Jaxx,Exodus,Coinomi 多幣錢包簡略心得 - 數位貨幣

Jacob avatar
By Jacob
at 2017-07-09T02:08

Table of Contents



2019 update: 建議略過本文,時過境遷,有更多目前受信任的錢包

--
**關於安全性

先講結論,Exodus和Jaxx官方人員都直接講明了,請把此類錢包當作熱錢包使用
不建議存放大量資金。


Jaxx最近的爭議是,被發現客戶端保存本地BIP39短語即私鑰的方式,居然是硬式編碼加密
並不是以使用者自訂的PIN碼加密。

打個比方...你的錢包像是被一個統一規格的密碼鎖加密,
這在取得檔案的駭客眼前等於完全沒有加密!



CTO對此給出的解釋是:
1.如果你的電腦被駭客攻破,他可以記錄你的一切行為,意思是,密碼沒有卵用

2.在你的零錢包掛上機車大鎖、再加一層密碼鎖、然後再套一串指紋鎖是沒有意義的
我們的錢包設計是以降低掏出零錢的困難度為優先,你不會想用上面這麼蠢的錢包裝零錢

3.PIN碼的用處是防止你上廁所時室友偷看你的私鑰,懂?


隨後,大家發現4位數Pin碼只是UI層級的密碼鎖,根本和私鑰無關


經過質疑者指出,其實CTO的解釋迴避了一個重點
就是設計成「4位數字」的PIN碼,嘗試次數只要10000(10^4)次以內就能暴力破解
因此就算採用使用者自訂的PIN碼加密本地私鑰,效力等同現行的硬式編碼,
都是防君子不防小人啦!
(而這個問題,質疑方的說法是,在沒有root的手機上並不算太嚴重,
因為app彼此之間是運行在沙盒狀態,當然你手機整台掉了是另一回事)


簡而言之,癥結點在於Jaxx並不打算讓用戶自訂英數混雜的"強密碼"
因為這會妨礙他們的理念:簡單、低摩擦、好使用的零錢包!



Exodus方面,由於一開始就是鎖定桌面客戶端,所以讓使用者自訂自己錢包的密碼
並用此來加密本地檔案,自然沒有Jaxx的爭議。


但是,Exodus的額外備份方式是這樣運作的:
1.用戶需要往錢包任一幣存一點錢,使其不為0 (官方解釋為了防止第4步的後臺資源濫用)
2.任一地址入帳後,錢包才會顯示BIP39短語讓你抄下
3.輸入自訂密碼,和自訂email
4.系統會往你的email寄出一封使用自訂密碼加密後的還原用密語,
以後需要還原錢包可以點選email的密語,輸入自訂密碼即可還原
避免了BIP39短語手抄不在身邊的窘境


方便是很方便,但閉源客戶端這樣設計就存在風險了

1.需要存錢才顯示BIP39短語,意思是,如果開發者有意限縮生成範圍
骰子一旦不公正,即可很容易撞破使用中的帳戶!
這種防止後臺資源濫用的理由,可能可以推延這類後門曝光時間
你得十分信賴Exodus官方是正人君子


2.輸入自訂密碼後會由後台寄信到指定信箱,這封信包含了「加密後的BIP39短語」
其實就像把加密的本地私鑰檔放在信箱是同樣道理
如果使用者沒有這層認知,密碼隨便設置
又放在一個沒有2FA、強密碼保護的電子信箱,那很顯然會是一場災難
而且透過後台流出去,後台的安全性又是一個額外的風險



結論:
Exodus官方同樣給擔心大筆資產風險的客戶類似於Jaxx CTO的回應
就是:當駭客掌握了你的電腦,你設幾道鎖都會被側錄,請使用硬錢包。


不過在我看來,Jaxx若開放強密碼做為選項保護私鑰,安全等級還是不同的
Jaxx從本地檔案提取私鑰的方法已經被公開在網路上
官方那套「PIN只是防止上廁所室友偷看私鑰」根本不成立
把私鑰檔co回去慢慢破解只是轉眼的事,就算沒駭客底子,踹門最多一萬次就開了好唄!




