Ну, такие стандартные советы (имхо)
- смотреть на url адрес и значок 🔒 , там же можно сертификат проверить
- в случае ввода данных на фейк сайте сразу менять пароль (я даже если случайно ввожу пароль в окно логина на легитимных сайтах меняю)
- 2FA (допустим google authentificator) на каждом крипто сайте/бирже крайне желательно иметь, хотя бы для логина. Многие биржи предлагают дополнительные фичи, вплоть до паролей/FA для депозитов/вывода. В Binance можно даже использовать физические ключи типа YubiKey или Ledger как фактор защиты.
- на емайл и важные аккаунты типа google тоже есть варианты двухфакторки типа обязательного подтверждения со второго устройства
- пароли никогда не должны повторяться или иметь совпадающие части. Можно просто генерировать случайные в браузере или сторонними программами. Можно позволять тому же chrome браузеру помнить пароли, но тогда желательно двухфакторку google
- пароли, секреты и QR коды можно хранить в менеджере паролей, есть и полу/платные (keeper, lastpass, 1password) и бесплатные (keepass), там на личный вкус и тех грамотность. В них тоже куча вариантов двухфакторной защиты, включая физ ключи и доп ключи шифрования. В общем там бесконечные варианты как именно хранить.
- для бэкапа аутентификатора проще сохранить QR код (для добавления в телефон), чем вводить секрет руками. В зависимости от сайта, можно либо щелкнуть картинку > сохранить, либо заскриншотить
- правда, в QR кодах, сгенерированных биржами, как правило в лейбле прописывается полный адрес сайта и ваш логин/мыло, что мне не очень нравится в плане конфиденциальности (ну, в плане если кто то возьмет телефон в руки и посмотрит). Можно сгенерировать свой QR (из секрета) на сайтах типа
https://stefansundin.github.io/2fa-qr/ (там все происходит в самом браузере, без передачи данных вне). Тогда есть возможность прописать свой лейбл, типа CNLT вместо CoinList (helloworld@gmail.com)