一直以来,在 Web3 的世界里「谁掌握了助记词,谁就掌握了资产」,而这也让安全管理助记词成为重大的心理负担,让人望而却步。
imToken Web 的账户体系基于抽象账户(AA),通过引入通行密钥(Passkey)与账户恢复机制,希望改变了这一现状。让你的安全感不再来源于一张写满单词的纸条,而是建立在你每天使用的设备、生物特征以及你信任且便捷的备份方式之上。
以下是你需要了解的 imToken Web 账户的三大安全支柱,以及为了确保持久安全,你需要做好的几件小事。
第一道防线:你的设备就是最坚固的盾牌
在 imToken Web,登录就像解锁手机一样简单。你不需要设置复杂的密码,也不用担心忘记助记词,你的登录凭证被称为「通行密钥」。
- 杜绝暴力破解:你的通行密钥存储在手机或电脑的独立安全芯片中。除了你本人的生物识别、锁屏密码等授权,任何人(包括 Apple、Google 或 imToken)都无法触碰。
- 天生免疫钓鱼:通行密钥与 imToken Web 的域名是加密绑定的。如果你不小心点开了假冒的钓鱼网站,你的密钥会因为识别到域名不匹配,自动拒绝授权。这从根源上解决了 Web3 最常见的被盗风险。
第二道防线:加密云端同步,多一份意外保障
“如果手机丢了怎么办?”这是很多人的第一反应。在 imToken Web 的设计中,手机丢失并不意味着资产丢失。
只要你开启了 iCloud 钥匙串或 Google 密码管理器(1Password 等专业密码管理软件同样适用)的同步功能,你的通行密钥就会被加密备份到云端。请放心,这一过程采用了端到端加密技术,意味着即便是云服务商(如 Apple 或 Google)也无法查看或获取你的密钥信息。如果不小心弄丢了手机,你只需要换一个设备,登录同一个 Apple ID 或 Google 账号,验证指纹 / 面容,你的钱包和资产就会立刻出现在新设备上。
你需要做什么?
- 检查同步设置:务必确保你手机的 iCloud 钥匙串或 Google 密码管理器同步功能处于开启状态。这是找回账户最快、最便捷的方式。
第三道防线:账户恢复机制,作为兜底保障
如果出现极端情况:手机丢了,且未开启云同步,或者连云账户都无法登录了,该怎么办?这时,「账户恢复机制」可以发挥关键作用。
imToken 提供了一种并行于云端同步的安全机制。你可以将一个常用的以太坊钱包(例如你手机里的 imToken App 钱包)关联绑定到你的账户上,这个被绑定钱包的私钥就成为了你的「恢复密钥」。
账户恢复机制
抽象账户中有两个概念:所有者密钥和守护者密钥,和账户安全直接相关。在 imToken Web 中,所有者密钥对应「通行密钥」,守护者密钥对应「恢复密钥」。通过将两者关联,就得到了一套兼顾安全和便捷的恢复机制:
- 通行密钥(对应所有者)操作立即生效:当你使用通行密钥登录并进行设置时,系统完全信任你,操作是即时的。
- 恢复密钥(对应守护者,即关联钱包)操作延迟生效:当你被迫使用恢复密钥发起找回请求时,为了安全起见,系统不会立即执行,而是会启动一个 12 小时的锁定期,锁定期结束就可以重置通行密钥。
为什么要等待 12 小时?
这不是为了耽误你的时间,而是为了保护你的资产。假设你的关联钱包(恢复密钥)不慎被黑客盗取,黑客试图重置你的账户。正是因为有这 12 小时的等待期,黑客无法立即得逞。在这期间,作为账户主人的你依然拥有最高权限,可以通过原来的通行密钥直接取消黑客的请求,从而保住资产。
如何启用这层保障?
你需要提前在 imToken Web 的「管理账户」页面将你的 imToken App 钱包设置为恢复密钥。查看详细使用教程。
写在最后:你仍然是资产的最终负责人
虽然通行密钥和账户恢复机制大大降低了门槛,但在去中心化的世界里,你仍然是资产的最终负责人。除了依靠 imToken 的机制,有三件事仍然要牢记:
-
看住你的云账户
- 云账户密码要足够复杂,并开启 2FA;
- 不随意借出设备和云账户。
-
守护你的恢复密钥
- 恢复密钥对应的关联钱包依然是传统助记词钱包,务必确保已妥善离线备份;
- 不在不明网站导入这套助记词,怀疑泄露时应尽快更换恢复密钥并迁移资产。
-
警惕「社会工程学」攻击
- 通行密钥可以防技术钓鱼,但无法防止你主动把钱转给骗子;
- 每次交易或签名前,都再次核对金额、地址和授权内容;
- 通行密钥保护的是你的钥匙,而不是你的判断力。
在 imToken Web,安全不再是你一个人紧张地守着一张纸,而是由设备安全、云端备份和账户恢复机制组成的三道防线,再配合你的基本安全习惯,让你在享受「无感登录」的同时,也能稳稳掌控自己的资产。