内文...
回顾达令智库之前讲解过定义加密钱包安全性的“三有一无”要素:三有是加密钱包要具备网络隔离、系统完整性保护和种子保密性;一无是“无系统攻防假设”。“三有一无”要素是从防守角度分析钱包应该具备的安全特性。本文则从包括攻击、可用角度的两个维度去分析加密钱包安全性设计的指导原则:
一、可攻击性维度
密深科技首席科学家郭伟基从技术门槛、经济成本、犯罪成本、预期收益四个方面将攻击钱包的成本收益分解为三个层次:
第一层次,高可攻击性,对应技术门槛低、经济成本低、犯罪成本低、预期收益高;
第二层次,中可攻击性,对应技术门槛低,经济成本低,犯罪成本高,预期收益低;
第三层次,低可攻击性,对应技术门槛高、经济成本高,犯罪成本高,预期收益低。
可攻击维度对比,来源:达令智库
这三个层次可以指导我们采用针对性的安全设计。
二、可用性维度
加密钱包的可用性包括安全性与用户体验。有别于通常把可用性等同于用户体验的常规做法,我们在这里把安全性列为可用性的一个关键指标。原因很简单,作为钱包产品,安全性至关重要。如果某个加密钱包安全性差,使用上就有很多限制,特别是其管理的资产规模只能是非常小、即便损失掉也关系不大的,这就导致钱包在很多情形下不可以使用。
另外,不好的用户体验也会导致安全性流失。例如,如果某款钱包的安全性主要依赖用户输入一个比较复杂的密码,那么用户体验就会很差;而出于人性的懒惰,用户可能使用看似复杂其实容易破解的口令。
理想的加密钱包安全性高,用户体验又非常好。但是这两者极难兼顾。为此,郭伟基提出一个公式: