Basic safety and security tips for MetaMask
Baru mengenal kripto dan web3?
Kunjungi MetaMask Learn untuk merasakan pengalaman belajar langsung yang dirancang khusus bagi pendatang baru di web3. Ini sepenuhnya gratis, tersedia dalam berbagai bahasa, dan mencakup alat yang berguna seperti simulasi untuk membantu Anda menemukan pijakan Anda dengan MetaMask.
Apa itu Frasa Pemulihan Rahasia dan bagaimana cara mencadangkannya?
Penggunaan seed phrase, atau Frasa Pemulihan Rahasia, merupakan standar yang digunakan sebagian besar dompet kripto. It's generated randomly when you create your MetaMask wallet, and provides access to all the accounts (addresses) within that wallet.
When you first create a wallet, you will be prompted to write down your Secret Recovery Phrase (SRP), or connect your Google or Apple account to MetaMask. While both options have an associated SRP, they function differently in the backend.
If you secure your SRP, and do not connect your Google or Apple account to MetaMask, then MetaMask does not control any of your personal or private data on our servers. Semuanya dienkripsi pada browser dan dilindungi melalui kata sandi MetaMask Anda. So, if you lose your MetaMask accounts and need to restore them, you can only do that with your SRP. In this case, your SRP is your single point of failure for access to your accounts.
If you connect your Google or Apple account to MetaMask, your SRP is encrypted and sharded across five different nodes. Only your Google or Apple account and password can access and decrypt all five shards. In this case, your Google/Apple account and password are your two points of failure. Because of this, make sure you do not reuse your Google/Apple password for your MetaMask password. The two passwords should be completely unique. We also recommend you still secure your SRP in case you lose your password or Google/Apple account.
Why you need to store your Secret Recovery Phrase
MetaMask is a self-custody wallet. Whoever has access to an SRP has access to all of its accounts. If your device breaks, is lost, stolen, or has data corruption, there is no way for the MetaMask Support team to recover your SRP for you.
Don't share your Secret Recovery Phrase and private keys
Anyone who has your SRP or private keys can control your assets, and therefore send tokens out of your accounts. Jangan pernah membagikannya kepada siapa pun, termasuk tim MetaMask atau siapa pun yang mengaku mewakili kami.
We will never ask you to provide your SRP. If someone claims that we do, insist on not sharing. If you encounter someone who claims to be a MetaMask or MetaMask Support team member, or asks for your SRP and/or private keys, report them by getting in touch with Support. If anyone else asks for your SRP and/or private keys, assume they are trying to steal all of your assets.
Hal ini juga berlaku untuk situs web dan aplikasi. The only legitimate situations where you'll need to enter your SRP are:
- Saat Anda membuat dompet untuk pertama kalinya, karena Anda perlu memasukkan kata-kata tertentu dari frasa untuk mengonfirmasikan bahwa Anda telah mencatatnya.
- Jika Anda memulihkan dompet di perangkat baru atau dari instalasi baru, atau Anda mereset kata sandi (proses yang serupa).
Namun, ada penipu yang mencoba menyimulasikan kedua situasi ini. Lihat di sini untuk informasi lebih lanjut: Bagaimana cara mengenali MetaMask yang asli?
Jika Anda memiliki sejumlah besar token di akun Anda, pertimbangkan untuk mendapatkan dompet perangkat keras.
Dompet perangkat keras umumnya dianggap sebagai cara paling aman untuk menyimpan token Anda. Dompet ini sering disebut 'cold' wallet karena koneksi dompet ini terputus dari internet hampir sepanjang waktu. Pendekatan ini berarti kunci pribadi Anda tidak akan pernah dapat diakses oleh pelaku kejahatan online, dengan dompet perangkat keras itu sendiri yang diperlukan untuk menandatangani (mengesahkan) transaksi apa pun.
Don't share your password(s)
You should never share any of your passwords with anyone, but for now, we will focus on your MetaMask password. If you connect your Google or Apple account to MetaMask, your password is required to access your accounts.
MetaMask Support will never ask you to share your password. If someone has access to your password and your Google/Apple account, they can access all of your MetaMask accounts.
If you don't have your Google or Apple account connected to MetaMask, your password functions differently. Having access to your password will not give someone access to your accounts. However, you should still secure your password and practice good password hygiene.
- Use a strong password, with a mixture of uppercase and lowercase letters, numbers, and special characters.
- Use a different password for each account.
- Store your passwords in a secure, offline location. Cloud services and password managers can be hacked, and are not the most secure way to store your passwords.
- NEVER share your password with anyone.
Tidak ada yang namanya terlalu aman. Panduan dasar ini tidaklah komprehensif. Selalu pelajari cara yang lebih baik untuk melindungi token Anda, dengan belajar dari komunitas, materi informatif, atau saluran diskusi.
Additional resources
Berikut adalah beberapa sumber daya tambahan untuk menjaga komputer Anda agar tetap aman:
- Windows - Jaga keamanan komputer Anda di rumah
- Mac - Atur keamanan Mac
Apa itu persetujuan token dan mengapa itu penting?
Persetujuan token memberikan izin bagi dapp untuk mengakses dan memindahkan jenis token serta jumlah token tertentu dari dompet Anda. Jika Anda tidak berhati-hati mengenai persetujuan token apa yang Anda setujui dalam dompet MetaMask, maka ini berpotensi menjadi vektor serangan yang dapat menguras dompet Anda.
Agar hal ini tidak terjadi, cobalah ikuti panduan berikut:
- Selalu periksa apa yang sebenarnya diminta dapp sebelum mengklik 'setujui'. Di MetaMask, Anda juga dapat menyesuaikan jumlah yang dapat diakses oleh dapp. Bahkan jika Anda hanya memberikan akses ke 10% token Anda, dan dapp tersebut ternyata penipuan, itu masih merupakan hasil yang jauh lebih baik dibandingkan jika Anda memberikan akses tak terbatas.
- DYOR. Waktu terbaik untuk membiasakan diri melakukan uji tuntas pada dapp mana pun sebelum berinteraksi dengannya adalah enam bulan yang lalu; waktu terbaik kedua adalah hari ini. Waspadalah terhadap kesalahan ejaan, gambar/logo berkualitas rendah, dan hal-hal yang tidak diinginkan lainnya.
- Ingatlah bahwa jika sesuatu tampaknya terlalu bagus untuk menjadi kenyataan, kemungkinan besar itu memang penipuan. Jika Anda ditawari APY 498.563%, Anda mungkin dalam posisi yang berisiko tinggi.
Untuk penjelasan lebih detail terkait persetujuan token dan cara mengelolanya, baca artikel berikut.