[Coin] Jaxx,Exodus,Coinomi 多币钱包简略心得

楼主: ProtectChu56 (Eric P. Chu)   2017-07-09 02:08:34
作为五月才开始关心加密货币
六月身家被ETH套牢在380糕点的跟风小韭菜
对如今琳瑯满目的各种Altcoin、ETH token感到头昏目眩
由于不想存在交易所、不想把硬盘塞爆、想找一款能集中管理的钱包
对常见的Jaxx、Exodus、Coinomi试了一轮,有一些初步心得可以分享
以下优缺点是主观认定,与竞争对手比较,如有错误还请指正!
Jaxx
+多平台,无缝衔接所有装置(Android,iOS,Desktop,Chrome外挂)
+支援多数主流币种及ETH热门代币
+接口简单直觉
+导出私钥方便
-半开源
-Desktop客户端安全性
-移动客户端启动速度
-手续费固定偏高
Jaxx是目前跨平台唯一的选择(?)
如果持有的币有支援,应该是最好的选择
但,其桌面客户端的安全性近来遭到质疑,而Jaxx CTO给出的回应
在非常重视自己资产的捧友耳里听来实在...
安全性部分留在后面聊
Exodus (只有电脑客户端)
+美观
+双重备份方式(email+密码 或 BIP39短语)
+使用自订密码加密本地私钥
-闭源
-启动缓慢,体积较大(做为轻钱包近300MB)
-导出私钥较为繁复
-支援币种最少,基本是BTC,LTC,Dash,ETH以及几个热门代币,最近EOS加入战局
-只有BTC提供HD地址
-手续费固定
-较令人不放心的备份方式
Exodus作为只能在电脑使用的客户端
做到了美观、美观、还有美观...喔,还有合理的安全性
然而,除了一样用BIP39短语生成私钥,
额外提供寄email的友善备份方式,在闭源的前提下反而显得令人不甚放心
一样放在后面谈
Coinomi (只有安卓客户端)
+支援超多币种,你想要的大概都有......才怪XD,一堆垃圾币啊
+可以自订BIP39短语的额外密码,更高等级的安全性(如果担心骰子不公正)
+可自订手续费
+开源
-接口简单到有点丑陋,直觉程度也差上面两个一条街
-导出单独私钥hen麻烦,需要借助额外工具(安全性差)
Coinomi作为老前辈,除了直觉性较差,和只能在安卓上运行
应该没什么好挑剔的地方了
就是导出私钥得借助工具很讨厌,网页工具不是人人有程式概念自己架的来
现成的又担心被零时差攻击,如果担忧紧急时刻Coinomi节点挂掉无法汇出者慎用。
**关于安全性
先讲结论,Exodus和Jaxx官方人员都直接讲明了,请把此类钱包当作热钱包使用
不建议存放大量资金。
Jaxx最近的争议是,被发现客户端保存本地BIP39短语即私钥的方式,居然是硬式编码加密
并不是以使用者自订的PIN码加密。
打个比方...你的钱包像是被一个统一规格的密码锁加密,
这在取得档案的骇客眼前等于完全没有加密!
CTO对此给出的解释是:
1.如果你的电脑被骇客攻破,他可以记录你的一切行为,意思是,密码没有卵用
2.在你的零钱包挂上机车大锁、再加一层密码锁、然后再套一串指纹锁是没有意义的
我们的钱包设计是以降低掏出零钱的困难度为优先,你不会想用上面这么蠢的钱包装零钱
3.PIN码的用处是防止你上厕所时室友偷看你的私钥,懂?
随后,大家发现4位数Pin码只是UI层级的密码锁,根本和私钥无关
经过质疑者指出,其实CTO的解释回避了一个重点
就是设计成“4位数字”的PIN码,尝试次数只要10000(10^4)次以内就能暴力破解
因此就算采用使用者自订的PIN码加密本地私钥,效力等同现行的硬式编码,
都是防君子不防小人啦!
(而这个问题,质疑方的说法是,在没有root的手机上并不算太严重,
因为app彼此之间是运行在沙盒状态,当然你手机整台掉了是另一回事)
简而言之,症结点在于Jaxx并不打算让用户自订英数混杂的"强密码"
因为这会妨碍他们的理念:简单、低摩擦、好使用的零钱包!
