一直以來,在 Web3 的世界裡「誰掌握了助記詞,誰就掌握了資產」,而這也讓安全管理助記詞成為重大的心理負擔,讓人望而卻步。
imToken Web 的帳戶體系基於抽象帳戶(AA),通過引入通行密鑰(Passkey)與帳戶恢復機制 ,希望改變了這一現狀。讓你的安全感不再來源於一張寫滿單詞的紙條,而是建立在你每天使用的設備、生物特徵以及你信任且便捷的備份方式之上。
以下是你需要了解的 imToken Web 帳戶的三大安全支柱,以及為了確保持久安全,你需要做好的幾件小事。
第一道防線:你的設備就是最堅固的盾牌
在 imToken Web,登錄就像解鎖手機一樣簡單。你不需要設置複雜的密碼,也不用擔心忘記助記詞,你的登錄憑證被稱為「通行密鑰」。
- 杜絕暴力破解 :你的通行密鑰存儲在手機或電腦的獨立安全芯片中。除了你本人的生物識別、鎖屏密碼等授權,任何人(包括 Apple、Google 或 imToken)都無法觸碰。
- 天生免疫釣魚 :通行密鑰與 imToken Web 的域名是加密綁定的。如果你不小心點開了假冒的釣魚網站,你的密鑰會因為識別到域名不匹配, 自動拒絕授權。這從根源上解決了 Web3 最常見的被盜風險。
第二道防線:加密雲端同步,多一份意外保障
“如果手機丟了怎麼辦?”這是很多人的第一反應。在 imToken Web 的設計中,手機丟失並不意味著資產丟失。
只要你開啟了 iCloud 鑰匙串或 Google 密碼管理器(1Password 等專業密碼管理軟件同樣適用)的同步功能,你的通行密鑰就會被加密備份到雲端。請放心,這一過程採用了端到端加密技術,意味著即便是雲服務商(如 Apple 或 Google)也無法查看或獲取你的密鑰資訊。如果不小心弄丟了手機,你只需要換一個設備,登錄同一個 Apple ID 或 Google 帳號,驗證指紋 / 面容,你的錢包和資產就會立刻出現在新設備上。
你需要做什麼?
- 檢查同步設置 :務必確保你手機的 iCloud 鑰匙串或 Google 密碼管理器同步功能處於開啟狀態。這是找回帳戶最快、最便捷的方式。
第三道防線:帳戶恢復機制,作為兜底保障
如果出現極端情況:手機丟了,且未開啟雲同步,或者連雲帳戶都無法登錄了,該怎麼辦?這時,「帳戶恢復機制」可以發揮關鍵作用。
imToken 提供了一種並行於雲端同步的安全機制。你可以將一個常用的以太坊錢包(例如你手機裡的 imToken App 錢包)關聯綁定到你的帳戶上,這個被綁定錢包的私鑰就成為了你的「恢復密鑰」。
帳戶恢復機制
抽象帳戶中有兩個概念:所有者密鑰和守護者密鑰,和帳戶安全直接相關。在 imToken Web 中,所有者密鑰對應「通行密鑰」,守護者密鑰對應「恢復密鑰」。通過將兩者關聯,就得到了一套兼顧安全和便捷的恢復機制:
- 通行密鑰(對應所有者)操作立即生效 :當你使用通行密鑰登錄並進行設置時,系統完全信任你,操作是即時的。
- 恢復密鑰(對應守護者,即關聯錢包)操作延遲生效 :當你被迫使用恢復密鑰發起找回請求時,為了安全起見,系統不會立即執行,而是會啟動一個 12 小時的鎖定期 ,鎖定期結束就可以重置通行密鑰。
為什麼要等待 12 小時?
這不是為了耽誤你的時間,而是為了保護你的資產。假設你的關聯錢包(恢復密鑰)不慎被黑客盜取,黑客試圖重置你的帳戶。正是因為有這 12 小時的等待期,黑客無法立即得逞。在這期間,作為帳戶主人的你依然擁有最高權限,可以通過原來的通行密鑰直接取消黑客的請求,從而保住資產。
如何啟用這層保障?
你需要提前在 imToken Web 的「管理帳戶」頁面將你的 imToken App 錢包設置為恢復密鑰。查看詳細使用教程。
寫在最後:你仍然是資產的最終負責人
雖然通行密鑰和帳戶恢復機制大大降低了門檻,但在去中心化的世界裡,你仍然是資產的最終負責人。除了依靠 imToken 的機制,有三件事仍然要牢記:
-
看住你的雲帳戶
- 雲帳戶密碼要足夠複雜,並開啟 2FA;
- 不隨意借出設備和雲帳戶。
-
守護你的恢復密鑰
- 恢復密鑰對應的關聯錢包依然是傳統助記詞錢包,務必確保已妥善離線備份 ;
- 不在不明網站導入這套助記詞,懷疑洩露時應儘快更換恢復密鑰並遷移資產。
-
警惕「社會工程學」攻擊
- 通行密鑰可以防技術釣魚,但無法防止你主動把錢轉給騙子;
- 每次交易或簽名前,都再次核對金額、地址和授權內容;
- 通行密鑰保護的是你的鑰匙,而不是你的判斷力。
在 imToken Web,安全不再是你一個人緊張地守著一張紙,而是由設備安全、雲端備份和帳戶恢復機制組成的三道防線,再配合你的基本安全習慣,讓你在享受「無感登錄」的同時,也能穩穩掌控自己的資產。