内文...

回顾达令智库之前讲解过定义加密钱包安全性的“三有一无”要素：三有是加密钱包要具备网络隔离、系统完整性保护和种子保密性；一无是“无系统攻防假设”。“三有一无”要素是从防守角度分析钱包应该具备的安全特性。本文则从包括攻击、可用角度的两个维度去分析加密钱包安全性设计的指导原则：

一、可攻击性维度

密深科技首席科学家郭伟基从技术门槛、经济成本、犯罪成本、预期收益四个方面将攻击钱包的成本收益分解为三个层次：

第一层次，高可攻击性，对应技术门槛低、经济成本低、犯罪成本低、预期收益高；

第二层次，中可攻击性，对应技术门槛低，经济成本低，犯罪成本高，预期收益低；

第三层次，低可攻击性，对应技术门槛高、经济成本高，犯罪成本高，预期收益低。

 可攻击维度对比，来源：达令智库

这三个层次可以指导我们采用针对性的安全设计。

二、可用性维度

加密钱包的可用性包括安全性与用户体验。有别于通常把可用性等同于用户体验的常规做法，我们在这里把安全性列为可用性的一个关键指标。原因很简单，作为钱包产品，安全性至关重要。如果某个加密钱包安全性差，使用上就有很多限制，特别是其管理的资产规模只能是非常小、即便损失掉也关系不大的，这就导致钱包在很多情形下不可以使用。

另外，不好的用户体验也会导致安全性流失。例如，如果某款钱包的安全性主要依赖用户输入一个比较复杂的密码，那么用户体验就会很差；而出于人性的懒惰，用户可能使用看似复杂其实容易破解的口令。

理想的加密钱包安全性高，用户体验又非常好。但是这两者极难兼顾。为此，郭伟基提出一个公式：