Exodus方面,由于一开始就是锁定桌面客户端,所以让使用者自订自己钱包的密码
并用此来加密本地档案,自然没有Jaxx的争议。
但是,Exodus的额外备份方式是这样运作的:
1.用户需要往钱包任一币存一点钱,使其不为0 (官方解释为了防止第4步的后台资源滥用)
2.任一地址入帐后,钱包才会显示BIP39短语让你抄下
3.输入自订密码,和自订email
4.系统会往你的email寄出一封使用自订密码加密后的还原用密语,
以后需要还原钱包可以点选email的密语,输入自订密码即可还原
避免了BIP39短语手抄不在身边的窘境
方便是很方便,但闭源客户端这样设计就存在风险了
1.需要存钱才显示BIP39短语,意思是,如果开发者有意限缩生成范围
骰子一旦不公正,即可很容易撞破使用中的帐户!
这种防止后台资源滥用的理由,可能可以推延这类后门曝光时间
你得十分信赖Exodus官方是正人君子
2.输入自订密码后会由后台寄信到指定信箱,这封信包含了“加密后的BIP39短语”
其实就像把加密的本地私钥档放在信箱是同样道理
如果使用者没有这层认知,密码随便设置
又放在一个没有2FA、强密码保护的电子信箱,那很显然会是一场灾难
而且透过后台流出去,后台的安全性又是一个额外的风险
结论:
Exodus官方同样给担心大笔资产风险的客户类似于Jaxx CTO的回应
就是:当骇客掌握了你的电脑,你设几道锁都会被侧录,请使用硬钱包。
不过在我看来,Jaxx若开放强密码做为选项保护私钥,安全等级还是不同的
Jaxx从本地档案提取私钥的方法已经被公开在网络上
官方那套“PIN只是防止上厕所室友偷看私钥”根本不成立
把私钥档co回去慢慢破解只是转眼的事,就算没骇客底子,踹门最多一万次就开了好呗!
给end:
只在意方便好用→Jaxx
电脑有可能被别人使用→Exodus
注意安全性、一毛不能少→只有Coinomi
至于我......我还是用Jaxx XD
ETH被套了一堆只好放在Parity封存了◢▆▅▄▃ 崩╰(〒皿〒)╯溃 ▃▄▅▆◣
作者: fcshden (轩仔)   2017-07-09 02:18:00
作者: ZERX (I am from Taiwan!!)   2017-07-09 04:03:00
请问为什么不放 coinbase 的钱包呢 XD
作者: st945306   2017-07-09 08:15:00
推认真比较!回楼上,无法自己掌握私钥的话钱其实还是算由别人代管。
作者: DarkerDuck (達克鴨)   2017-07-09 08:43:00
Coinbase连纯数位货币钱包都有做KYC和AML假如被发现你的币是从黑名单地址收来的,那有的忙了
作者: ZERX (I am from Taiwan!!)   2017-07-09 10:57:00
谢谢楼上各位前辈的回答!但好怕自己保管私钥,掉了就没救了放 Coinbase 就很像放在银行里
作者: jasonkey123 (jasonkey123)   2017-07-09 23:55:00
jaxx执行时会自动建立多个钱包,有办法强制指定吗?例如jaxx建立多个eth钱包位址,我要指定显示其中一个
楼主: ProtectChu56 (Eric P. Chu)   2017-07-12 11:19:00
jaxx目前新版的ETH放弃HD地址,只会有一个地址喔HD地址类的COIN 可以在私钥查看中找到用过的地址
作者: Kozuki (Kozuki)   2017-07-12 13:12:00
我也有这问题。我手机板跟桌面板是不一样的地址.....
作者: ECZEMA (加油!)   2017-07-21 08:59:00
Parity 不是被骇 看来你满带赛的 照你说的反作好了

Links booklink

Contact Us: admin [ a t ] ucptt.com