在bitFlyer，它们竭尽全力为客户提供简易操作和最高级别的安全，从而提供能让客户感到可以安全开展比特币交易的环境。他们采用最新的比特币安全技术Multi-sig，领先于其他公司保障资金安全，他们还建立了行业领先的安全标准AML（反洗钱）、KYC（了解你的客户）和其他政策。

一起来看看bitFlyer交易所的安全措施。

一、系统安全

1、网络安全

(1)引进新一代加密系统和最高强度加密技术以确保通信安全

①SSL通信

为保护客户的个人信息，bitFlyer加密所有与客户有关的数据通信。

bitFlyer在与客户通信过程中采用比大型金融机构更高强度的加密技术。与bitFlyer的所有连接均采用TLS1.2，TLS1.2利用AES_128_GCM加密并验证。以ECDHE_RSA作为密钥交换机制。

您可以检查下列内容来确认网站是否执行加密通信：

URL显示钥匙图形

URL显示“https://”而非“http://”。

您可以点击钥匙图标清楚地看到网站有无加密通信。

②采用DigiCert SSL服务器证书

③采用DigiCert SSL服务器证书最高级别的全球服务器ID EV。

EV表示扩展验证，用于验证证书中描述的组织是否合法并真实存在，以及组织是否是证书中描述的域名的所有人。EVSSL采用符合全球标准的身份验证指南，以及最严格的服务器证书审查。如果网站有EVSSL，那么该网站的地址栏就会显示为绿色，其商业组织会显示在网站上。（※浏览器，例如Internet Explorer 7.0或更新版本、Firefox、Safari、Google Chrome）。

④采用SHA-2(SHA-256)

SHA这一标准被美国政府采用，是一种非常安全的哈希功能（数据压缩汇总方法）。对比数据汇总值的传输和发送产生的哈希值，就能验证是否存在数据篡改。自SSL服务器证书D7applications出现以来，哈希功能SHA-1和SHA-2已成为首要标准。到目前为止，许多金融机构都已采用SHA1作为其互联网加密技术。但是，近年来，人们已经发现了SHA-1内部的安全漏洞。如果SHA的安全漏洞被攻击者利用，攻击者可以使用与原始证书相同的签名生成不同的证书-这意味着攻击者可以冒充正宗网站运营第三方网站。关于SHA-1，从理论上说，该安全漏洞有1/280的几率曝光。bitFlyer采用SHA-2，其安全强度超过SHA-1，把安全漏洞曝光的几率减少至1/2128。该数字，大约340 x 10^36，让SHA-2内安全漏洞曝光的可能性类似于从全世界所有的沙滩寻找一粒沙子-从实践意义上讲是不可能的。

如何检查服务器证书

访问bitFlyer网站并点击URL视窗中的秘钥标识。

在Chrome中点击“证书信息”。在IE中点击“显示证书”。

SSL服务器证书就会显示出来。

⑤使用SSL开展内部通信

bitFlyer使用SSL开展内部通信。

(2)利用防火墙保护内部环境

防火墙是指保护网络和电脑抵御来自网络以外的攻击和越权访问用的软件和硬件。防火墙的基本功能是阻止越权外部访问。使用防火墙时，您可以限定与服务器所运行服务的通信。例如，可以限定仅限组织内的用户访问组织的内部文件共享服务。利用限制互联网访问，您可以阻止人员越权访问这些服务。

过滤功能：检查待放行的数据包，只放行预先许可的数据包，锁定所有其他数据包。

地址转换功能(NAT)：该功能可以重写数据包源和目标地址。可以向通信另一方的服务器隐藏内部客户的存在。因为不能从外部访问，所以内部主机的安全性得到加强。

远程控制与监视功能：该功能允许从其他电脑上设置防火墙或查看日志。

(3)利用网络应用防火墙(WAF)连续监测越权访问和负载平衡

网络应用防火墙专门设计用于保护网络应用。WAF可以调查发送至网络应用的内容，而防火墙则无法调查这些内容。例如，外部攻击者发起一种特殊形式的SQL注入式攻击，这种攻击能够非法篡改数据库且已包含在网络应用的内容中，而WAF能够采取措施例如阻止其通信。

