
硬件钱包最佳实践:备份和恢复的威胁模型检查清单
硬件钱包最佳实践是运行一个双面风险账本:停止种子短语暴露导致的盗窃,停止备份失败导致的永久损失。正确的设置使您的密钥保持离线,同时保持恢复路径简单,以便在多年后执行。
关键要点
- 任何拥有您的种子短语的人都可以获取您的资金,如果您丢失了种子短语和设备访问权限,恢复将是不可能的。
- 一个24个单词的BIP-39种子短语实际上是无法暴力破解的,因此主要风险是操作暴露,例如照片、云笔记和复制粘贴。
- 金属备份被视为默认的耐用选项,因为它们抵抗火灾和水灾,Trezor还提到抗压和抗腐蚀性。
- 高级层次如密码短语、SLIP39多重分享备份、多重签名、第二设备备份和加密恢复服务降低了特定风险,但增加了复杂性,可能会产生新的失败模式。
硬件钱包的安全模型
硬件钱包最佳实践始于一个清晰的心理模型:设备的目的是将私钥保持在不连接互联网的机器上,但恢复系统决定了资金是否可被盗或可恢复。硬件钱包在不导出私钥的情况下签署交易,但种子短语可以在另一台设备上重建整个钱包。这使得种子短语成为您加密钱包的主密钥,而不是“重置链接。”Ledger和Trezor都这样对待它:任何获得该短语的人都可以访问相关资金。
这就是大多数“Ledger安全性”和“Trezor安全性”讨论被错误定价的地方。人们专注于是否有人可以暴力破解种子。Ledger自己的数据使这成为死胡同:BIP-39使用2048个单词的列表,而24个单词的短语大约有1.1579×10^79种组合。这不是攻击路径。攻击路径是暴露,意味着短语出现在不该出现的地方:照片卷、笔记应用、电子邮件草稿、云驱动器或剪贴板历史。
风险账本的另一面是永久损失。如果设备丢失或被毁,种子短语也消失,资金将无法恢复。这不是恐吓线,而是保管模型。因此,工作是操作设计:一个备份和恢复过程,能够抵御攻击者和您未来的自己,而不增加您无法可靠执行的层次。
重要的种子短语处理规则
不可谈判的规则是无聊的,这就是它们有效的原因。第一条规则是隐私:种子短语绝不能被分享,因为拥有等于控制。Ledger和Trezor都将其框定为完全访问,而不是部分访问。如果支持代理、一个“钱包同步”网站或一个假应用要求它,那就是整个游戏。
第二条规则是远离互联网。Ledger和Trezor都警告不要对种子短语进行非加密的数字存储,包括截图、照片、云存储和笔记应用。原因并不微妙。如果恶意软件和网络钓鱼可以窃取生成硬件钱包的备份,它们就不需要破解硬件钱包。
第三条规则是接受您不能像更改密码那样“更改您的种子”。Ledger明确表示种子短语是不可变的。轮换意味着创建一个新的钱包,使用新的种子短语并转移资金。这很重要,因为对怀疑暴露的正确反应不是寻找设置,而是将钱包视为被破坏并进行迁移。
第四条规则是交易纪律。硬件钱包保护密钥,而不是判断。盲签名是失败模式,设备批准用户实际上并不理解的交易,通常是因为屏幕无法显示有意义的细节。需要培养的习惯是如何在签名之前验证交易:确认目的地地址、网络,以及设备屏幕上授权的交易内容,而不仅仅是在浏览器弹出窗口中。
选择耐用的离线备份存储
备份媒介是灾难恢复决策,而不是防黑客比赛。纸张在有效时有效。Ledger指出了明显的物理问题,Trezor补充了更多:纸张易受火灾和水灾的影响,随着时间的推移可能会退化。金属备份被Ledger和Trezor视为比纸张更耐用,因为它们抵抗火灾和水灾等威胁,Trezor还提到抗压和抗腐蚀性。
位置策略是人们意外将“安全”变为“无法恢复”的地方。单一地点的单一副本集中灾难风险。多个地点的多个副本减少了这种风险,但每个额外副本增加了攻击者找到它的可能性。清晰的思考方式是两个独立的失败计划:(1)如果种子被暴露,会发生什么,以及(2)如果种子丢失,会发生什么。
对于(1),目标是最小化暴露路径。这意味着没有数字副本,没有“临时”照片,除了设备明确要求恢复时,不能在计算机上输入短语。对于(2),目标是生存能力。家用保险箱中的金属备份与银行箱中的金属备份具有不同的风险特征。Trezor指出,银行访问可能取决于银行政策,这提醒我们“安全”和“在需要时可用”并不相同。
一个有用的压力测试是旅行。如果恢复必须在离家时、盗窃后或搬家期间进行,位置和说明是否仍然有效。如果答案是否定的,设置就没有完成。
针对更高威胁模型的高级保护
额外的层次是工具,而不是徽章。每一层减少风险账本的一侧,同时通常通过复杂性增加另一侧。
