Fraza seed to klucz główny do portfela samodzielnej kontroli. Ale BIP-39 — standard stojący za większością fraz seed — po cichu definiuje opcjonalny dodatek: hasło dodatkowe, czasem zwane „25. słowem”. Dodaj je, a zyskasz drugi sekret leżący na wierzchu Twojego seedu. To naprawdę użyteczne narzędzie, a zarazem jeden z najłatwiejszych sposobów, by zamknąć sobie dostęp do własnych monet. Ten przewodnik wyjaśnia, czym jest hasło dodatkowe BIP-39, co naprawdę daje, co kosztuje, jakie błędy prowadzą do utraty środków oraz jak wypada wobec tego, jak SSP dzieli podpisywanie między dwa klucze.
Czym naprawdę jest hasło dodatkowe BIP-39
Standardowy portfel wyprowadza każdy adres z Twojej frazy seed — z 12 lub 24 słów zapisanych przy konfiguracji. Hasło dodatkowe BIP-39 to opcjonalny sekret, który podajesz wraz z tymi słowami. Portfel łączy seed i hasło dodatkowe, aby wyprowadzić zupełnie inny portfel: inne adresy, inne klucze prywatne, inne saldo. Zmień jeden znak hasła dodatkowego, a otrzymasz kolejny portfel, bez błędu i bez ostrzeżenia.
Oficjalna specyfikacja BIP-39 opisuje hasło dodatkowe jako sposób wyprowadzania wielu portfeli z jednego seedu, gdzie hasło pełni rolę soli w funkcji wyprowadzania kluczy. Z tego projektu wynika wprost kluczowa właściwość: hasło dodatkowe nie jest nigdzie przechowywane — ani na Twoim urządzeniu, ani w słowach seedu, ani u żadnego dostawcy portfela. Nie istnieje żaden zapis do odzyskania. Zapomnij je, a portfel, który odblokowuje, przepada, i posiadanie słów seedu go nie przywróci.
Właśnie dlatego producenci portfeli sprzętowych traktują je jako funkcję zaawansowaną. Dokumentacja Trezora o hasłach dodatkowych i ukrytych portfelach ujmuje każde hasło dodatkowe jako otwarcie osobnego ukrytego portfela, gdzie puste hasło to tylko jeszcze jeden portfel wśród nich.
Co Ci daje
Dwie realne korzyści uzasadniają tę funkcję.
Chroni znalezioną lub skradzioną kartę z seedem. Jeśli ktoś odkryje papier lub metalową płytkę, na której zapisałeś słowa, portfel chroniony hasłem dodatkowym wciąż jest bezpieczny. Sam seed wyprowadza portfel z pustym hasłem — który celowo trzymasz pustym. Środki żyją w portfelu, który pojawia się tylko wtedy, gdy seed zostanie połączony z hasłem dodatkowym istniejącym wyłącznie w Twojej głowie. Złodziej trzyma połowę dwuczęściowego sekretu i nie może niczego przenieść.
Umożliwia ukryte portfele i zaprzeczalność. Ponieważ każde hasło dodatkowe wyprowadza odrębny portfel, możesz trzymać małe, prawdziwe saldo w portfelu bez hasła, a właściwe zasoby za hasłem. Pod przymusem — przy tak zwanym „ataku kluczem francuskim za 5 dolarów” — możesz wydać seed i hasło-wabik, ujawniając skromne saldo, podczas gdy główna część pozostaje niewidoczna. Nie da się udowodnić, że ukryty portfel istnieje, i o to właśnie chodzi w zaprzeczalności.
Dla użytkownika z jednym seedem, który naprawdę obawia się fizycznego odkrycia kopii zapasowej, to nie są teoretyczne korzyści. To najmocniejszy argument, by włączyć tę funkcję.
Co Cię kosztuje
Ten sam mechanizm, który Cię chroni, podnosi też stawkę.
Podwaja Twój pojedynczy punkt awarii. Bez hasła dodatkowego musisz chronić — i przetrwać utratę — jednego sekretu: seedu. Z hasłem musisz wykonać kopię zapasową oraz umieć odtworzyć dwa niezależne sekrety, a utrata któregokolwiek z nich oznacza utratę środków. Ognioodporna kopia seedu na nic się nie zda, jeśli hasło dodatkowe żyło tylko w Twojej pamięci, a pamięć zawiodła.
Słabe hasło dodatkowe można złamać brute force. Jeśli atakujący jednak znajdzie Twój seed, jedyną rzeczą między nim a Twoimi monetami jest hasło dodatkowe. Krótkie lub łatwe do odgadnięcia hasło — imię zwierzaka, data urodzin, popularny zwrot — można przemielić offline z ogromną prędkością, bo atakujący ma już seed i może testować kandydatów bez dotykania sieci. Aby cokolwiek znaczyło, hasło dodatkowe musi nieść prawdziwą entropię.
Dokłada operacyjnego tarcia. Każde odtworzenie wymaga teraz wpisania hasła dodatkowego dokładnie, włącznie z wielkością liter, spacjami i interpunkcją. Niewidoczna spacja na końcu, inny układ klawiatury albo automatycznie poprawiony znak dają cichy, pusty portfel zamiast błędu.
