Почему фото вашей seed-фразы — худший метод хранения
Каждый год новая волна крипто-холдеров делает фото seed-фразы «на всякий случай». Каждый год какой-то процент этих телефонов крадут, бэкапят в облако скомпрометированного аккаунта, сканируется вредоносными приложениями с разрешением на фото, или просто забывается в зарядном кабеле в аэропорту.
Фото seed-фразы — это место наивысшего риска для хранения. Выше, чем notes-приложение. Выше, чем менеджер паролей. Выше, чем даже бумажка в ящике стола.
Пять способов утечки фото
- Облачная синхронизация. iCloud Photos, Google Photos — синхронизируются по умолчанию. Ваша seed-фраза теперь хранится на сервере, который вы не контролируете.
- Разрешения приложений. Любое приложение с доступом к фотогалерее может читать каждое изображение. Бесплатный фонарик 2019 года всё ещё установлен — теперь он читает вашу seed-фразу.
- Кража телефона. Современные телефоны не открываются легко, но и не невозможно.
- OCR malware. Несколько Android-семейств malware (SpyMax, BlackRock и более свежие варианты 2024) специально OCR-ят каждое изображение в галерее, ища паттерны seed-фраз.
- Восстановление облачного бэкапа. Бывший партнёр с паролем от iCloud может восстановить ваши фото на свой телефон.
Где хранить seed вместо этого
Бумага, металл или оба. Бумага идёт в огнестойкий сейф. Металл — стальная пластина с выбитыми словами — переживает огонь, воду и время. Бренды: Cryptotag, Billfodl, Cryptosteel. Стоимость: 60–150 USD. Локация: физически отделена от того, где вы держите устройство. Идеально две копии в двух местах.
Если вы уже сфотографировали
Удалите каждую копию: галерея телефона, облачные бэкапы, любое другое устройство, синхронизированное. Затем сгенерируйте новый seed на свежем устройстве, переведите все средства на адреса от нового seed, считайте сфотографированный seed навсегда скомпрометированным.