检测功能：根据检测模式检查HTTP通信

检查功能能够根据定义的检测模式检查HTTP通信中生成的HTTP请求和HTTP响应。检测功能中定义的检测模式由“白名单”和“黑名单”构成。

如果使用白名单检查HTTP通信，并且HTTP通信的内容不符合指定的值或模式，那么WAF将把HTTP通信指定为非法。

如果使用黑名单检查HTTP通信，并且HTTP通信的内容符合无效的值或模式，那么WAF将把HTTP通信指定为越权。

处理功能：运行HTTP通信处理程序

处理功能能够按照定义的过程利用检测功能及类似功能处理检测到的越权HTTP通信。可定义三种方法：放行处理、错误处理、阻止。

放行处理照原样处理越权HTTP通信，或把越权HTTP通信发送至某个网站。该方法通常在执行WAF时检测HTTP通信或记录检测到的越权HTTP通信等情况中使用。

错误处理是指WAF利用该过程生成错误响应并把错误响应发送给用户或网站，而不发送检测到的越权HTTP通信。

阻止是指故意丢弃检测到的越权HTTP通信。WAF利用下列一种方法丢弃HTTP通信：发送HTTP通信切断响应用户或网站，或不对HTTP通信发送任何响应。

记录功能：记录WAF活动

记录功能利用检测功能和WAF活动记录检测到的越权HTTP通信。通常来说，WAF对数记录在文件或数据库内。有两种类型的记录：越权HTTP通信及其处理方式的记录，WAF活动及错误信息的记录。可以从该记录中查看越权HTTP通信处理活动的检测结果和数量，消除更新检测模式涉及的工作。

(4)引入DNS服务器IP任播实现网络负载平衡

利用IP任播通信的过程中，一个IP地址同时分配给互联网上的多台设备并共享。在所有节点中，利用共享地址运营相同的服务，不论是哪个节点执行处理，都设定成提供相同的服务。利用执行IP任播把请求分配给多个服务器和多个位置，保护服务抵御DoS（拒绝服务）和DDoS（分布式拒绝服务）攻击。例如，来自某个地点的DoS攻击被定位至最近的节点网络，因此其他节点将不会受到影响。此外，DDoS攻击分布在多个节点上，因此效果会受到抑制。因此，执行IP任播能够提高DNS服务器的性能和弹性。bitFlyer利用多个安全层抵御DDoS攻击。

2、登陆安全

(1)密码强度检查

为您的安全考虑，bitFlyer要求有足够强度的密码。bitFlyer建议客户使用非常强有力的密码，避免使用常用字符串。

bitFlyer的密码要求显示如下。对客户密码设定这些限制是为了防范暴力破解和字典式破解，暴力破解随机测试一个ID由不同字符串组成的密码，字典式破解随机测试字典中预先存在的候选密码。还有一种攻击叫做帐户列表攻击，这种攻击从网络服务中窃取ID和密码组合，并用在攻击中。请注意，不应对多项服务使用相同的ID和密码。

至少9个字符、100个字符或以下

常用字符串（例如1234、asdf、1980）算作一个字符

至少使用下表中的两类字符：小写字符、大写字符、数字、符号。

(2)帐户锁定功能

登录bitFlyer时，如果您输错密码达到一定次数，您的帐户将被锁定。这是为了保护客户帐户抵御暴力破解这类攻击。

(3)利用手机或设备执行两步验证

可使用短信、电子邮件地址或验证应用设置两步验证功能。就常规服务而言，登录是靠验证ID和密码实现的。但连接互联网后，该服务可从任何地点访问，并且当ID和密码组合被窃时，以及恶意第三方获取ID并运行暴力破解或字典式破解用于强行登录时，安全就会遭到破坏。这就是除原始ID和密码外，要另外输入六位数验证码的原因所在，是为了巩固安全性。验证码随着时间推移而改变，无论何时登录，即使恶意第三方窃取了ID和密码，要想获取访问权限也会变得更加困难。

(4)管理登录历史

每次登录bitFlyer时，bitFlyer都会把登录确认电子邮件发送到您的注册电子邮件地址，其中包含一个链接用于冻结您的帐户。这样做的好处是有第三方登录您的帐户时，您能够立即冻结您的帐户。此外，登录后，您能够确认登录历史，包括IP地址、日期、时间。