--

All Comments

Agatha avatar
By Agatha
at 2017-07-13T20:54
Iris avatar
By Iris
at 2017-07-17T03:12
請問為什麼不放 coinbase 的錢包呢 XD
Doris avatar
By Doris
at 2017-07-20T16:28
推認真比較!
回樓上,無法自己掌握私鑰的話錢其實還是算由別人代管。
Franklin avatar
By Franklin
at 2017-07-22T04:04
Coinbase連純數位貨幣錢包都有做KYC和AML
Genevieve avatar
By Genevieve
at 2017-07-23T10:19
假如被發現你的幣是從黑名單地址收來的,那有的忙了
Candice avatar
By Candice
at 2017-07-27T16:27
謝謝樓上各位前輩的回答!但好怕自己保管私鑰,掉了就沒救了
Dinah avatar
By Dinah
at 2017-07-28T14:00
放 Coinbase 就很像放在銀行裡
Emily avatar
By Emily
at 2017-08-01T06:34
jaxx執行時會自動建立多個錢包,有辦法強制指定嗎?
Ophelia avatar
By Ophelia
at 2017-08-05T02:21
例如jaxx建立多個eth錢包位址,我要指定顯示其中一個
Doris avatar
By Doris
at 2017-08-05T21:20
jaxx目前新版的ETH放棄HD地址,只會有一個地址喔
Andrew avatar
By Andrew
at 2017-08-06T17:17
HD地址類的COIN 可以在私鑰查看中找到用過的地址
Enid avatar
By Enid
at 2017-08-09T17:33
我也有這問題。我手機板跟桌面板是不一樣的地址.....
Rachel avatar
By Rachel
at 2017-08-11T10:56
Parity 不是被駭 看來你滿帶賽的 照你說的反作好了

請問挖礦時網路傳輸速率的最低要求

Rachel avatar
By Rachel
at 2017-07-08T23:15
請問如果礦機用wifi無線網卡連到手機4G作網路傳輸,這是否可行?這樣會影響算力嗎?謝謝了。 - ...

Jaxx手機錢包異常

Isla avatar
By Isla
at 2017-07-08T13:41
大大好,小弟是用iphone7 plus, 今天使用打算開始用jaxx時, 發現創建錢包後要打入12位英文單字時, 沒有辦法下一步! 不過可以確定錢包已經建立, 後來app重新安裝後,試著restore, 一樣在打入12位單字的頁面仍然沒有下一步的按鈕讓我按, 如圖, http://i.img ...

礦機第四張卡開始無法開機

George avatar
By George
at 2017-07-08T08:45
各位大大安安 首先先感謝上次有蠻多大大回覆我上一篇文 (關於ETH到bittrex的那篇) 最近小弟買的pcie x1 轉 x16的線到了 所以就把手上有的卡開始移到礦機上(本來是裸插兩張) 主機原先情況為650W電供接三張卡(580*1 570*2) 這部分都是正常可挖 只有有時候突然超頻不上去 ...

BITPoint 在台灣開虛擬貨幣交易所!

Daniel avatar
By Daniel
at 2017-07-08T03:03
新聞來源連結: https://goo.gl/XWvUhN BITPoint 在台灣開虛擬貨幣交易所!母公司今年來飆 758% 日本營運虛擬貨幣交易所的 BITPoint Japna 7 日發新聞稿宣布,在獲得台灣某家代表性 大型商業銀行的全力支持下,決定將在台灣開設虛擬貨幣交易所「BITPoint 台灣 ...

n卡+a卡雙挖問題

Rosalind avatar
By Rosalind
at 2017-07-07T05:09
想拿n卡挖zec a卡挖音樂幣 先開zec的挖礦再開Claymoreand#39;s Dual Claymoreand#39;s Dual會跑gpu0跟gpu1 請問要怎麼設定只跑gpu0? 他兩個都跑就會跳錯誤 有人是不同卡挖不同幣的嗎? ----- Sent from JPTT on my iPhone ...