密码短语是最常见的升级。Trezor建议使用强大、独特的密码短语,并将其写下来并安全存储。权衡是显而易见的:如果种子短语被暴露,密码短语可以保护资金,但忘记或错误记录会导致自我锁定。
SLIP39和Shamir风格的分割旨在解决“单点故障”问题。Trezor支持Safe 3上的SLIP39备份,包括20个单词的备份,并且它也与BIP39兼容,用于恢复12、18或24个单词的备份。Ledger讨论了Shamir的秘密共享作为一种高级选项,并明确指出这很复杂,必须小心实施。复杂性在这里并不是抽象的。如果阈值方案、分享位置或标签错误,恢复将失败。
多重签名改变了授权模型。Ledger和Trezor都将多重签名描述为需要多个密钥来授权交易,从而减少对单个密钥的依赖。他们还指出了人们常常忽视的关键点:多重签名并不取代安全的种子存储。每个基础密钥仍然存在备份问题。
第二设备备份处于中间地带。Ledger描述将种子短语存储在第二个硬件钱包中,作为防止丢失或损坏原始短语的保障,以及从任一设备访问资金的方式。这减少了如果一个设备失败的停机风险,但并没有消除保护种子短语本身的必要性。
恢复规划和长期维护
一个无法在多年后恢复的设置并不安全,只是延迟损失。长期维护始于定期检查备份是否仍然清晰可读,并且仍在预定位置。Trezor明确建议检查磨损,特别是纸质备份。金属减少了这种风险,但并没有消除确认备份存在且可访问的必要性。
像在压力下使用一样编写恢复说明,因为它们将会被使用。这意味着记录备份的类型、恢复到的设备系列以及存在的额外秘密。如果使用了密码短语,说明必须明确指出仅凭种子短语是不够的。如果使用了SLIP39多重分享,说明必须说明恢复所需的阈值以及如何识别分享。
基于服务的恢复处于一个有争议的区域,来源反映了这种分歧。Ledger描述了一种加密数字备份方法,其中秘密恢复短语被加密、复制、分成三个片段,并通过端到端加密和认证通道分发到由三家独立公司运营的HSM。Ledger Recover被呈现为一项付费可选服务,由Coincover提供,旨在恢复访问如果种子短语丢失、损坏或无法接触。Trezor在这些来源中的指导则倾向于强调避免数字副本,专注于离线存储以及SLIP39和密码短语。
评估该选择的正确方式是操作性的,而不是意识形态的。加密恢复服务旨在减少“我丢失了”的风险。它们还引入了身份和提供者依赖性,而纯离线方法则避免了这些,来源没有提供中立的、量化的比较。这个决定属于您加密钱包安全态势的更广泛问题,而不是默认的复选框。
总结
我看到人们花几个小时争论安全元件规格,然后随意拍摄他们的种子短语“只是一分钟”。这是整个类别中最昂贵的不匹配。Ledger关于BIP-39熵的数学使暴力破解成为一个非问题。暴露才是问题。
保持的习惯很简单:将种子短语视为持有工具,将恢复视为消防演习。如果步骤不够清晰,以至于一个合格的陌生人可以根据您的书面说明执行它们,那么设置就太复杂了。这种心态对如何保护您的加密钱包的作用超过了任何额外的功能切换。
来源
常见问题
初学者最重要的硬件钱包安全提示是什么?
保持种子短语的私密性,避免在互联网上存储,并以抗损坏的方式保存。Ledger 和 Trezor 都警告不要使用非加密的数字副本,如照片、云存储和笔记应用,因为暴露会破坏硬件钱包的安全性。
如果我认为我的种子短语被曝光了,我可以更改它吗?
不可以,种子短语是不可变的。Ledger 的指导是,更改种子短语意味着创建一个新钱包并使用新的种子短语,并将资金转移到新钱包。
24个单词的种子短语真的可以被破解吗?
Ledger 将 24 个单词的 BIP-39 种子短语描述为大约有 1.1579×10^79 种可能的组合,这使得暴力破解变得不切实际。主要风险在于操作处理,比如数字存储或共享。
金属备份比纸质备份更适合硬件钱包的种子短语吗?
Ledger 和 Trezor 都认为金属备份比纸质备份更耐用,因为它们能抵御火灾和水灾。Trezor 还提到金属备份具有抗压和抗腐蚀性,旨在针对长期灾难恢复,而不是在线黑客攻击。
多重签名或 SLIP39 备份是否意味着我可以停止担心种子存储?
不可以。Ledger 和 Trezor 都认为多重签名需要多个密钥来授权交易,但这并不替代对基础密钥的安全种子短语存储。Ledger 还指出 Shamir 风格的分割是复杂的,需要仔细实施。