(5)自动超时

为了防止第三方越权操作，不执行操作达到一定时间后，您将被注销登录。

3、比特币安全

(1)多重签名

多重签名是最新的比特币安全措施，设计用于确保您的比特币交易是安全的。不同于传统的比特币地址，多重签名比特币地址要求向比特币发送两个或多个独立的签名。规定的签名数量代表总签名数量的一部分-例如，2/3意味着总共有3个可用的签名，要求使用其中2个，然后才能发送比特币。

多重签名能够让钱包变得非常安全，即使私钥泄露或被攻击也不例外，除非所有规定的私钥都被盗用，否则不能放行钱包中钱币。攻击者在短时间内穿透2个或更多个高度安全的平台是极其困难的。

把其中一个需要的地址保存在未连网的地点，这能够提供更高层次的保护和安全。

(2)比特币80%以上都保存在冷钱包内

为了保护客户的资金，bitFlyer持有的比特币有80%以上都保存在与网络隔离的冷钱包内。冷钱包采用多重物理锁以及牢固的24小时监控系统实施保护。

(3)内部开发的比特币守护进程

比特币常见守护进程的源代码是向公众开放的，因此潜在的安全漏洞有被发现并利用的风险。有鉴于此，bitFlyer开发了一种专用的比特币守护进程用于降低攻击的概率。专有守护进程发生问题的几率比较小，即使出现任何问题，都可以交叉检查bitFlyer守护进程的行为和常用守护进程(bitcoind)，然后立即视情况修正专有守护进程发生的问题。

4、基础设施

(1)自动应用最新的操作系统(OS)补丁

补丁发布用于修正包括安全问题在内的各种操作系统问题时，将自动下载并更新。bitFlyer频繁查看与最新补丁发布有关的信息以确保应用最新的安全补丁。

(2)加密客户信息数据库

所有客户信息都以加密形式保存。

(3)在所有服务器上执行自诊断健康检查

bitFlyer系统不断接受检查。例如，客户的比特币或日元存款余额数据有哪怕轻微的差别时，系统将强制关闭以尽可能降低损失。出现局部问题时，系统能够快速响应以防止更大范围的损失。

5、程序安全

(1)XSS（跨站脚本）措施

XSS 是一种攻击技术，利用易受攻击的网站把恶意程序提供给网站访客。bitFlyer采取了下面的基本措施及特定措施用于防止 XSS。

XSS 基本预防措施示例

HTTP 响应标头中的字符代码必须是特定的

HTML 元素属性必须包括在双引号中。

必须避免使用所有输入元素和输出元素

只能输出以“http://”或“https://”开头的 URL

<script></script> 要素包含的内容是不能动态生成的

(2)SQL注入式攻击的预防措施

SQL注入式攻击能够非法访问或操作网络应用的数据库。这类攻击能够泄露秘密信息、数据，或篡改重要数据或个人信息。bitFlyer采取了下面的基本措施及特定措施用于阻止SQL注入式攻击。

SQL注入式攻击基本预防措施的示例：

强制执行转义处理

使用日文编码时，使用1字节字符

使用O/R（Object/Relational）映射排除SQL语句

使用约束机制

错误信息显示最少信息

(3)CSRF（跨站点请求伪装）措施

CSRF是一种恶意利用网站的行为，在网站上执行应予否决的外部网页HTTP请求。CSRF攻击可以导致网站执行越权处理，非法的或有害的写入，重定向至越权的网站，或因大量的非法写入造成DoS攻击。bitFlyer采取了下面的基本措施及特定措施用于防止CSRF。

