【EOS42章经】 第5章: EOS账号安全问题

这一周我们初步了解了关于EOS账号的话题，与EOS账号问题相关的，是如何安全使用EOS钱包和账号。

安全涉及到方方面面，保护资产安全，是一个系统性的工程，从创建账号，存储私钥，选择钱包，日常使用等多个角度，都需要进行全面的保护，而且，对于智能合约的开发者而言，对用户的影响越大，责任也越重大。

今天所谈到的这些方面，仍然无法涵盖EOS账号安全保护的全部内容，如果有需要继续了解 ，欢迎加文末微信扫码进群，一起交流关于EOS的认识和知识。

EOS42章经系列文章，由EOS42节点所创建，感谢你的阅读和支持，与你一起度过寒冬。

常见安全问题

• 私钥保存不慎，被人盗取
• 私钥忘记备份，无法恢复
• 私钥抄写不清楚，导致无法恢复
• 私钥记录丢失
• 转错账户
• 遭受钓鱼诈骗，导致私钥被盗走，资金遭遇安全问题
  ......

常见的问大部分的原因皆跟私钥有关。区块链的世界中拥有私钥就获得了资产，保护资产安全的第一步，就是要保护好私钥，提升安全意识。

具体的解决方法，这里是一个不完全的列表：

• 创建账号时，选择经过验证可信的私钥生成工具
• 做好私钥的备份和安全管理，避免暴露私钥
• 建议最好将owner权限与active权限设置不同的私钥，将权限分离
• 大额资产的账号，离线保存，避免私钥触网
• 选择可信的钱包，来管理私钥
• 具备基本的安全意识，远离钓鱼网站，避免被利益诱惑而暴露私钥
  ....

这一份列表，还可以继续列下去，也欢迎你的补充和完善。

1. 生成私钥的工具，要安全可靠

创建账号时候，需要至少一对密钥对，用作账号的管理。前面讲解EOS账号与密钥关系时候，我们也做过介绍。

生成密钥对的方式有多种，许多的钱包应用会提供，有些网站也会在线提供创建密钥对的服务。

安全的方式

如果略懂一些编程，也可以用eosio代码下的cleos命令来生成密钥对，这是最安全的方式。
另外，也可以考虑安装Scatter插件，通过Scatter插件中内置的密钥生成功能，生成密钥对。

image.png

如果可以的话，尽可能使用离线的工具，如eosio软件的cleos命令行工具，或者Scatter这个插件的私钥生成功能，相对更可靠。
另外，你也包括你所信任的一些BP所开发的离线密钥生成工具，也可以来向我咨询了解。

钱包内置的生成私钥的功能

如果选择通过钱包来创建账号，比如用法币购买邀请码来获取账号的方式，钱包也会为你生成密钥对。选择你信得过的钱包工具所提供的服务，并且，尽可能是开源的钱包工具。下面部分涉及到钱包时候，我们会稍微具体聊一下。

2. 做好妥善的私钥备份

生成了密钥对创建了账号之后，在使用这个账号之前，需要做好私钥的安全保存。

如果是抄写在纸上，最好是多写几个备份，存在安全的地方。

并且，确认你自己能够识别出来私钥之中的大小写，避免若干时间之后，你发现根本无法辨认，从而导致账户无法使用，最好对大小写作出明显的区分，比如，用比例相对夸张的方式来表示大小写。

如果资金略宽裕，也非常推荐使用硬件钱包的方式，会更加方便。Ledger的硬件钱包已经支持了EOS的基本功能，售价在500元左右，资金稍微宽裕者，可以考虑入手。

不要暴露私钥

不要这么做：

• 复制私钥后，发给自己的微信，因为其他程序也可以读取你的粘贴板，私钥很容易丢失。
• 发送至邮箱保存。一旦邮箱被破解，则会导致私钥丢失从而引起资产损失。
• 截图。因为其他程序也可能会读取你的相册，很容易造成私钥被盗情况。
• 在不熟悉的网站或者工具之中导入私钥
• 或者，被仿冒知名网站的钓鱼网站诈骗，导致私钥被盗

简言之，不论如何情况，请一定注意，避免暴露自己的私钥。有任何app需要你导入私钥的时候，务必保持警惕。如果有不熟悉的，也可以来向EOS42来咨询。

3. owner权限与active权限分离

对于EOS账号来说默认是具有双权限：owner权限与active权限二者。owner的权限更大， 可以修改owner权限对应的私钥和active权限对应的私钥；而active权限，则是日常操作之中所常用的。

一般的推荐是，这两个权限分别设置不同的私钥，分开管理存储。尤其针对额度较大的账号而言，分设不同的密钥，是必须的。

4. 大额资金账号的私钥永不触网

对于存有大额资产的账户来说，非常推荐私钥永不触网的方式，用冷钱包的方式保存私钥；日常的操作，则用一个小额度的账号来做。

那么怎么从大额的账号向小额的账号转账呢？ 这里可以用到一些离线转账的操作工具，比如EOS Cannon社区开发了离线转账工具。这样的话，就可以离线生成签名信息，授权转账，从而在私钥不触网的情况下完成。

5. 选择靠谱的钱包

关于EOS钱包的一份详细的报告，可以参见：冉道资本 | EOS钱包研究报告

文中列出了钱包的五大安全风险：

image.png

在文章之中，也提到了7款不同的钱包。大家可以参考。大概2个月前，苹果从AppStore下架了一款EOS钱包： EOSIO Wallet Explorer，因为有用户投诉称，这款钱包会恶意盗窃用户的EOS 代币。

选择钱包时候，这些建议，可以作为参考：

• 尽可能选择开放源代码且经过安全审计的钱包
• 得到更多用户的验证未出现安全事故的钱包
• 你所信任的节点或朋友所推荐的钱包，且符合上述两条

选择钱包是个需要谨慎再谨慎的活，牢记一点，一些小众不知名的钱包，就算要尝鲜，也要用新的账号去尝试，不要拿你的常用账号以身涉险。

目前比较公认的是Scatter钱包，国内也有一些比较流行的手机钱包，可以作为参考。

小结

安全无小事，这里列出来只是一小部分，欢迎一起交流， 保护EOS账号的安全。

EOS42 开创去中心化的未来

EOS42的账号为: eos42freedom。
请为EOS42投票，支持我们继续不停开拓去中心化解决方案的未来。

vote for EOS42