如何安全的捂住你的imToken钱包

对于许许多多刚刚走进区块链世界的用户, 很难了解什么是 keystore, 什么是助记词和私钥, 使用过程中钱包安全意识也是异常薄弱, 并且时常用传统互联网产品思维思考 imToken。 所以我们希望在这里尽可能使用通俗易懂的语言, 向用户传播一些关于钱包安全的基本知识 。

钱包的本质其实就是一个私钥， 它是一个 随机的哈希值字符串 。用户拥有了私钥就拥有了该钱包的使用权, 而 keystore 和助记词可以理解为是私钥的另一种表现形式。

keystore 是使用用户特定密码加密过后的私钥 , 使用 keystore 进行交易转账等钱包操作, 必须知道该 keystore 的密码。

而 助记词则不同, 它最早是由 BIP39提案产生的 , 可以是12个, 15个, 18个, 21个, 24个特定的单词。这些单词有一个统一的、固定的词库, 并不是凭空而来。

imToken 创建钱包生成的助记词个数是12个, 但是支持导入上述个数的助记词。

用户可以将助记词理解为明文私钥, 即 拥有助记词, 就相当于掌握了该钱包的使用权, 无需密码 。助记词的好处是方便用户记忆和记录,  所以用户要妥善保管好自己的助记词。

用户在备份助记词的时候, 最好是在备份之后, 再 重新导入一遍备份的助记词 ( 多次检验 ) , 以检验备份是否出现错误。 比如抄错一两个单词, 将会对钱包找回带来巨大的困难。

在备份keystore的时候, 最好是将keystore和密码分开存储。 比如将 keystore 备份到一个离线优盘上, 然后密码通过离线的密码管理器进行管理。加密 keystore 的密码要尽量复杂, 长度最好在 8 位以上, 不要使用常用的密码,例如和邮箱、QQ 密码一致等。

这里要提到一点就是, keystore 的密码是无法更改的, 即一个keystore 对应一个密码。但是 可以通过该钱包的助记词, 重新生成一个 keystore 。这个 keystore 可以用新的密码生成, 这 也是很多用户所说的 重置密码 。重新生成新的keystore之后, 最好将旧的keystore 删除。

这里我们推荐一些钱包管理工具, 比如买一个硬件钱包 Ledger, 转账时候使用 imToken ( 1.3.0 版本支持 Ledger 路径), 也可以使用 Parity, 或者 Ledger 提供的官方钱包。对于私钥的存储, 使用 1Password 或者 Lastpass 管理。

其实对于 钱包安全管理 , 主要围绕两点展开, 一是 防盗 , 二是 防丢 。

（1）防盗

防盗要做到防止私钥泄露, 以及大额资产分散存储。这里还要回归到 keystore 和助记词的区别。

助记词 作为钱包私钥的友好格式，是非常方便大家做备份和导入的，由于它的明文性，我们 不建议它以电子方式保存 ，而是 抄写在物理介质上保管好 ，它和 keystore 作为双重备份互为补充。