CSRF基本预防措施的示例：

使用信息记录程序跟踪会话

在引荐网站上检查源

使用令牌确认请求是否正确

使用附加确认屏幕

就所有临界操作向注册用户发送电子邮件确认

(4)暴力破解攻击、字典式破解（包括密码列表攻击）、反暴力破解攻击措施

暴力破解攻击措施尝试使用所有可行的字符组合破译或破解密码、加密、加密密钥列表或其他暗码。

字典式破解尝试利用字典形式的用户候选密码获取对目标网站的访问权。

反暴力破解攻击是暴力破解攻击的一种变体。在常规暴力破解攻击中，登录ID是固定的，攻击目标是密码。在反暴力破解攻击中，密码是固定的，攻击目标是登录ID。

采取基本的和特定的措施防止暴力破解、字典式破解以及反暴力破解攻击。“登录”字段介绍了其中某些措施。

(5)密码哈希与密码盐

bitFlyer不以纯文本格式保存客户密码。密码以哈希字符串的形式保存。因此，即使密码哈希被第三方获取，也不可能利用哈希字符串推导出原始密码。

哈希字符串是由客户密码利用多重哈希加盐操作生成的随机字符串。利用做过多重加盐处理的哈希恢复原始密码需要花费天文数字的演算时间和电费支出，这几乎不可能实现。

(6)IP地址限制

IP地址根据连接源控制对终端和服务的访问。只有来自预注册IP地址的连接能够访问终端和服务，从第三方访问是受限制的。

(7)利用自诊断功能提供自动警报

如果检测到与bitFlyer服务有关的非法操作，自诊断系统将自动把警报发送给员工。因此，极少数情况下有人执行非法访问或操作时，bitFlyer能够快速反应。

(8)使用加密安全伪随机数生成程序

加密安全伪随机数生成程序(CSPRNG)满足以下2个条件：

猜出由当前位元序列生成的下一位元的概率绝不会大于50%。

即使披露了CSPRNG内部状态的中间程序，也无法复制过去的随机数序。

随机数字的质量利用(1)提供安全保障。因此可以经受住了解CSPRNG内部状态的中间程序的攻击者发动的攻击。

使用CSPRNG生成私钥和数字签名，就能预防这些类型的攻击。

二、操作安全

1、身份验证

(1)对重大变更实施身份验证

bitFlyer多次执行身份验证。利用多次身份验证，bitFlyer竭尽全力防止第三方对客户发动欺骗攻击。感谢您在这些问题上给予的合作。

例如，在用户注册的信息得到bitFlyer的确认后，用户不能直接通过网站更改相应的信息。

相反，bitFlyer会先打电话确认客户的个人信息，然后再更新请求的信息。这些确认用于防止第三方使用客户帐户。

*对于某些与登录信息相关的项，无论该信息是否已经得到确认，都需要在电话中进行身份验证。

(2)手机验证

还可利用手机短信实施身份验证。短信验证向客户的注册手机号码发送唯一码验证个人信息。每个手机终端只能使用一个手机号码，因此bitFlyer能够识别手机所有者的身份并完成身份验证。

(3)Facebook验证

还可利用通向客户Facebook帐户的链接实施身份验证。

(4)银行帐户确认（银行名称和分行、帐户类型、账号、银行注册名称）

一旦用户注册了银行账户信息，bitFlyer将开始银行账户的确认过程来验证该银行账户的有效性及相关联的账户信息。

(5)验证带照片的证件（全名、地址、出生日期）

上传能确认身份的身份证等证件（驾照，护照等），通过证件可以确认顾客本人。

(6)外部机构数据库实施反社会组织核查

为确认bitFlyer的客户不是任何反社会组织的成员，bitFlyer按照第三方组织的数据库定期实施查询。

2、阻止病毒和黑客攻击的计划

病毒检查和防黑客活动

经常检查病毒以确保良好的安全性。除了对所有外部环境发来的数据包执行病毒扫描外，bitFlyer还每天全面扫描文件系统，利用多种病毒扫描软件检查病毒。为了防止黑客攻击，bitFlyer定期上千次执行各种攻击以检查安全漏洞。随着新病毒或黑客攻击方法的出现，bitFlyer仔细考虑风险暴露程度以确保定期更新其安全性。

3、资产隔离管理

隔离管理客户资产

客户资产，包括比特币和日元在内，都明确地与bitFlyer的资产隔离开。每个客户的银行帐户都是唯一的，以确保客户资产得到恰当的隔离。

此外，bitFlyer独立于bitFlyer的银行帐户，用另外的银行帐户管理客户的现金。

相关推荐：Kraken交易平台安全吗，获行业好评的交易所

相关推荐：BitMEX交易平台安全吗，BitMEX交易引擎独特

东方财经https://www.yiyihuadao.com/温馨提示，转载请注明文章出处

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。