Don′t trust, verify!当我们设置钱包时，最关键的一步就是生成助记词环节。大家研究过助记词是如何生成的吗？
7 n- H/ ]9 `1 b, m
6 F3 ?% k3 B. V2 Y助记词是由一串随机数生成，我们称为“熵”。而随机数通常是由软件钱包的伪随机数生成器（PRNG）或硬件钱包的真随机数生成器（TRNG）生成。随机数的随机性就是保证我们的助记词（私钥）无法被暴力破解的关键之处。
9 q* S0 K3 ^* `! J2 V% K8 h; m) j0 b* s! r: Q
真随机数生成器（TRNG）的执行代码一般是由安全芯片厂商提供且不对外公开，也就是说，用户生成真随机数后无法验证，需要信任厂商。
! e+ h6 F( J- j2 L
/ }) x7 i: @9 _+ t  b0 f/ k很多用户不愿意信任安全芯片厂商，因此，一些硬件钱包允许用户用投掷骰子的结果作为随机熵值生成助记词，如 Cobo 金库和 ColdCard 硬件钱包。
, Y& v  ^2 j5 s; I, e9 w  @" T! `) o9 D* p, h! s
Cobo 金库团队始终坚持“Don't trust, verify”的产品理念，并一直用实际行动去实现它，比如开源操作系统代码和安全芯片固件代码。
8 H: u# T( f; f7 W2 a
: l4 Z) j8 o7 m+ p* J* \; z验证代码无疑是最直接的验证方法，但有一定的技术门槛。那么，对于没有技术背景的用户，我们可以用著名的 Ian Coleman 网页工具来做验证。
" S! ]% }2 O4 \" z+ D
+ T. j! i# U, P- A9 ?. ]- c1 {Tips：做验证前需要升级金库固件到V1.2.1或以上版本。1 c0 z: K5 w' S9 j& g
- u5 A. W; J9 v; m& I$ y" {
# R  P% r8 e3 _
验证步骤2 g4 q/ O: e7 }" C4 n

' Q8 y  x0 q$ Q4 |+ D, R举个例子：我们投掷50次骰子，获得以下随机数# Q: s! b+ Z7 ?7 U! ~: W: f

$ j- h0 \- n$ P6 x" e51236422654236551235532545533355551153256611442361
  s) F  @  E- \4 t* ]3 ~+ E" O0 r- N
我们首先将50位随机数输入到金库，生成24位助记词。1 Q$ @$ \! B, A2 W8 F# l

$ }) |& [; p9 l. w  G! g" U6 t" }/ ~( x5 a. o' B9 W
boost nephew sea noise apology three grocery alter season gym leaf token defense today vacuum purse gate swear want road opera fine flag twice
& W0 F7 E- C2 I7 Y- ~/ l4 @9 i$ }$ E$ w2 p" E3 A
注：投掷50次的随机性相当于128位随机数。投掷小于50次的结果随机性则太弱。为确保安全，掌柜的建议大家投掷满100次。9 Q. H& S* p3 c7 J
6 r! ~( G7 ]" b
然后，我们打开 Ian Coleman 网页工具，勾选“Show entropy details”。
+ J) g$ w" k4 l" p/ F- {设置骰子规格、助记词位数参数，输入上面的50位骰子结果，我们可以得到相同的24位助记词。验证完成！
, ?% z% o$ w7 `, X+ P; O# c9 M% B6 Y% e
建议大家验证时，离线使用 Ian Coleman 网页工具（参考网页底部教程），预防恶意软件监控你的键盘、剪贴板以及其他电脑端攻击风险。