# 王一石：硬件钱包使用最佳姿 势

By [web3自由行走](https://paragraph.com/@hukai) · 2023-04-12

---

原文：

[https://yishi.io/the-right-way-to-use-hardware-wallet/](https://yishi.io/the-right-way-to-use-hardware-wallet/)

目前整个市场销量最大的硬件钱包是 Ledger 和 Trezor。前者是用户支持做的最专业的，后者是比特币社区第一个量产的，用户基数都非常大。根据 Reddit 上一些非官方的统计口径，这两款钱包的销量都超过100万，这还是一年前的数据。

持有的用户多，意味着更多人参与测试；发布时间久，意味着经历更长期的实战考验。如果有重大缺陷或安全隐患，在足够长的时间里，问题被曝光的概率更大。在比特币的世界里，一家公司只有活得足够久，才能慢慢积攒商誉。基于此，如果你要入手硬件钱包，我暂时只推荐上面两款，它们发布至今超过5年，安全性和可靠性都经过验证。

你当然可以只使用手机钱包，找一个备用机离线生成种子然后物理方式记录并妥善保管。这样子不用花一分钱，网上有很多教程自己搜搜看，上手很容易，我也推荐大家这样做。但这篇文章不是讨论手机钱包和硬件钱包孰优孰劣，而是为那些「正在犹豫要不要买硬件钱包，不知道怎么买，买了不知道怎么用」的人准备，消除大家的疑虑，让你清楚自己到底花钱买了一个什么玩意儿。

我使用硬件钱包出于以下几点考虑：

1）不认为手机系统安全。特别是安卓，容易被 root。

2）专物专用。我需要一个电子元器件尽可能少，体积尽可能小，专门用来存储私钥的设备，越牢靠越好，其他花里胡哨的功能不需要。

3）方便收发。兼顾安全性和易用性。

4）支持 Passphrase。这个很重要，后面会解释。

下面以 Ledger 钱包举例，Nano S 或 Nano X 都一样。

1）请一定从官网购买，除非你有非常信赖的经销商，否则不要为了顺丰能早到几天，就冒丢币的风险选择一个可能被中间人攻击的购买渠道。

2）收到钱包后不急着连接电脑，检查里面所有的配件是否和官网描述的一致，如果发现有人「好心」的留下24个助记词，并提示你使用这些助记词恢复设备，那一定是假的。这是非常拙劣的欺诈手法，但依然有人上当。

3）在官网下载桌面客户端，Ledger Live 支持 Win/Mac，Trezor 是 Web版，连接设备后按提示初始化，生成24个助记词。还有开机Pin码，这个也一定要记住。设备会挨个显示每个助记词，先别急着抄在设备附送的助记词卡片上，将设备放在旁边，拿出两张A4纸。

4）将助记词按正确顺序抄在 A4 纸上，前面标上序号，如1. cloud 2. holiday … 抄完后，拿另一张 A4纸从1-24写上数字，写完后随机将这些数字的顺序调换，比如将1和24调换，2和13调换，4和11调换 … 你可以调换若干个，也可以全部打乱，调换的越多，随机性就越高。

5）将24个助记词按照你调换后的顺序，抄在设备附赠的助记词卡片上。比如原本第1位是 cloud，在你调换后，填的是第24位 flower。以此类推，这样做，就算你的助记词卡片被窃取，对方虽然看到上面24个助记词，但因为不知道正确的顺序，依然得不到你的私钥。在BIP39协议中，第24个助记词是一个总和检验码「Checksum」，它可以在知道其他23个助记词和顺序的前提下被算出来。

因此我建议你在调换时记得一定要将第24个助记词和其他的调换。如果要暴力破解，那么24个助记词总计有24!种可能性，即620448401733239439360000种排序。因为盗窃者并不知道你调换了多少次顺序，所以他只能认为24个词都可能被调换，依次尝试。即便以目前比特币全网的算力破解，这个时间也很漫长，可以认为是相对安全的。

6）再抄一次助记词卡片作为备份。我们到目前为止有哪些东西呢？1、两份一模一样的助记词卡片，上面的真正助记词顺序只有你自己知道。2、一张记录正确助记词顺序的 A4纸。

