Trezor Safe 5は充実したハードウェアセキュリティを備えていますが、ほとんどのユーザーは12語または24語のシードフレーズで止まり、保護されていると考えています。これにより、重要な防御層が未使用のままになっています:BIP39パスフレーズです。正しく設定すると、パスフレーズはTrezor Safe 5を2ファクター認証コールドウォレットに変えます — あなたが持っているもの(デバイス)とあなたが知っているもの(パスフレーズ)です。このガイドでは、完全なTrezor Safe 5パスフレーズセットアッププロセスを説明し、暗号化レベルで何をするのかを正確に説明し、経験豊富なユーザーでさえつまずく周辺ケースをカバーしています。
BIP39パスフレーズが実際にすること
設定に触れる前に、何を有効にしようとしているのかを理解することは価値があります。Bitcoin Improvement Proposalプロセスによって公開され、ほぼすべてのハードウェアウォレットで実��されているBIP39仕様では、鍵導出中にシードに追加される25番目のワード(またはそれ以上の長さの文字列)が許可されています。Trezorの公式ドキュメントではこれを「隠されたウォレット」機能と呼んでいます。
重要な結果:空白を含む各ユニークなパスフレーズが、完全に異なるセットの秘密鍵とウォレットアドレスを生成します。標準的なウォレット(パスフレーズなし)とパスフレーズで保護されたウォレットは同じ24語のシードを共有していますが、暗号的には関連がありません。事前に知らない限り、どのパスフレーズが使用されたかをブルートフォース攻撃することは不可能です。
これがセキュリティにとって重要な理由
- シードフレーズの盗難が致命的ではなくなります。 攻撃者が24語を取得しても、パスフレーズを取得しない場合、彼らは空の、または低額のデコイウォレットにしか到達できません。
- もっともらしい否認。 標準(パスフレーズなし)ウォレットに少額の残高を保持し、隠されたウォレットに大きな残高を保持できます���強要下では、シードとPINを明かすことなく、プライマリ資金を保護できます。
- デバイスへの依存なし。 パスフレーズはTrezor自体に保存されません。同じシードとパスフレーズが与えられれば、BIP39互換のウォレットなら同じアカウントを導出できます。
開始前に必要なもの
- ファームウェアバージョン2.7.0以降のTrezor Safe 5(Settings → Device → Firmwareを通じてTrezor Suiteで確認)
- Trezor Suiteデスクトップアプリケーション(ブラウザ拡張機能はパスフレーズ作業に推奨されません)
- 安全にオフラインに保存されている既存の24語のシードバックアップ
- 決定されたパスフレーズ — 下のセクションでパスフレーズの選択を参照
- パスフレーズの2次バックアップメディア、シードとは別に保存
パスフレーズをバックアップするための明確な計画がある場合を除き、進めないでください。Trezorの公式ナレッジベースでは、パスフレーズを失うことは隠されたウォレットへのアクセスを永久に失うことになり、回復手段がないことを明確に警告しています。
強いパスフレーズの選択
BIP39仕様は最大50文字のUTF-8文字列を許可していますが、Trezor Suiteはより長い文字列も受け入れます。実際には、パスフレーズは次の基準を満たすべきです:
- 複雑さより長さ。 大文字小文字、数字、および少なくとも1つの記号が混在した20文字のパスフレーズは、辞書攻撃に効果的に対抗します。Trezorのドキュメントでは、既知のテキストからの単純な単語またはフレーズを避けることを推奨しています。
- 記憶のみに頼らない。 PINとは異なり、パスフレーズは毎回完全に正確に入力される必要があります。1つのタイプミスも完全に異なるウォレットを生成し、警告はありません — デバイスはパスフレーズが「間違っていた」ことを通知せず、単に別の(空の)ウォレットを開きます。
- シードから別に保存。 両方を同じメタルバックアップに置くと目的が台無しになります。別の耐火場所、信頼できる人、または分割ストレージスキームを検討してください。
ステップバイステップ:Trezor Safe 5でパスフレーズを有効にする
ステップ1 — Trezor Suiteでパスフレーズを有効にする
- Trezor Suiteを開き、Safe 5をUSB-Cで接続します。
- PINでデバイスをロック解除します。
- Trezor SuiteでSettings → Deviceに移動します。
- Passphraseトグルを見つけてオンに切り替えます。
- Safe 5のタッチスクリーンでアクションを確認します。
ステップ2 — パスフレーズを入力する場所を選択する
Safe 5は2つの入力方法を提供します:
