Tip keamanan dasar untuk pengguna MetaMask
Baru mengenal kripto dan web3?
Kunjungi MetaMask Learn untuk merasakan pengalaman belajar langsung yang dirancang khusus bagi pendatang baru di web3. Ini sepenuhnya gratis, tersedia dalam berbagai bahasa, dan mencakup alat yang berguna seperti simulasi untuk membantu Anda menemukan pijakan Anda dengan MetaMask.
Apa itu Frasa Pemulihan Rahasia dan bagaimana cara mencadangkannya?
Penggunaan seed phrase, atau Frasa Pemulihan Rahasia (SRP), merupakan standar yang digunakan oleh sebagian besar dompet kripto. SRP merupakan daftar kata yang dihasilkan secara acak saat Anda membuat dompet MetaMask, dan memberikan akses ke semua akun (alamat) di dalam dompet tersebut.
Saat pertama kali membuat dompet, Anda akan diminta untuk menuliskan Frasa Pemulihan Rahasia, atau menghubungkan akun Google atau Apple ke MetaMask. Meskipun kedua opsi tersebut memiliki SRP yang terkait, keduanya berfungsi berbeda di sisi backend.
Jika Anda tidak menghubungkan akun Google atau Apple ke MetaMask, maka MetaMask tidak mengontrol data pribadi atau rahasia Anda yang tersimpan di server kami. Semua data dienkripsi di browser Anda dan dilindungi melalui SRP Anda. Jika Anda kehilangan akun MetaMask dan perlu memulihkannya, Anda hanya dapat melakukannya dengan SRP, yang tidak dapat diakses oleh MetaMask. Dalam hal ini, SRP merupakan titik kegagalan tunggal untuk akses ke akun Anda.
Jika Anda menghubungkan akun Google atau Apple ke MetaMask, SRP akan dienkripsi dan dibagi ke lima node berbeda. Hanya akun Google atau Apple dan kata sandi Anda yang dapat mengakses dan mendekripsi kelima shard tersebut. Dalam hal ini, akun Google/Apple dan kata sandi Anda merupakan dua titik kegagalan utama. Oleh karena itu, pastikan Anda tidak menggunakan kembali kata sandi Google/Apple untuk kata sandi MetaMask. Kedua kata sandi tersebut harus benar-benar unik. Kami juga menyarankan Anda untuk tetap mengamankan SRP jika Anda kehilangan kata sandi atau akun Google/Apple Anda.
Mengapa Anda perlu menyimpan Frasa Pemulihan Rahasia
MetaMask merupakan dompet penyimpanan mandiri. Siapa pun yang memiliki akses ke SRP memiliki akses ke semua akunnya. Jika perangkat Anda rusak, hilang, dicuri, atau mengalami kerusakan data, tim Dukungan MetaMask tidak dapat memulihkan SRP Anda. Untuk tip lebih lanjut seputar cara mengamankan SRP, lihat artikel kami di sini.
Do not share your Secret Recovery Phrase and private keys
Siapa pun yang memiliki SRP atau kunci pribadi Anda dapat mengontrol aset Anda, sehingga dapat mengirimkan token keluar dari akun Anda. Jangan pernah membagikannya kepada siapa pun, termasuk tim MetaMask atau siapa pun yang mengaku mewakili kami.
Kami tidak akan pernah meminta Anda untuk memberikan SRP. Jika ada yang mengklaim bahwa kami melakukannya, bersikeraslah untuk tidak membagikannya. Jika Anda bertemu seseorang yang mengaku sebagai anggota tim MetaMask atau Dukungan MetaMask, atau meminta SRP dan/atau kunci pribadi Anda, laporkan dengan menghubungi Dukungan. Jika ada orang lain yang meminta SRP dan/atau kunci pribadi Anda, mereka mencoba mencuri semua aset Anda.
Hal ini juga berlaku untuk situs web dan aplikasi. Satu-satunya situasi yang sah di mana Anda perlu memasukkan SRP adalah:
- Saat Anda membuat dompet untuk pertama kalinya, karena Anda perlu memasukkan kata-kata tertentu dari frasa untuk mengonfirmasikan bahwa Anda telah mencatatnya.
- Jika Anda memulihkan dompet di perangkat baru atau dari instalasi baru, atau Anda mereset kata sandi (proses yang serupa).