7）把刚才放一旁的设备拿出来，继续按桌面客户端的提示操作。如果是 Ledger，你在进入到 Manager 选项后，它会校验你设备芯片签名的真伪，如果被调包软件会警告，降低中间人攻击的风险。只要你是从官方渠道购买，一般都会提示是 Genuine。

8）在 Manager 选项中安装 Bitcoin App，然后在 Accounts 选项中创建账户。大功告成，现在你已经可以用这个硬件钱包来收发币了。需要注意，出于隐私考虑，每次收币最好都用新的地址。在你将设备连接至电脑后，点击 Receive，Ledger 会从你的助记词派生出的多个地址中随机选择一个，发币的时候它也会自动将某些地址的币转移至找零地址。

注意：Ledger 在创建比特币账户（Bitcoin Account）时会默认显示两种账户类型：

1.  Native Segwit
    
2.  Segwit
    

Native SegWit（也就是 bech32 地址，由 bc1…开头）的转账能比 Segwit（也就是 p2sh 地址 由 3…开头）节约 25%左右的体积，比传统地址（1…开头）节约65%左右体积，手续费也少了同样比例。是目前手续费最低也是更先进的转账方式。

目前大部分交易所和钱包只支持 Segwit 地址或传统地址，所以如果你发现无法从交易所提币到你的 Ledger 钱包地址，请检查一下是不是用了 Native SegWit 地址，如果是，那么提到你的 Segwit 地址中就可以了。这两种地址格式都对应你的同一份私钥（即助记词），只是表现形式不同而已。

到这里正常的使用流程就结束了，接下来分享助记词该如何保管，以及 Passphrase 怎么用。

关于助记词

记得刚才我让你抄写了两份助记词对吗，这两份助记词，用不透光防水袋包裹好。一份放你自己身边认为很安全的地方，有固定在墙上的保险箱最好，没有保险箱的话，其他隐蔽、干燥的地方也可以，最好不要被外人轻易找到。另一份，放在你亲戚或者十分信任的朋友那里，没有的话，租四大银行的保险柜也可以，一年几百块，很便宜。这样做，目的是容灾备份，万一有一天你家里地震或火灾，来不及取出助记词，你至少还有一个地方可以找回。

然后，将正确助记词的顺序（仅数字），存储在另一个安全的地方。我个人觉得存在 KeePass（开源的密码管理器）或者 1Password 里都可以，因为助记词自身已经和网络完全物理隔离，单纯的24个数字在不知道助记词的情况下，毫无用处，保存在专业加密的密码管理软件里，要比直接放在印象笔记或记事本里安全。这样做，是为了降低恢复资产的难度（比如助记词顺序丢失），因为过多且分散的备份，反而增加了意外丢失或劫持的风险。

所以到目前为止，我们有两份助记词分别保管在两个安全的地方，一份正确的助记词顺序以电子化形式保管备份（主要是防丢）。

做好以上几点，我认为就足够了。

关于 Passphrase

很多硬件钱包或软件钱包都支持这个功能，它实际上也是 BIP39 协议中的一个特性。所谓 Passpharse，你理解成是你的第25个助记词无妨。它做了一件事，就是在你原有24个助记词的基础上，再加了一层密码，并且生成完全不同的一整组新地址，相当于你原钱包的孪生弟弟。不同的 Passpharse 可以生成不同的私钥，理论上你可以无限生成新的钱包。

这样做有什么好处？

首先，它给你的助记词加了层锁，你可以将大额的资产放在新钱包的地址里，即便你的助记词和顺序都被盗取（可能性非常之小），你的资产依然是安全的。

其次，配合 Passphrase，你可以在原钱包里放少量币，如果某天上面的币动了，你会立刻知道助记词或私钥已经泄露，下一步马上将资产转移到其他钱包或平台，这样能为你多少争取一点操作的时间。原钱包俨然是一个「哨兵」，帮你看管真正的财富。

这个 Passphrase 不要和助记词放一起，最好能自己记住。

另外，关于 Ledger 和 Trezor 如何购买，目前这两家官网都支持直邮中国，Ledger 还包邮。官网的价格便宜非常多，大家就没必要从代理商手里高价买了，关键官网买的才最安全。

---

*Originally published on [web3自由行走](https://paragraph.com/@hukai/FEfL2f4OndBvSWGW8VbV)*