Naast de fysieke vorm is het bepalend voor een hardware wallet waar en hoe hij transacties ondertekent. De private key wordt gegenereerd en opgeslagen in een manipulatiebestendige secure element chip, vergelijkbaar met de chips in paspoorten en betaalkaarten, en verlaat die chip nooit. Wil een gebruiker geld verplaatsen, dan stelt een online computer of telefoon de transactie samen, maar de eigenlijke cryptografische handtekening wordt binnen het apparaat zelf gemaakt en bevestigd met een fysieke knop of tik op het touchscreen. Alleen de al ondertekende transactie gaat terug naar buiten om te worden uitgezonden, waardoor de key nooit wordt blootgesteld aan internetverbonden software, malware of een phishingpagina.
Tijdens het instellen genereert het apparaat een seed phrase van 12 of 24 woorden, de enige back-up van de wallet. Iedereen die deze woorden bemachtigt, kan de private key herstellen en de bijbehorende Bitcoin, tokens of andere tegoeden op een ander apparaat leeghalen, dus deze woorden worden op papier of staal genoteerd en nooit digitaal opgeslagen of gefotografeerd.
Ledger en Trezor blijven de twee dominante fabrikanten, met verschillende benaderingen: Ledger kiest voor gesloten, gecertificeerde secure elements, terwijl Trezor inzet op open-source firmware en, met zijn nieuwste model, post-quantum ondertekening. Beide functioneren als een vorm van cold wallet zodra ze zijn losgekoppeld. De belangrijkste overgebleven risico's zijn het kwijtraken van de seed phrase, een gemanipuleerd exemplaar kopen bij een niet-officiële verkoper, en social-engineering scams die een gebruiker verleiden om een kwaadaardige transactie op het apparaat zelf goed te keuren.