Сид-фраза — это мастер-ключ к кошельку самостоятельного хранения. Но BIP-39 — стандарт, лежащий в основе большинства сид-фраз, — негласно описывает необязательное дополнение: парольную фразу, которую иногда называют «25-м словом». Добавьте её — и вы получаете второй секрет, надстроенный над сид-фразой. Это по-настоящему полезный инструмент и одновременно один из самых лёгких способов лишить себя доступа к собственным монетам. Это руководство объясняет, что такое парольная фраза BIP-39, что она на самом деле даёт, чего стоит, какие ошибки приводят к потере средств и как она соотносится с тем, как SSP делит подпись между двумя ключами.
Что такое парольная фраза BIP-39 на самом деле
Обычный кошелёк выводит каждый адрес из вашей сид-фразы — тех 12 или 24 слов, которые вы записали при настройке. Парольная фраза BIP-39 — это необязательный секрет, который вы предоставляете вместе с этими словами. Кошелёк объединяет сид-фразу и парольную фразу, чтобы вывести совершенно другой кошелёк: другие адреса, другие приватные ключи, другой баланс. Измените хотя бы один символ парольной фразы — и вы получите ещё один кошелёк, без ошибки и без предупреждения.
Официальная спецификация BIP-39 описывает парольную фразу как способ вывести множество кошельков из одной сид-фразы, где парольная фраза служит «солью» в функции вывода ключей. Из этой конструкции напрямую следует важнейшее свойство: парольная фраза нигде не хранится — ни на вашем устройстве, ни в словах сид-фразы, ни у какого-либо поставщика кошельков. Нет никакой записи, которую можно было бы восстановить. Забудьте её — и кошелёк, который она открывает, пропадёт, и никакое наличие слов сид-фразы его не вернёт.
Именно поэтому производители аппаратных кошельков относятся к ней как к функции для опытных пользователей. Документация Trezor о парольных фразах и скрытых кошельках представляет каждую парольную фразу как открытие отдельного скрытого кошелька, где пустая парольная фраза — лишь ещё один кошелёк среди прочих.
Что она даёт
Два реальных преимущества оправдывают эту функцию.
Она защищает найденную или украденную карточку с сид-фразой. Если кто-то обнаружит бумагу или металлическую пластину, где вы хранили слова, кошелёк, защищённый парольной фразой, всё равно в безопасности. Одна лишь сид-фраза выводит кошелёк с пустой парольной фразой, который вы намеренно держите пустым. Средства живут в кошельке, который появляется только тогда, когда сид-фраза сочетается с парольной фразой, существующей лишь у вас в голове. Вор держит половину секрета из двух частей и не может ничего перевести.
Она включает скрытые кошельки и правдоподобное отрицание. Поскольку каждая парольная фраза выводит отдельный кошелёк, вы можете держать небольшой реальный баланс в кошельке без парольной фразы, а реальные средства — за парольной фразой. Под принуждением — при так называемой «атаке гаечным ключом за 5 долларов» — вы можете выдать сид-фразу и подложную парольную фразу, открыв скромный баланс, тогда как основная часть останется невидимой. Доказать существование скрытого кошелька невозможно, в чём и состоит весь смысл правдоподобного отрицания.
Для пользователя с одной сид-фразой, который всерьёз опасается физического обнаружения своей резервной копии, это не теоретические выигрыши. Это самый веский довод включить функцию.
Чего она стоит
Тот же механизм, что защищает вас, повышает и ставки.
Она удваивает вашу единую точку отказа. Без парольной фразы вам нужно защитить — и пережить потерю — одного секрета: сид-фразы. С парольной фразой вы должны сделать резервную копию и суметь воспроизвести два независимых секрета, и потеря любого из них означает потерю средств. Огнестойкая копия сид-фразы бесполезна, если парольная фраза жила лишь в вашей памяти, а память подвела.
Слабую парольную фразу можно подобрать перебором. Если злоумышленник всё же найдёт вашу сид-фразу, единственное, что стоит между ним и вашими монетами, — парольная фраза. Короткую или угадываемую парольную фразу — кличку питомца, дату рождения, расхожее выражение — можно перебрать офлайн с огромной скоростью, ведь злоумышленник уже держит сид-фразу и может проверять варианты, не обращаясь к сети. Чтобы чего-то стоить, парольная фраза должна нести настоящую энтропию.
Она добавляет операционные трудности. Теперь каждое восстановление требует ввести парольную фразу в точности, включая регистр, пробелы и пунктуацию. Незаметный конечный пробел, другая раскладка клавиатуры или автоисправленный символ дадут молчаливый пустой кошелёк вместо ошибки.
