大家好,我是一名Nervos的支持者和爱好者,但是我对编程和技术其实不是很了解。我有一些想法想在这里分享一下,不知道有没有用和能不能实现。
区块链的世界其实对于普通人来说进入门槛挺高的,尤其是刚从互联网转到区块链的小白,他们很难分清楚,为什么钱包使用起来这么负责,私钥和助记词是干什么的?keystore又有什么用?即使你搞清楚了这些概念,你在设置一个新钱包的时候,助记词是让你必须记录的(因为助记词太重要了,掌握助记词和私钥就掌握了钱包),但是在记录助和保存记词的过程中,可能又很一些安全隐患,比如:
(1)钱包生成助记词和确认助记词,暴露在互联网下,有可能被窃取和记录,比如被输入法记录,被其他软件记录。
(2)保存过程中,有可能泄露,比如在本上记录被看到
(3)记录的助记词放在什么地方才安全?用什么介质记录才保存时间长?
等等以上问题,会让记录助记词和私钥变得麻烦和不安全,太多因为丢失和被盗取助记词的而带来的风险(最近看到网上有个大V丢失了价值2000万比特币,因为助记词被存在云笔记)。一个小白想做到安全的记录和存储私钥,反而是很难的。
总结:所以即使我个人算是有一点经验,即使这样我创建和保存钱包过程中是尽量不记录私钥和助记词的,就是因为害怕泄露的风险和物理存储的安全和难度。我只会离线生产钱包,然后保存keystore文件,密码强度设置的非常强。然后网上分片存储keystore文件,keystore的密码提示存在支付宝安全匣(是密码提示,不是密码),U盘再备份几份keystore。这样黑客盗取全部分片keystore是几乎不可能,即使盗取,破译密码也不可能,因为密码强度太强了。U盘被盗取也无所谓,密码强度很强。发生以上事件,完全可以有时间换钱包的。到那即使这样还是太麻烦了,对很多不熟悉区块链的人,很麻烦。
所以,基于以上思考,我在考虑Nervos能不能建立一个DAPP,生成独特的钱包。这个手机钱包特征描述如下:
(1)在创建的过程中完全不会提示你记录私钥或者助记词,没有这一步。
(2)只是创建账户名和密码,账户名可以分两种形式:指纹或者邮箱(邮箱需要验证),有指纹的手机优先推荐指纹。指纹跟keystore建立对应关系,也就是指纹或者邮箱其实就是这个钱包的kerstore。然后创建密码,密码对应了你的指纹(keystore)账户。 但是需要提示密码非常重要,一旦丢失无法找回(密码是不是也可以设置成指纹,比如对应另一个手指的指纹)。当然可以设置密码找回机制,但是怎么设置整个找回机制安全,去中心化,我还没想到。
这样一个钱包就创建好了,不用记录私钥或者助记词(没有曝光,非常安全,可以直接销毁),不用记录keystore(指纹或者邮箱账户就是keystore),只需要好好保管和设置好密码。这样互联网人群体验基本是没感觉的,而且又比较安全,可以满足一般要求。降低钱包使用门槛。