作為五月才開始關心加密貨幣
六月身家被ETH套牢在380糕點的跟風小韭菜
對如今琳瑯滿目的各種Altcoin、ETH token感到頭昏目眩
由於不想存在交易所、不想把硬碟塞爆、想找一款能集中管理的錢包
對常見的Jaxx、Exodus、Coinomi試了一輪,有一些初步心得可以分享
以下優缺點是主觀認定,與競爭對手比較,如有錯誤還請指正!
Jaxx
+多平台,無縫銜接所有裝置(Android,iOS,Desktop,Chrome外掛)
+支援多數主流幣種及ETH熱門代幣
+介面簡單直覺
+導出私鑰方便
-半開源
-Desktop客戶端安全性
-移動客戶端啟動速度
-手續費固定偏高
Jaxx是目前跨平台唯一的選擇(?)
如果持有的幣有支援,應該是最好的選擇
但,其桌面客戶端的安全性近來遭到質疑,而Jaxx CTO給出的回應
在非常重視自己資產的捧友耳裡聽來實在...
安全性部分留在後面聊
Exodus (只有電腦客戶端)
+美觀
+雙重備份方式(email+密碼 或 BIP39短語)
+使用自訂密碼加密本地私鑰
-閉源
-啟動緩慢,體積較大(做為輕錢包近300MB)
-導出私鑰較為繁複
-支援幣種最少,基本是BTC,LTC,Dash,ETH以及幾個熱門代幣,最近EOS加入戰局
-只有BTC提供HD地址
-手續費固定
-較令人不放心的備份方式
Exodus作為只能在電腦使用的客戶端
做到了美觀、美觀、還有美觀...喔,還有合理的安全性
然而,除了一樣用BIP39短語生成私鑰,
額外提供寄email的友善備份方式,在閉源的前提下反而顯得令人不甚放心
一樣放在後面談
Coinomi (只有安卓客戶端)
+支援超多幣種,你想要的大概都有......才怪XD,一堆垃圾幣啊
+可以自訂BIP39短語的額外密碼,更高等級的安全性(如果擔心骰子不公正)
+可自訂手續費
+開源
-介面簡單到有點醜陋,直覺程度也差上面兩個一條街
-導出單獨私鑰hen麻煩,需要借助額外工具(安全性差)
Coinomi作為老前輩,除了直覺性較差,和只能在安卓上運行
應該沒什麼好挑剔的地方了
就是導出私鑰得借助工具很討厭,網頁工具不是人人有程式概念自己架的來
現成的又擔心被零時差攻擊,如果擔憂緊急時刻Coinomi節點掛掉無法匯出者慎用。
**關於安全性
先講結論,Exodus和Jaxx官方人員都直接講明了,請把此類錢包當作熱錢包使用
不建議存放大量資金。
Jaxx最近的爭議是,被發現客戶端保存本地BIP39短語即私鑰的方式,居然是硬式編碼加密
並不是以使用者自訂的PIN碼加密。
打個比方...你的錢包像是被一個統一規格的密碼鎖加密,
這在取得檔案的駭客眼前等於完全沒有加密!
CTO對此給出的解釋是:
1.如果你的電腦被駭客攻破,他可以記錄你的一切行為,意思是,密碼沒有卵用
2.在你的零錢包掛上機車大鎖、再加一層密碼鎖、然後再套一串指紋鎖是沒有意義的
我們的錢包設計是以降低掏出零錢的困難度為優先,你不會想用上面這麼蠢的錢包裝零錢
3.PIN碼的用處是防止你上廁所時室友偷看你的私鑰,懂?
隨後,大家發現4位數Pin碼只是UI層級的密碼鎖,根本和私鑰無關
經過質疑者指出,其實CTO的解釋迴避了一個重點
就是設計成「4位數字」的PIN碼,嘗試次數只要10000(10^4)次以內就能暴力破解
因此就算採用使用者自訂的PIN碼加密本地私鑰,效力等同現行的硬式編碼,
都是防君子不防小人啦!
(而這個問題,質疑方的說法是,在沒有root的手機上並不算太嚴重,
因為app彼此之間是運行在沙盒狀態,當然你手機整台掉了是另一回事)
簡而言之,癥結點在於Jaxx並不打算讓用戶自訂英數混雜的"強密碼"
因為這會妨礙他們的理念:簡單、低摩擦、好使用的零錢包!
Exodus方面,由於一開始就是鎖定桌面客戶端,所以讓使用者自訂自己錢包的密碼
並用此來加密本地檔案,自然沒有Jaxx的爭議。
但是,Exodus的額外備份方式是這樣運作的:
1.用戶需要往錢包任一幣存一點錢,使其不為0 (官方解釋為了防止第4步的後臺資源濫用)
2.任一地址入帳後,錢包才會顯示BIP39短語讓你抄下
3.輸入自訂密碼,和自訂email
4.系統會往你的email寄出一封使用自訂密碼加密後的還原用密語,
以後需要還原錢包可以點選email的密語,輸入自訂密碼即可還原
避免了BIP39短語手抄不在身邊的窘境
方便是很方便,但閉源客戶端這樣設計就存在風險了
1.需要存錢才顯示BIP39短語,意思是,如果開發者有意限縮生成範圍
骰子一旦不公正,即可很容易撞破使用中的帳戶!
這種防止後臺資源濫用的理由,可能可以推延這類後門曝光時間
你得十分信賴Exodus官方是正人君子
2.輸入自訂密碼後會由後台寄信到指定信箱,這封信包含了「加密後的BIP39短語」
其實就像把加密的本地私鑰檔放在信箱是同樣道理
如果使用者沒有這層認知,密碼隨便設置
又放在一個沒有2FA、強密碼保護的電子信箱,那很顯然會是一場災難
而且透過後台流出去,後台的安全性又是一個額外的風險
結論:
Exodus官方同樣給擔心大筆資產風險的客戶類似於Jaxx CTO的回應
就是:當駭客掌握了你的電腦,你設幾道鎖都會被側錄,請使用硬錢包。
不過在我看來,Jaxx若開放強密碼做為選項保護私鑰,安全等級還是不同的
Jaxx從本地檔案提取私鑰的方法已經被公開在網路上
官方那套「PIN只是防止上廁所室友偷看私鑰」根本不成立
把私鑰檔co回去慢慢破解只是轉眼的事,就算沒駭客底子,踹門最多一萬次就開了好唄!
給end:
只在意方便好用→Jaxx
電腦有可能被別人使用→Exodus
注意安全性、一毛不能少→只有Coinomi
至於我......我還是用Jaxx XD
ETH被套了一堆只好放在Parity封存了◢▆▅▄▃ 崩╰(〒皿〒)╯潰 ▃▄▅▆◣