Ошибки, из-за которых теряют средства
Большинство потерь из-за парольной фразы происходит из-за горстки предотвратимых сценариев.
- Хранение парольной фразы рядом с сид-фразой. Если обе половины лежат в одном ящике, сейфе или заметке, вы лишь добавили вору один шаг. Парольная фраза защищает вас, только когда хранится — или запоминается — отдельно.
- Опора лишь на память. Люди забывают. Парольная фраза, которую вы нигде не записали, в одной неудачной неделе от того, чтобы стать невосстановимой. Безопасный подход — отдельная долговечная резервная копия, хранимая в ином месте, нежели сид-фраза.
- Невидимые символы. Конечный пробел, типографская кавычка, подставленная клавиатурой телефона, или эмодзи, который отображается по-разному на разных устройствах, могут изменить выводимый кошелёк. Используйте в парольных фразах только символы, которые вы можете надёжно воспроизвести.
- Считать, что пустой кошелёк «сломан». После восстановления увидеть кошелёк с пустой парольной фразой и запаниковать — обычное дело. Средства не потеряны; просто парольная фраза ещё не введена.
Если вы вообще пользуетесь сид-фразами, наше руководство по лучшим практикам работы с сид-фразой описывает гигиену резервного копирования, на которую опирается парольная фраза, а что происходит, если один из ваших ключей скомпрометирован разбирает угрозу, которую парольная фраза призвана притупить.
Парольные фразы против модели двух ключей SSP
Парольная фраза — это один ответ на конкретный вопрос: что, если мою единственную сид-фразу найдут или украдут? Она отвечает, добавляя второй секрет, который сид-фраза сама по себе раскрыть не может.
SSP отвечает на тот же вопрос иначе. Вместо того чтобы надстраивать второй секрет над одной сид-фразой, мультиподпись 2 из 2 в SSP делит подпись между двумя независимыми ключами — один в расширении SSP для браузера, другой в мобильном приложении SSP Key — так что никакого одного секрета никогда не достаточно, чтобы перевести средства. Злоумышленник, скомпрометировавший одно устройство или нашедший одну резервную копию, всё равно не сможет подписать транзакцию. Второй ключ — это независимая поверхность подтверждения, а не слово, приписанное к первому.
Это различие важно. Парольная фраза сохраняет модель одной сид-фразы и просит вас защищать два секрета, выведенных из одного корня. SSP полностью устраняет допущение об одной сид-фразе: нет ни одной фразы, обнаружение которой опустошит кошелёк. О логике этого подхода рассказывает почему самостоятельное хранение важно именно сейчас, а режимы отказа мультиподписи и как SSP их смягчает честно говорит о том, от чего схема с двумя ключами защитить может, а от чего нет.
Чтобы было ясно, чем SSP является, а чем нет: SSP не предоставляет переключателя парольной фразы BIP-39, и не стоит читать эту статью как описание настройки внутри приложения. Сравнение — о моделях угроз, а не о функциях: это два разных способа сделать найденную резервную копию бесполезной для злоумышленника.
Как решить
Некоторым пользователям парольная фраза подходит хорошо. Подумайте о том, чтобы включить её, если у вас кошелёк с одной сид-фразой, вы конкретно опасаетесь физического обнаружения резервной копии и уверены, что сможете годами хранить второй секрет с высокой энтропией долговечно и отдельно. Свойства скрытого кошелька и правдоподобного отрицания реальны, и для некоторых моделей угроз они — именно то, что нужно.
Будьте честны относительно режима отказа, прежде чем браться. Если ваш больший риск — забыть секрет, потерять копию или ошибиться при вводе восстановления под давлением, парольная фраза добавляет ровно ту хрупкость, от которой вы пытаетесь уйти. Удвоить число вещей, которые должны уцелеть, не бесплатно.
Если вас тревожит само допущение об одной сид-фразе, разделение подписи между двумя ключами устраняет ту же угрозу, не требуя безупречно запомнить второй секрет. Восстановление кошелька после потери браузера показывает, как работает восстановление, когда ни один секрет не является всей историей.
Продолжайте изучать
Парольная фраза и кошелёк с двумя ключами — это два ответа на один и тот же вопрос: сделать украденную резервную копию бесполезной для злоумышленника. Выбирайте тот, чей режим отказа вы готовы принять, а не просто тот, чья выгода звучит привлекательнее.