Namun, ada penipu yang mencoba menyimulasikan kedua situasi ini. Lihat di sini untuk informasi lebih lanjut: Bagaimana cara mengenali MetaMask yang asli?
Jika Anda memiliki token dalam jumlah besar di akun Anda, pertimbangkan untuk memiliki dompet perangkat keras.
Dompet perangkat keras umumnya dianggap sebagai cara paling aman untuk menyimpan token Anda. Dompet ini sering disebut 'cold' wallet karena koneksi dompet ini terputus dari internet hampir sepanjang waktu. Pendekatan ini berarti kunci pribadi Anda tidak akan pernah dapat diakses oleh pelaku kejahatan online, dengan dompet perangkat keras itu sendiri yang diperlukan untuk menandatangani (mengesahkan) transaksi apa pun.
Jangan bagikan kata sandi Anda
Anda tidak boleh membagikan kata sandi Anda kepada siapa pun, tetapi untuk keperluan artikel ini, kami akan berfokus pada kata sandi MetaMask Anda. Jika Anda menghubungkan akun Google atau Apple ke MetaMask, kata sandi diperlukan untuk mengakses akun Anda.
Dukungan MetaMask tidak akan pernah meminta Anda untuk membagikan kata sandi Anda. Jika seseorang memiliki akses ke kata sandi dan akun Google/Apple Anda, mereka dapat mengakses semua akun MetaMask Anda.
Jika Anda tidak menghubungkan akun Google atau Apple ke MetaMask, kata sandi Anda akan berfungsi secara berbeda. Meskipun seseorang memiliki akses ke kata sandi Anda, mereka tidak akan mendapatkan akses ke akun Anda. Namun, Anda tetap harus mengamankan kata sandi dan menerapkan praktik kebersihan kata sandi yang baik.
- Gunakan kata sandi yang kuat, dengan kombinasi huruf besar dan kecil, angka, dan karakter khusus.
- Gunakan kata sandi yang berbeda untuk setiap akun.
- Simpan kata sandi Anda di lokasi yang aman secara offline. Layanan cloud dan pengelola kata sandi dapat diretas, dan ini bukan cara paling aman untuk menyimpan kata sandi Anda.
- JANGAN PERNAH membagikan kata sandi Anda kepada siapa pun.
Tidak ada yang namanya terlalu aman. Panduan dasar ini tidaklah komprehensif. Selalu pelajari cara yang lebih baik untuk melindungi token Anda, dengan belajar dari komunitas, materi informatif, atau saluran diskusi.
Sumber daya tambahan
Berikut adalah beberapa sumber daya tambahan untuk menjaga komputer Anda agar tetap aman:
- Windows - Jaga keamanan komputer Anda di rumah
- Mac - Atur keamanan Mac
Apa itu persetujuan token dan mengapa itu penting?
Persetujuan token memberikan izin bagi dapp untuk mengakses dan memindahkan jenis token serta jumlah token tertentu dari dompet Anda. Jika Anda tidak berhati-hati mengenai persetujuan token apa yang Anda setujui dalam dompet MetaMask, maka ini berpotensi menjadi vektor serangan yang dapat menguras dompet Anda.
Agar hal ini tidak terjadi, cobalah ikuti panduan berikut:
- Selalu periksa apa yang sebenarnya diminta oleh dapp sebelum mengklik 'setujui'. Di MetaMask, Anda juga dapat menyesuaikan jumlah yang dapat diakses oleh dapp. Bahkan jika Anda hanya memberikan akses ke 10% token Anda, dan dapp tersebut ternyata penipuan, itu masih merupakan hasil yang jauh lebih baik dibandingkan jika Anda memberikan akses tak terbatas.
- Lakukan riset terlebih dahulu (DYOR). Waktu terbaik untuk membiasakan diri melakukan uji tuntas pada dapp mana pun sebelum berinteraksi dengannya adalah enam bulan yang lalu; waktu terbaik kedua adalah hari ini. Waspadai kesalahan ejaan, gambar/logo berkualitas rendah, dan tanda-tanda mencurigakan lainnya.
- Ingatlah bahwa jika sesuatu tampaknya terlalu bagus untuk menjadi kenyataan, kemungkinan besar itu memang penipuan. Jika Anda ditawari APY 498.563%, Anda mungkin dalam posisi yang berisiko tinggi.
Untuk penjelasan lebih detail terkait persetujuan token dan cara mengelolanya, baca artikel berikut.