总是看到类似下面的问题:
我的助记词存在电脑/手机里的word/备忘录/pdf里,用密码锁了,安全吗/怎么会被盗呢?
助记词存在1password/某某cloud里安全吗?
......
请考虑以下场景:
假如你使用的某个邮箱地址在网上是可以公开看到的;
黑客在网上漫无目标的收集了特别多邮箱地址,你的邮箱地址是其中之一;
黑客给所有收集到的邮箱地址发送了一封邮件,邮件写的很有诱惑性,且邮件带有word/ppt/pdf/图片/视频类型的附件,且邮件里带有诱惑性的链接;
你打开了邮件;
点击了邮件里的链接;
下载并打开了邮件中的附件;
你猜你上述哪一步已经被黑客控制了电脑/手机?
当然,你可以说你不会打开任何陌生人的邮件,看到就删除,根本不会有后边的步骤。棒棒哒!给你点赞! 那假如你收到的邮件是朋友/同事/领导/大V/某个项目官方等让你会大大降低防御的人发来的了?大概率会中招吧。
好,那你说你不会直接下载邮件里的附件,也不会随意打开邮件里的链接,你会去找发件人去求证。棒棒哒!给你点赞! 你拆穿了黑客的套路。
但是很可惜,你的电脑/手机已经中招了,只要你打开了邮件,没有任何进一步的操作,你的设备已经在你毫无知觉的情况下被黑客控制了。你说不可能,黑客做不到!!那我推荐你去关注一下黑帽大会或者国内的一些顶级安全会议,会让你大开眼界。
你可能会有最后的挣扎,你说我的助记词在电脑/手机里都有加密保存的,黑客虽然黑了我的设备,但助记词是加密的黑客看不到。有加密就有解密,只要你的密码不是特别复杂,暴力破解并不会花特别长的时间。你说你用了超强的密码,破解不了!那黑客的木马程序在你的设备里运行,时刻监听你的所有加密了的文件,只要你自己解密使用,木马程序在一瞬间就能获取解密后的内容副本并发送给黑客。
你崩溃了,那我存助记词的设备不联网总行了吧......不是所有人都在说助记词不要触网保存吗!!! 你咋非得折腾这么久才这么做呢?
上述场景并不是特别严谨的学术,只是想表明一个观点,只要你保存的助记词触网了,就相当于多了一个风险点,给攻击者留了一个攻击窗口。虽然是一个风险点,并不代表一定会被黑导致助记词丢失,只是个概率问题而已。助记词触网保存了,就有一定的概率被黑客拿到,这个概率大小跟很多因素有关。
假设我们都很在意自己的Web 3资产的安全,何不把明知道会有一定概率丢失助记词的风险点给堵死呢?那最起码助记词通过被网络入侵丢失的可能性就基本没有了对吧。