком важна, скорее внимание стоит обратить на удобство и размеры. Ledger Nano S миниатюрен – 98х18х9 мм, вес всего 16 грамм. Благодаря внешнему виду он не будет привлекать лишнего внимания, окружающим будет казаться просто обыкновенной флешкой.
Кроме того, есть способ ещё сильнее уменьшить вес – если снять верхнюю металлическую часть, то само устройство будет весить всего чуть больше 6 грамм.
Функционал, особенности
Поддерживаются почти все популярные операционные системы –Windows 7 +, Mac 10.8 + и Linux. Не стоит забывать, что устройство не имеет встроенного аккумулятора и может работать только при подключении к компьютеру.
Что касается методов обеспечения безопасности, то стоит отметить несколько основных моментов, которые стоит знать владельцу.
• Все операции с кошельком можно совершить только после введения PIN-кода из 8 цифр
• Операции подтверждаются одновременным нажатием кнопок, что повышает защищённость от вредоносного ПО
• Двухфакторная система аутентификации, подразумевающая, кроме личного кода, верификацию контрольной фразой из 24 слов, которая генерируется случайно на самом устройстве. Таким образом, даже при краже или потере Ledger Nano S, злоумышленник не сможет получить доступ к вашим средствам (если, конечно, не заполучит вашу контрольную фразу)
• Оригинальный софт Ledger Live необходим для работы с кошельком, и он дополнительно контролирует целостность прошивки вашего устройства, подключаясь только к оригинальным кошелькам
• При введении PIN-кода некорректно три раза подряд устройство стирает всю внутреннюю память. Восстановление возможно только после введения контрольной фразы.
• При поломке/утрате устройства можно восстановить доступ ко всем своим аккаунтам при помощи контрольной фразы. Правда, вам придётся потратиться на покупку нового криптокошелька Ledger
Первая настройка криптокошелька
Итак, скачиваем менеджер, после установки и запуска начинаем процедуру настройки.
Программа предлагает выбрать действие – инициализацию нового устройства, восстановление, использование с уже инициализированным девайсом и справочное меню.
Выбираем инициализацию. Нам предлагают выбрать модель нашего устройства, и затем показывают порядок необходимых действий.
Само собой, требуется подключить девайс к ПК. Затем нажать одновременно обе кнопки, и выбрать пункт «конфигурировать как новое устройство». Все эти инструкции продублированы на экране нашего Ledger Nano S.
Далее нужно задать ваш личный PIN-код. Он может быть от 4-ёх до 8-ми символов длиной. Выбор цифры происходит левой и правой кнопками, подтверждение – их одновременным нажатием.
После введения и подтверждения PIN-кода нужно подтвердить контрольную фразу. Она состоит из 24-ёх слов (!), расположенных в заданном порядке. Фраза генерируется самим устройством случайно, вам нужно только запомнить правильную последовательность и повторить её. Получившуюся фразу обязательно нужно записать, удобно будет это сделать на комплектной карточке из коробки. Хранить её нужно как зеницу ока, и не терять – вряд ли вы сможете вспомнить всю последовательность в экстренной ситуации, а потеря этой фразы будет означать потерю всех средств. Кроме того, очевидно, что попадание этой фразы в руки злоумышленникам будет также равняться потере контроля над своими активами.
Далее попадаем в меню дополнительной проверки, где отслеживаются предыдущие шаги и выполняется анализ подключенного устройства на подлинность.
Если всё в порядке, попадаем уже на страницу настройки самого менеджера Ledger Live, где всего-то нужно задать отдельный пароль для софта, после чего наконец-то переходим в сам менеджер. Под разлетающийся мини-салют анимированного конфетти. Что ж, мы это заслужили.
Управление
Работа с менеджером выглядит следующим образом – после подключения устройства к ПК вводим PIN-код, вводим пароль в Ledger Live, и попадаем в личный кабинет (русский язык здесь, к сожалению, тоже не поддерживается).
Набор возможностей следующий – можем наблюдать во вкладке «Портфолио» графики истории операций с активами на разных токенах. Во вкладке «Менеджер» отображены все доступные приложения, чтобы их инсталлировать на устройство, достаточно пары кликов.
В процессе нужно задать только имя аккаунта, а после создания он появится в общем списке слева.
Естественно, Ledger Live также имеет отдельный страницы для отправки и получения средств с кошелька. Для этого нам нужно выбрать нужный аккаунт и указать все реквизиты.
В случае получения средств на свой кошелёк у вас будет QR-код, помогающий упростить процедуру.
При этом все транзакции и процедуры отображаются на экране самого устройства, и требуют подтверждения нажатием кнопок.
Заключение
В итоге можно сказать, что криптокошелёк Ledger Nano S сочетает в себе сразу несколько необходимых свойств. Во-первых, это очень высокий уровень безопасности и надёжности хранения средств по международным стандартам (единственный слабый момент касается проверочной фразы из 24-ёх слов, потеряв которую, вы потеряете всё). Во-вторых, кошелёк позволяет выполнять операции с большим количеством популярных токенов, и делать это просто и удобно. В-третьих, есть поддержка стороннего софта, это позволит вам управлять холодным кошельком так, как вам будет удобнее.
Из недостатков, кроме возможности потери контрольной фразы, можно отметить разве что отсутствие русскоязычного руководства.
На сегодняшний момент Ledger Nano S имеет относительно невысокую цену среди конкурентов, и если вы рассматриваете аппаратный кошелёк для обеспечения безопасности своих активов, то это очень хороший вариант.
Достоинства
• Миниатюрность, лёгкий вес, внешняя схожесть с флешкой • Высокий стандарт безопасности шифрования • Изолированное хранение приватных ключей в памяти устройства • Наличий двухфакторной аутентификации • Полное восстановление доступа при потере/краже устройства • Поддержка большого количества криптоактивов • Простой и удобный софт – Ledger Live
Недостатки
• Потеря карточки с контрольной фразой = потеря всех средств • Нет руководства на русском