一些过往的宣传资料中提到，Talisman 网页端 App 还可以参与波卡/Kusama Crowdloan，不过在当前版本中并没有看到。

作为可以存储私钥、签名交易的钱包，安全的重要性不言而喻。Talisman 有以下的安全保障措施：

• 非托管：Talisman 是去中心化非托管钱包，即 Talisman 永远不会接触用户的账户，用户的密钥通过加密后存储在用户自身的设备中 。

• 审计：安全机构 Atredis 对 Talisman 进行了独立审计。

• 支持硬钱包：支持 Ledger 硬钱包，允许用户离线管理资产 。

作为一个以用户体验为本的钱包，Talisman 使用了统一密码和外部数据记录服务，这些功能在提升用户体验的同时，这些功能是否会降低其安全性呢？

为了减少用户输密码的次数和提升用户体验，Talisman 采用统一的密码。用户只需在解锁 Talisman 钱包时输入一次密码，就可以操作钱包中的任何账户，不必在每次签署交易时都重新输入密码。也就是说，Talisman 对所有的账户都使用了同一个密码来加密，钱包插件将密码本身存储在内存中，以便可以使用相同的密码创建新帐户。

这一设计实际上是牺牲了一定的安全性，来换取更高的便捷性。将你的密码存储在插件的内存中，意味着在 Talisman 插件处于解锁状态时，可以访问你计算机的高级攻击者可能会转储扩展程序的内存并找到密码。

为了缓解这个问题，Talisman 设计了锁定功能。当用户手动锁定 Talisman 扩展程序，或者开启了自动锁定功能并到达设定的时间（如 5 min）后，就会从 Talisman 扩展程序中清除密码。自动锁定功能是默认关闭的，可以在设置中启用。

Talisman 未来计划推出另一项安全改进，先对密码进行哈希处理，再存储到扩展程序的内存中。虽然这样仍然可以通过相同的方法检索哈希后的密码，但可以让密码在转储的内存数据中更难识别，从而降低风险。并且可以降低其他服务中的密码被泄漏的影响。

Talisman 使用了一些外部数据记录服务 —— 使用 Sentry 进行错误日志记录，便于追踪软件是在何时出了什么问题；使用 Posthog 进行用户分析，便于追踪用户正在使用哪些功能。

在使用外部数据记录时设置不当，可能导致严重的后果。今年年初，Solana 主流钱包之一 Slope 遭到了黑客攻击，造成了用户资金的损失。漏洞原因是 Slope 在使用 Sentry 时没有擦除敏感信息，导致直接将私钥记录到了 Sentry 的错误追踪服务中。

Talisman 同样使用了 Sentry 的错误追踪功能，但是记录的信息更少。在 Slope 事件后 Talisman 进行了内部审计，发现并没有将敏感信息记录到 Sentry。并且 Talisman 在 Sentry 后端设置了数据清理器，即使有任何敏感数据被意外发送到 Sentry，也不会被记录下来。

Sentry 和 Posthog 这两个外部数据记录在 Talisman 中是默认开启的，用户可以在隐私设置中选择退出。

Talisman 团队鼓励用户遵循以下最佳实践，来在使用钱包时最大限度保障安全。

• 使用高强度密码

• 开启定时自动锁定功能

• 当有其他人接触电脑时，手动锁定 Talisman 插件

• 确保密码和恢复词没有记录在任何地方

• 确保电脑上没有恶意软件

我个人体验下来，觉得 Talisman 确实非常好用，推荐大家去尝试一下。Talisman 官网：https://talisman.xyz/。

对于刚接触波卡的小白用户来说，简洁明了的界面很好上手；对于资深一些的用户来说，经常会有多个账户，持有多条链上的资产、NFT，需要和多个 App 交互，使用 Talisman 可以一目了然地看到自己的所有的持仓情况，也不用在交易时频繁输入每个账户对应的不同密码，还是非常实用的。