- デバイス上での入力(推奨)。 パスフレーズをSafe 5タッチスクリーンに直接入力します。これにより、パスフレーズがコンピュータのキーボードやオペレーティングシステムを通過せず、キーロガーが傍受できなくなります。
- ホスト入力。 パスフレーズをコンピュータ上のTrezor Suiteに入力します。長いパスフレーズの場合は高速ですが、文字列をホストマシンに公開します。
Trezorのセキュ���ティモデルドキュメントでは、侵害されたホスト環境に対する最大限の保護のため、デバイス上での入力を明確に推奨しています。
ステップ3 — 最初に隠されたウォレットにアクセスする
- パスフレーズが有効になった状態で、デバイスを切断して再接続します(またはTrezor SuiteでSwitch deviceをクリック)。
- PIN入力後、Trezor Suiteは以下をプロンプトします:Enter passphrase。
- デバイス上での入力を使用する場合、Safe 5スクリーンで確認してから、タッチスクリーンキーボードでパスフレーズを入力して確認します。
- Trezor Suiteは新しい空のウォレット — これがあなたの隠されたウォレットです — をロードします。
- 表示される最初の受信アドレスに注意してください。安全に記録します。このアドレスを使用して、将来のパスフレーズ入力を確認します。
ステップ4 — 資金を送信する前に正しい導出を確認する
小額のテストトランザクション(ネットワークの最小限の額)を隠されたウォレットに送信します。デバイスを切断して再接続し、パスフレーズを再度入力して、残高が表示されることを確認します。往復が成功した場合にのみ、有意義な保有を隠されたウォレットに移動させてください。このステップはオプションではありません — パスフレーズバックアップの1文字のエラーは、あなたが間違ったウォレットで練習していることを意味します。
隠されたウォレットとともに標準ウォレットを管理する
標準(パスフレーズなし)ウォレットと隠されたウォレットの間の切り替えは、ハードウェアの変更を必要としません — Trezor Suiteのセッションレベルで処理されます。パスフレーズを求められたとき、フィールドを空白のままにして確認すると、標準ウォレットに戻ります。このアーキテクチャは、観察者に見える違いなく、1つのデバイスから両方のウォレットを合法的に操作できることを意味します。
Trezor Suiteのインターフェースはこれらを個別のウォレットプロフィールとしてラベル付けします。異なるパスフレーズを使用して複数の隠されたウォレットを追加できます — 各は同じシードから導出された独自のアカウントとアドレスを持つ完全に独立したウォレットです。
一般的な間違いとそれを避ける方法
- デバイスがパスフレーズを検証すると仮定する。 そうではありません。MyPass1!を意図したときにMyPass1@と入力すると、静かに異なる空のウォレットが開きます。常に既知のアドレスで確認してください。
- パスフレーズをパスワードマネージャーのみに保存する。 パスワードマネージャーはハッキング、同期、または喪失の可能性があります。物理的なオフラインバックアップが必要です。
- ファームウェアアップデート後、パスフレーズを再度有効にすることを忘れる。 ファームウェアアップデートによっては、デバイス設定を再度確認する必要があります。すべてのアップデート後に確認してください。
- パスフレーズをPINと混同する。 PINはデバイスを保護します。パスフレーズはウォレット導出を保護します。両方は完全なセキュリティのために必要ですが、異なる機能を��たします。
- パスフレーズをウォッチのみのセットアップで使用し、拡張公開鍵(xpub)の記録を忘れる。 パスフレーズで保護されたウォレットをポートフォリオ追跡ソフトウェアで使用する場合、別に保存しない限り、毎回xpubを再導出する必要があります。
これがあなたにとって何を意味するか
Trezor Safe 5パスフレーズセットアップは、自己管理保有者が利用できる最高のレバレッジセキュリティアップグレードの1つです。これは高度な技術知識を必要とせず、追加のコストがなく、盗まれたシードフレーズを攻撃者にほぼ役に立たなくします。トレードオフは運用上のものです:これで2つの秘密を保護し、2つの潜在的な障害ポイントがあります。パスフレーズを失うと、隠されたウォレットの資金は永久に失われます — サポートチケット、回復サービス、例外はありません。その責任は真の自己管理の代価です。
意味のある残高を持つほとんどの保有者にとって、そのトレードオフは確実に価値があります。パスフレーズをセットアップし、小��のテストトランザクションで確認し、パスフレーズを物理的かつシードとは別に保存し、信頼できる人がこのガイドを超えた実装上の質問のための権威ある参照として従うことができるようにあなた自身の回復手順を文書化してください。TrezorナレッジベースとビットコインGitHubリポジトリ上のBIP39仕様(BIP-0039)はあります。
