Zabezpieczenie konta OKX: 2FA, passkey i kod antyphishingowy
Najlepszy moment na konfigurację zabezpieczeń jest jeden: zaraz po rejestracji, zanim na koncie pojawią się pieniądze. Konto giełdowe różni się od konta w sklepie internetowym tym, że kradzież środków on-chain jest z reguły nieodwracalna. Nie ma chargebacku ani infolinii, która „cofnie przelew”. Dobra wiadomość: cztery opisane niżej mechanizmy zamykają zdecydowaną większość typowych scenariuszy ataku, a ich konfiguracja zajmuje jeden wieczór.
2FA aplikacją uwierzytelniającą
Dwuskładnikowe uwierzytelnianie (2FA) sprawia, że samo hasło nie wystarczy do zalogowania ani do zlecenia wypłaty; potrzebny jest jeszcze jednorazowy kod. Formy 2FA nie są sobie równe:
- Aplikacja uwierzytelniająca (TOTP) — generuje kody lokalnie na Twoim telefonie. To rozsądny standard: kody nie podróżują przez sieć komórkową.
- Kody SMS — lepsze niż brak drugiego składnika, ale podatne na atak SIM swap, czyli przejęcie Twojego numeru u operatora. Jeśli masz wybór, aplikacja jest odporniejszą opcją.
2FA włączysz w ustawieniach bezpieczeństwa konta. Dwie rzeczy do zapamiętania. Kody zapasowe (recovery) zapisz w bezpiecznym miejscu poza telefonem: to one ratują dostęp po utracie urządzenia. A przy zmianie telefonu przenieś 2FA świadomie, zanim zresetujesz stary aparat.
Passkey — logowanie bez hasła
OKX udostępnia logowanie passkeyem, czyli kluczem dostępu powiązanym z Twoim urządzeniem i potwierdzanym biometrią lub PIN-em urządzenia. Z punktu widzenia użytkownika: zamiast wpisywać hasło, zatwierdzasz logowanie odciskiem palca czy skanem twarzy. Z punktu widzenia bezpieczeństwa różnica jest głębsza: passkey działa tylko na prawdziwej domenie serwisu, więc podstawiona strona logowania nie wyłudzi go tak, jak wyłudza hasło. Konfiguracja odbywa się w ustawieniach bezpieczeństwa (szczegóły i obsługiwane urządzenia — do weryfikacji w aktualnej wersji aplikacji). Passkey traktuj jako uzupełnienie porządnego hasła i 2FA, nie jako powód, by o nich zapomnieć.
Kod antyphishingowy
Prosty mechanizm o dużej wartości: w ustawieniach bezpieczeństwa definiujesz własną frazę, którą OKX będzie umieszczać w swoich oficjalnych wiadomościach. Od tej pory e-mail „od OKX” bez Twojej frazy traktujesz jako podejrzany, niezależnie od tego, jak wiarygodnie wygląda. Wybierz frazę, której nie da się zgadnąć (nie imię, nie „okx123”), i nie używaj jej nigdzie indziej. To zabezpieczenie kosztuje minutę konfiguracji i działa potem samo.
Klucze API: zasada minimalnych uprawnień
Klucze API pozwalają zewnętrznym narzędziom (botom, aplikacjom podatkowym, trackerom portfela) łączyć się z Twoim kontem. Jeśli z nich nie korzystasz, nie twórz ich wcale. Jeśli korzystasz, obowiązuje zasada minimalnych uprawnień:
- narzędzie do odczytu (np. tracker portfela) dostaje uprawnienia tylko do odczytu, nigdy do handlu ani wypłat;
- uprawnienie do wypłat nadajesz tylko wtedy, gdy jest bezwzględnie konieczne, czyli w praktyce prawie nigdy;
- każde narzędzie dostaje osobny klucz, bo wtedy łatwiej odciąć jedno, nie ruszając reszty;
- jeśli dostępne, ogranicz klucz do konkretnych adresów IP;
- klucze nieużywane od miesięcy — usuwaj. Przegląd raz na kwartał wystarczy.
Codzienna higiena konta
- Hasło: unikalne dla giełdy, wygenerowane menedżerem haseł. Wyciek z innego serwisu nie może otwierać Twojego konta giełdowego.
- Urządzenia i sesje: przeglądaj listę aktywnych urządzeń w ustawieniach, a nieznane wylogowuj. Nie loguj się do giełdy z cudzych komputerów.
- Aktualizacje: aplikacja giełdy, system telefonu i przeglądarka na bieżąco. Aplikację aktualizuj wyłącznie przez oficjalny sklep, z którego ją pobrano (więcej o aplikacji).
- Biała lista adresów wypłat: ogranicza skutki przejęcia konta; opisujemy ją w przewodniku o wypłatach.
- Powiadomienia o logowaniu: zostaw włączone. Logowanie z nieznanego urządzenia, o którym wiesz od razu, to problem; takie, o którym dowiadujesz się po tygodniu, to katastrofa.
Czego nie załatwi żadne ustawienie
Najsłabszym ogniwem pozostaje człowiek. Trzy zdania, które chronią lepiej niż niejedna technologia: pracownik OKX nigdy nie poprosi Cię o hasło, kod 2FA ani o „przelew weryfikacyjny”. Osoba, która sama do Ciebie napisała z propozycją inwestycji, nie jest Twoim doradcą, tylko najpewniej oszustem. A presja czasu („decyzja tylko dziś!”) to sygnał do zakończenia rozmowy, nie do działania. Żadne z opisanych tu zabezpieczeń nie zadziała, jeśli sam wpiszesz kod na podstawionej stronie albo zlecisz wypłatę na cudzy adres. Ostrożność pozostaje częścią systemu.
Kryptoaktywa wiążą się z wysokim ryzykiem — możesz stracić całość zainwestowanych środków. Treść informacyjna — nie stanowi porady inwestycyjnej.