Błędy, które prowadzą do utraty środków
Większość strat z powodu hasła dodatkowego wynika z kilku możliwych do uniknięcia schematów.
- Przechowywanie hasła dodatkowego obok seedu. Jeśli obie połowy leżą w tej samej szufladzie, sejfie lub notatce, dodałeś złodziejowi tylko jeden krok. Hasło chroni Cię wyłącznie wtedy, gdy jest przechowywane — lub pamiętane — osobno.
- Poleganie wyłącznie na pamięci. Ludzie zapominają. Hasło dodatkowe, którego nigdzie nie zapisałeś, jest o jeden zły tydzień od stania się nieodzyskiwalnym. Bezpieczny schemat to osobna, trwała kopia zapasowa przechowywana w innym miejscu niż seed.
- Niewidoczne znaki. Spacja na końcu, inteligentny cudzysłów podstawiony przez klawiaturę telefonu albo emoji renderowane różnie na różnych urządzeniach mogą zmienić wyprowadzony portfel. Ogranicz hasła do znaków, które możesz niezawodnie odtworzyć.
- Założenie, że pusty portfel jest zepsuty. Po odtworzeniu zobaczenie portfela z pustym hasłem i wpadnięcie w panikę to częsta rzecz. Środki nie przepadły; hasło dodatkowe po prostu nie zostało jeszcze wpisane.
Jeśli w ogóle używasz fraz seed, nasz przewodnik o najlepszych praktykach dla frazy seed omawia higienę kopii zapasowych, na której opiera się hasło dodatkowe, a co się dzieje, gdy jeden z Twoich kluczy zostaje skompromitowany prowadzi przez zagrożenie, które hasło dodatkowe ma stępić.
Hasła dodatkowe a model dwóch kluczy SSP
Hasło dodatkowe to jedna odpowiedź na konkretne pytanie: co, jeśli mój jedyny seed zostanie znaleziony lub skradziony? Odpowiada, dodając drugi sekret, którego sam seed nie może ujawnić.
SSP odpowiada na to samo pytanie inaczej. Zamiast nakładać drugi sekret na jeden seed, multisig 2 z 2 w SSP dzieli podpisywanie między dwa niezależne klucze — jeden w rozszerzeniu przeglądarkowym SSP, drugi w aplikacji mobilnej SSP Key — tak że żaden pojedynczy sekret nigdy nie wystarcza, by przenieść środki. Atakujący, który skompromituje jedno urządzenie albo znajdzie jedną kopię zapasową, wciąż nie może podpisać transakcji. Drugi klucz to niezależna powierzchnia zatwierdzania, a nie słowo dopisane do pierwszego.
To rozróżnienie ma znaczenie. Hasło dodatkowe zachowuje model jednego seedu i każe Ci bronić dwóch sekretów wyprowadzonych z jednego korzenia. SSP całkowicie usuwa założenie jednego seedu: nie istnieje żadna jedna fraza, której odkrycie opróżnia portfel. Po uzasadnienie tego projektu sięgnij do dlaczego samodzielna kontrola ma znaczenie teraz, które daje kontekst, a tryby awarii multisig i jak SSP je łagodzi uczciwie mówi, przed czym konfiguracja dwóch kluczy może, a przed czym nie może chronić.
Aby jasno powiedzieć, czym SSP jest, a czym nie: SSP nie udostępnia przełącznika hasła dodatkowego BIP-39 i nie należy czytać tego artykułu jako ustawienia w aplikacji. To porównanie dotyczy modeli zagrożeń, a nie funkcji — dwóch różnych sposobów, by znaleziona kopia zapasowa była dla atakującego bezużyteczna.
Jak zdecydować
Hasło dodatkowe dobrze pasuje niektórym użytkownikom. Rozważ jego włączenie, jeśli masz portfel z jednym seedem, szczególnie obawiasz się fizycznego znalezienia kopii zapasowej i masz pewność, że potrafisz przez lata trwale i osobno przechować drugi sekret o wysokiej entropii. Właściwości ukrytego portfela i zaprzeczalności są realne i dla niektórych modeli zagrożeń są dokładnie tym, czego trzeba.
Bądź uczciwy co do trybu awarii, zanim się zdecydujesz. Jeśli Twoim większym ryzykiem jest zapomnienie sekretu, utrata kopii zapasowej albo pomylenie się przy wpisywaniu odtworzenia pod presją, hasło dodatkowe dokłada dokładnie tę kruchość, od której próbujesz uciec. Podwojenie liczby rzeczy, które muszą przetrwać, nie jest darmowe.
Jeśli niepokoi Cię samo założenie jednego seedu, podział podpisywania między dwa klucze odpowiada na to samo zagrożenie, nie wymagając bezbłędnego zapamiętania drugiego sekretu. Odzyskiwanie portfela po utracie przeglądarki pokazuje, jak działa odzyskiwanie, gdy żaden pojedynczy sekret nie jest całą historią.
Ucz się dalej
Hasło dodatkowe i portfel z dwoma kluczami to dwie odpowiedzi na to samo pytanie — sprawić, by skradziona kopia zapasowa była dla atakującego bezwartościowa. Wybierz to, z którego trybem awarii potrafisz żyć, a nie tylko to, którego korzyść brzmi najlepiej.
