答案先抛
数学上 24 词更安全(256 比特熵对 128 比特熵),但 128 比特对当前及可预见未来的算力来说已经远远超出破解阈值——暴力枚举 2 的 128 次方需要的时间是宇宙年龄的若干个数量级倍。对个人用户而言,两者实际安全等级几乎没有差别。24 词的优势主要在抗量子计算和某些高安全场景,对日常使用者来说,12 词更短、更好抄、更不容易出错。
为什么是这样
BIP39 规定 12 词对应 128 比特熵 + 4 比特校验,24 词对应 256 比特熵 + 8 比特校验。从安全角度看,攻击者唯一能做的就是猜——按现有密码学,没有比"猜"更快的方法。问题是猜多少次。2 的 128 次方约等于 3.4 × 10 的 38 次方,假设全世界所有显卡(约 10 亿张)一起算,每张每秒能算 100 亿次哈希,跑完需要的时间也接近 10 的 12 次方年——宇宙从大爆炸到现在才 138 亿年(10 的 10 次方年)。
这就是为什么密码学界把"128 比特对称安全等级"当作"无限期安全"的标准——不是因为绝对不能破,而是按物理定律没人活得到那天。换句话说,把 128 比特升级到 256 比特,就像把保险柜的钢板从 30 厘米加厚到 60 厘米——技术上确实更厚了,但小偷在外面冻死前压根挖不开第一层。
那为什么硬件钱包默认 24 词?两个原因。抗量子预留——Shor 算法理论上能破解椭圆曲线,到时 256 比特熵能多挺一阵子。机构合规——很多机构规范要求 256 比特熵源。所以 Ledger、Trezor 出厂默认 24 词,对个人用户稍嫌过剩。
常见误解 / 注意点
- "24 词比 12 词难破解一倍" 错——是 2 的 128 倍。但乘以"已经破不了"还是"破不了",实际差别为零。
- 12 词的实操优势:抄写更快、金属板上刻起来更轻松、对非英语用户认知负担更低。出错概率随长度增加。
- 钱包默认给 24 词(Ledger、Trezor),不要为了"短一点"强行新建 12 词。安全富余浪费不掉。
- 真正决定安全的不是 12 还是 24,是备份的物理形态。便利贴上的 24 词远不如保险柜里的 12 词安全。
如果你还想了解
BIP39 校验位的具体生成方式(4 比特 vs 8 比特如何从熵的 SHA-256 哈希截取)和椭圆曲线在量子计算下的脆弱性,可以看 《私钥与助记词 · 加密世界的身份证》 第二、四节。另外 《24 词助记词的五种存储法》 是关于物理备份的实战。