MetaMask 用户基本安全提示
加密货币和 web3 的新手?
前往 MetaMask Learn 获得专为 web3 新手设计的直接学习体验。 该功能完全免费,支持多种语言,并包含模拟等多种实用工具,协助您顺利启用 MetaMask。
什么是私钥助记词以及如何将其备份?
使用助记词或者私钥助记词是大多数加密货币钱包的标准做法。 私钥助记词是您在创建 MetaMask 钱包时随机生成的一组单词,用于访问该钱包内的所有账户(链上地址)。
首次创建钱包时,系统会提示您记下私钥助记词,或将您的 Google 或 Apple 账户与 MetaMask 关联。 虽然这两种选项都有关联的私钥助记词,但它们在后台的运行方式有所不同。
如果您未将 Google 或 Apple 账户关联到 MetaMask,那么 MetaMask 就不会在服务器上控制您的任何个人或隐私数据。 所有内容都在浏览器中加密,并使用私钥助记词予以保护。 如果您丢失了 MetaMask 账户并需要恢复,您只能使用您的私钥助记词来恢复,而 MetaMask 无法访问您的私钥助记词。 在这种情况下,您的私钥助记词是您访问账户的唯一凭证。
如果您将 Google 或 Apple 账户关联到 MetaMask,您的私钥助记词将被加密并分片存储在五个不同的节点上。 只有您的 Google 或 Apple 账户和密码才能访问并解密所有五个分片。 在这种情况下,您的 Google/Apple 账户和密码就成为了两个潜在风险点。 因此,请务必不要将您的 Google/Apple 账户密码用作您的 MetaMask 密码。 这两组密码应完全不同。 我们还建议您仍然妥善保管您的私钥助记词,以防您忘记了密码或无法访问您的 Google/Apple 账户。
为什么需要存储您的私钥助记词
MetaMask 是一种自主托管钱包。 谁拥有了私钥助记词,谁就能访问其名下的所有账户。 如果您的设备出现故障、丢失、被盗或数据损坏,MetaMask 支持团队将无法为您恢复私钥助记词。 关于如何安全保管您的私钥助记词的更多提示,请点击此处参阅我们的文章。
Do not share your Secret Recovery Phrase and private keys
若有人获得您的私钥助记词或私钥,便可控制您的资产,将代币从您的账户转出。 切勿与他人分享私钥助记词,包括 MetaMask 团队或任何声称代表我们的人在内。
我们绝不会向您索要私钥助记词。如果有人声称如此,请坚持不予分享。 如果您遇到声称是 MetaMask 或 MetaMask 支持团队的成员,或者要求您提供私钥助记词和/或私钥,请通过联系支持团队进行报告。 如果有人向您索要您的私钥助记词和/或私钥,那么他们就是在试图窃取您的所有资产。
这一原则同样适用于网站和应用程序。 您需要输入私钥助记词的唯一合法情况是:
- 当您首次创建钱包时,这是因为您需要输入助记词中的某些单词来确认您已将其记录下来。
- 如果您在新设备上或从全新安装中恢复钱包,或者重设密码(类似流程)。
然而,也有骗子试图模拟这两种情况。 请参阅此处了解更多信息:我如何识别真正的 MetaMask?
如果您在账户中持有价值较高的代币,请考虑使用硬件钱包。
一般而言,硬件钱包是存储代币最为安全的方式。 硬件钱包大部分时间或始终不联网,因此通常称为“冷”钱包。 这种方法意味着您的私钥永远不会由网上的恶意行为者获取,因为任何交易都需要使用硬件钱包本身进行签名(授权)。
切勿分享您的密码
您绝不应与任何人分享您的任何密码,但就本文而言,我们将重点关注您的 MetaMask 密码。 如果您将 Google 或 Apple 账户关联到 MetaMask,则必须使用密码才能访问您的账户。
MetaMask 支持团队绝不会要求您分享您的密码。 如果有人获得了您的密码以及您的 Google/Apple 账户的访问权限,他们就能访问您的所有 MetaMask 账户。
如果您未将 Google 或 Apple 账户关联到 MetaMask,您的密码的作用则有所不同。 即使有人获取了您的密码,也无法访问您的账户。 但是,您仍应妥善保管您的密码,并保持良好的密码使用习惯。
- 使用包含大小写字母、数字和特殊字符组合的复杂密码。
- 为每个账户使用不同的密码。
- 将密码存储在安全的离线位置。 云服务和密码管理工具存在被黑客攻击的风险,并非存储密码最安全的方式。
- 切勿与任何人分享您的密码。
安全性再高也不为过。 本文的基本指南并非无所不包。 始终可以透过社区、说明性材料或讨论渠道,学习如何加强代币的保护。
其他资源
以下是一些有关如何确保计算机安全的附加资源:
- Windows - 在家中保护计算机安全
- Mac - 设置 Mac 以保安全
什么是代币批准,为什么这很重要?
代币批准授予 dapp 在您的钱包中访问并转移特定类型代币和代币金额的许可。 如果您对在 MetaMask 钱包中执行哪些代币批准未持审慎态度,则这可能会成为您的钱包亏空殆尽的一项诱因。
为了避免发生这种情况,请尝试遵循以下指南:
- 在点击“批准”之前,始终检查 dapp 实际上请求提供的内容。 在 MetaMask 中,您还可以调整 dapp 可以访问的金额。 即使仅提供 10% 的代币访问权限,而随后证明该 dapp 是一项欺诈,这样仍然比授予无限访问权限要好得多。
- 自行研究。 在与任何 dapp 交互之前,养成对其进行尽职调查习惯的最佳时机是六个月前;其次就是今天。 留意拼写错误、低质量的图片/标志以及其他警示信号。
- 记住,如果某事看起来好到令人难以置信,则这很可能是欺诈。 如果给您提供的年化收益率高达 498563%,则您很可能面临欺诈风险。
有关代币批准以及如何进行管理的更详尽说明,请参阅以下文章。