# 2.8 钱包的安全性 ## 比特币钱包 收集了来自68个不同国家反馈的“Bitcoin Survey 2016”的调查结果: “对于密码学货币爱好者来说,丢失比特币是另外一个重大的挫折。16%的受访者表示由于交易所被黑而丢失过资金……12%的受访者表示无法访问他们的钱包而丢失过比特币。在大部分情况下,是因为丢弃设备而且没有进行钱包备份财导致了这种情况的发生。” 结论: * 中心化交易所经常被黑客入侵,是最不安全的地方——但在得到那么多惨痛的教训后,大多数交易所采用了冷热钱包分离的手段(个别大型交易所甚至采用百分百冷钱包,完全由人工提供手工服务),保证即使黑客入侵,也只能黑走热钱包里的比特币,让全部损失控制在15%之内。 * 务请记得及时备份您的钱包!如果你嫌有的钱包麻烦,我给您推荐这个钱包:Coinomi。 * 不要给钱包设置过于复杂的密码! 在钱包的推荐方面,做得最好的是bitcoin.com: 现在已有下列钱包可供选择: Bitcoin Core、Bitcoin Knots、MultiBit HD、Armory、Electrum、mSIGNA、Bitcoin Wallet、breadwallet、Bither、GreenBits、GreenAddress、Coinomi…… 官网特地用了随机排列的方式推荐比特币钱包。以上排列也是随意的。 如果您想自己好好选择一个钱包,那么您要先搞懂这些概念: **资金的掌控权**——指您对资金究竟有多大的控制权。其中一般有两种情况: 1. 资金掌控权(Control over your money)——这个其实应该翻译为“完全自控权”,因为是您全权掌控自己的资金,没有任何第三方帮您管理资金,也没有任何第三方可以冻结或是弄丢您的比特币,您自己全权负责,出了问题没人能帮您!Coinomi采用的就是“完全自控权”,但它通过一个技术机制,大大降低了“完全自控权”的使用风险,后面马上就有细节介绍! 2. 共享的资金掌控权(Shared control over your money)——交易时需要第三方一起授权才可以完成。比如GreenAddress 钱包要求每一笔交易都必须由您和第三方一起授权才能完成。如果您使用的是 GreenAddress ,而又想改为全权掌控自己的资金,您可以使用原始备份或者之前通过邮件发送给您的已签名交易来重新获得完全自控权。如果您看不懂这句话的意思,又怕第三方耽误事,那么您最好不要选择这种钱包。 **交易验证**——您的钱包涉及一笔交易时,它通过怎样的机制来完成交易的验证: 1. 全面验证(Full validation)——就是使用区块链的全部数据来进行验证交易。专业上叫通过全节点(Full Node)进行验证。这样您的钱包要下载比特币区块链的所有数据(已超过80G),在网速比较慢的吾国,有时候可能需要好几天时间。因为使用全部数据,这种验证无疑是最最安全的交易验证方式。 2. 简化验证(Simplified validation)——技术上讲是简易节点型(SPV Node)验证,就是仅下载Block头部信息,无需交易数据来做验证。安全性不及全面验证,但使用时因为不用下载数据,比较快捷。 3. 分散验证(Decentralized validation)——去中心化验证。这种钱包通过一个列表,随机连接一个服务器进行验证。这意味着在验证支付的时候需要完全信任第三方(您所连接的服务器)。安全性显然也不及全面验证。使用时一般比较快捷。 4. 集中验证(Centralized validation)——钱包依赖于一个中心化管理的机构,直接借助这个机构的服务器上的数据进行验证。这意味着您需要完全信任这个第三方。第三方如果提供假数据或者被黑造成数据被篡改等等情况,都会危及到您的资金安全!Coinomi采用的就是集中验证。 **钱包的透明度**——一般是指钱包的代码的透明度: 1. 完全的透明度——钱包的所有代码都已经开源,任何人都可以看到钱包的全部代码。这样钱包有没有造假就一目了然了。 2. 基本的透明度——钱包的客户端,或者说您安装到电脑或者手机里的那部分的代码,已经开源。不过这毕竟只是客户端这部分开源,还有一部分是在一个黑匣子里的,这就需要您去信任开发团队或相关公司。Coinomi就属于这种情况。 **环境的安全性**——电脑容易受恶意软件攻击,其安全性很低,手机环境则相对安全很多,所以电脑环境属于脆弱的环境,手机环境属于安全环境。 1. 安全环境(Secure environment)——无电脑版,只能安装到手机里。Coinomi属于这种情况。 2. 脆弱的环境(Vulnerable environment)——有电脑版。 **隐私性**——您的交易信息是否会被泄露: 1. 增强的隐私性(Improved privacy)——通过滚动地址(每次交易都使用一个新的比特币地址)的方式来大大增加窥探您的余额和支付历史的难度;交易时钱包不会在网上给其它节点披露敏感信息;并允许利用匿名网络Tor来防范攻击者或防止互联网服务供应商把您的支付和您的IP地址联系在一起。 2. 基本的隐私性(Basic privacy)——也通过滚动地址(每次交易都使用一个新的比特币地址)的方式来大大增加窥探您的余额和支付历史的难度。但其它节点可能可以在接受和发出支付时登录您的IP地址并把它和您的支付联系在一起;或者钱包不允许您利用Tor来防御攻击者或防止互联网服务供应商把您的支付和您的IP地址联系在一起,甚至或者后两项兼备。Coinomi属于这种情况。 3. 脆弱的隐私性(Weak privacy)——通常是因为钱包重复使用同样的地址,使得任何人都很容易窥探到您的余额和支付历史。或者是因为钱包所使用的是中心化管理的服务器,造成它会披露部分信息给其它节点(比如在接受和发出支付时记录您的IP地址并把您的支付联系在一起);或者钱包不让您利用Tor来防御攻击者或防止互联网服务供应商把您的支付和您的IP地址联系在一起;或者后三者兼有。 从调查结果可以看出:真正发生率高的危险还不在于钱包本身,而是用户要根据自己的习惯选择适合自己的钱包,并妥善使用。 ## 以太坊钱包 以太坊的数据存储和以上介绍的比特币钱包的数据存储没有本质差别。 我想重点提醒大家的是安全保护。 ### 助记词保管方法 * 用纸抄写 只要是抄写,就会有一定的错误率,所以建议抄写两遍 另外请注意墨和纸张的质量 多年后可能需要复抄,错误率又会上升 抄写完一定要记得复核 * 用纸抄写 + 防火保险柜 * 专业防火设备抄写 ### 资产损失的可能 * 助记词或私钥遗失(多因未备份) * 手机或电脑损坏 * 被骗走助记词或私钥 * 助记词或私钥暴露或被盗 云存储、软件传递、拷贝、中木马病毒、远程入侵、手机或电脑被回收、摄像头拍摄等等,都可能导致助记词或私钥被盗。 * 误授权 * 使用了假钱包 * 在伪劣项目里被骗转账操作 * 意外身亡