# Web 3里那些最重要的事--助记词安全最佳实践

By [Rand0mWa1kXYZ](https://paragraph.com/@rand0mwa1kxyz) · 2022-04-17

---

>    **_Web 3行业日新月异发展迅速，而安全本身也是一个动态攻防变化的过程，所谓最佳实践也只是在当前行业现状下做出的总结，请辩证的看待这篇文章。_**

  假如你看过各种安全相关的文章，大概率会看到`助记词永不触网`的告诫。那么如何让助记词永不触网呢？很可惜，在当前环境下，只要你想充分的体验Web 3里各种新奇的应用，肯定是无法做到助记词永不触网的。_这是生态当前现状下的结论_。   本质上来讲，想要助记词永不触网，就需要把助记词保存在一个永远不会联网的媒介上。所以助记词的存储位置就成为了重中之重。如果让你选择，你会讲其存放在哪里？

*   屏幕截图，图片保存在手机或电脑上
    
*   手机备忘录
    
*   电脑上，加密文档
    
*   加密优盘
    
*   硬件钱包
    
*   助记词备份钢板
    
*   网盘
    

  除了网盘，其它所有存储方式都可以做到永不触网，只要有联网功能的设备始终保持网络断开就可以了。   那问题就来了，为什么文章开头我就说无法做到助记词永不触网呢。以最近大火的STEPN为例，这个应用有两种方式使用钱包功能：

![STEPN](https://storage.googleapis.com/papyrus_images/648e63b728b06a4ad2248262cbbac8ec0a5f08f06026b8c5d0be3aa76e44dc3d.jpg)

STEPN

*   Create a new wallet（创建新钱包）
    
*   Import a wallet using Seed Phrase（导入助记词生成钱包）
    

  创建新钱包时，STEPN应用会在有限的词库里随机挑选12个单词按照一定顺序来作为助记词；而导入助记词生成钱包的话，需要用户在其它途径已经生成了助记词，只是导入到STEPN钱包里而已。**重点来了**，`无论是创建新钱包还是导入助记词`，是不是助记词本身都会在安装了STEPN的这个手机里？如果想做到助记词永不触网，那是不是这个手机就永远不能联网？如果是的话，那请问你还如何使用STEPN这个应用来_赚取收益（锻炼身体）_ 呢？到这里你应该明白了，当前生态，有一些应用，是无法让用户做到助记词永不触网的。那我们还如何保障助记词的安全性呢？   当前最佳的办法是，使用多套助记词，互相隔离。比如使用硬件钱包的一套助记词，存储保管大仓位的资产；而在类似STEPN这种无法使用硬件钱包的场景下，使用另一套助记词，这样即使因为各种原因导致了联网的STEPN使用的助记词泄漏，也不会影响硬件钱包里的大仓位资产。   更进一步，如果需要尽可能的保障触网助记词的安全性，最简单的办法就是保证设备的专用性。依然拿STEPN来举例，你在STEPN里投入了很多的资产，你需要一个专门用来跑STEPN的手机，没有任何其它第三方的应用，也不用这台手机来上网冲浪，除了散步跑步时拿出来打开STEPN之外，这台手机不会干别的。   只要做到了上述这些，关于助记词泄漏的可能性就大大降低了。当然你还需要防范手机/电脑被黑、助记词被身边人偷瞄等等，但这又是另一个话题了。   我认为在现在的情况下，更需要防范的是**_签名/授权安全_**，比起助记词安全来说，会更繁琐，也更加防不胜防。   最后希望大家都不会遇到安全事故，毕竟在Web 3里，除了自己，别人都无法帮你避免或者挽回你的损失。

---

*Originally published on [Rand0mWa1kXYZ](https://paragraph.com/@rand0mwa1kxyz/web-3-2)*