Ivan Manchev, manažér komunikácie v Ambire
Jednou z výziev pred širším prijatím kryptomien a DeFi je správa kľúčov. Prekvapivo to dokáže vyriešiť koncept prihlasovania k e-mailu web2 – a to aj nedepozitným spôsobom.
O semenných frázach
- Sám 2. Odlesky 3. Čistota 4. Vnútorný 5. Klamár 6. Drôt. … ???
Pamätáte si, keď ste boli prvýkrát požiadaní, aby ste si zapísali počiatočnú frázu? Možno ste boli zmätení:
- Prečo to písať na papier namiesto toho, aby ste to vložili do poznámok?
- Budete musieť písať všetky tieto veci, aby ste sa zakaždým „prihlásili“ do aplikácií Web3?
- Môžete zmeniť tieto slová na známejšie?
- Uf, nemôžu si jednoducho vypýtať heslo alebo niečo podobné?
Semená frázy nie sú také zlé, ale vyzerajú super divne, ak netušíte, ako kryptografia funguje. A väčšina ľudí ani netuší, ako kryptografia funguje.
V súčasnosti má 99 % začínajúcich používateľov Web3 skúsenosti s Web2, ktoré pramenia z rokov používania e-mailu/hesla ako autentifikácie pre účty a aplikácie. A hoci sa krypto spoločnosti a peňaženky snažia čo najlepšie vzdelávať používateľov, zdá sa, že zmätok je nevyhnutný a otvára nespočetné príležitosti pre neustále číhajúcich podvodníkov.
Stačí vyskúšať tento experiment – google „Curve“ alebo „Aave“ alebo „Uniswap“ a narazíte na prvý výsledok reklamy. Skúste sa pripojiť a zažijete najbežnejší podvod sociálneho inžinierstva zahŕňajúci počiatočné frázy – webové stránky napodobňujúce Metamask a žiadajúce zavádzajúcich používateľov o ich počiatočné frázy. (V skutočnosti to nerobte – aspoň nepíšte svoju počiatočnú frázu, prosím!)
Toto sa deje neustále a rok 2021 bol úžasným príkladom nevyriešeného problému. S rastúcou popularitou NFT sa minulý rok pripojilo k krypto párty veľa nových používateľov. Niektorí z nich mali to šťastie, že si kúpili Bored Ape Yacht Club NFT a videli, ako sa 1000-násobne zhodnocuje... len im ho ukradli kvôli zlej správe kľúčov peňaženky.
Prečo potom stále používame počiatočné frázy namiesto hesiel?
Bohužiaľ, bežné adresy Ethereum sa odomykajú súkromným kľúčom – dlhým reťazcom textu. Ak vlastníte svoj kľúč, môžete si so svojou adresou robiť, čo chcete. Buď si ponecháte kľúč v súbore a importujete ho, aby ste odomkli peňaženku, alebo použijete mnemotechnickú pomôcku so počiatočnou frázou. Neexistuje spôsob, ako zaviesť heslo namiesto súkromného kľúča…
...Dobre, v skutočnosti existuje spôsob, ale za cenu plnej kontroly nad vašou peňaženkou. Niektoré služby uchovávajú súkromné kľúče pre svojich používateľov a umožňujú im používať heslá na odomykanie ich peňaženiek. To umožňuje onboarding, ale porušuje jeden zo základných princípov decentralizácie a veľmi sa nelíši od toho, ako fungujú tradičné služby. Služba, ktorú používate, vám môže kedykoľvek prerušiť prístup.
Ale čo keby som vám povedal, že v skutočnosti existuje spôsob, ako odomknúť peňaženku pomocou e-mailu a hesla a zároveň si ponechať kľúč?
Tu sú inteligentné peňaženky
O inteligentných peňaženkách sa v minulosti veľa diskutovalo: možno ste už počuli o podobnom koncepte s názvom „abstrakcie účtu“.
V podstate ide o to, že každý účet Ethereum bude inteligentnou zmluvou, ktorá otvára množstvo príležitostí na zlepšenie UX kryptomien. Na účely tohto článku sa zameriame na správu kľúčov.
Inteligentné peňaženky namiesto použitia iba jedného kryptografického kľúča na zabezpečenie účtu umožňujú použitie viacerých kľúčov podľa určitých pravidiel. Môžete si napríklad nastaviť účet, ktorý budete ovládať 2 kľúčmi, jedným z nich je vaše mobilné zariadenie a druhým hardvérová peňaženka Trezor, pričom mobilné zariadenie má obmedzené povolenia a denné výdavky, zatiaľ čo Trezor je neobmedzený. Alebo môžete nastaviť takzvané sociálne obnovenie tak, že umožníte multisig riadenému vašimi najbližšími, aby obnovil váš účet.
Zjednodušene povedané, inteligentné peňaženky sú inteligentné zmluvy, ktoré možno ovládať pomocou viac ako jedného kryptografického kľúča – to „decentralizuje“ prístup k peňaženke a umožňuje rôzne nastavenia, v ktorých môžete zmeniť používateľskú skúsenosť s prihlásením.
Ako ste už možno uhádli, jeden z nich používa e-mail a heslo.
Ako vytvoriť neopatrenú inteligentnú peňaženku s registráciou e-mailu a hesla
Už vieme, že peňaženku smart contract možno ovládať pomocou dvoch alebo viacerých kľúčov. Pri vytváraní Ambire Wallet sme sa rozhodli stavať na tejto funkcii a povoliť registráciu emailom/heslom bez toho, aby sme ohrozili vlastníctvo účtu používateľa.
Ambire implementuje tradičnú autentifikáciu pomocou e-mailu a hesla ako aplikácie Web2. Tento režim overenia nie je viazaný: funguje prostredníctvom dvojkľúčového multisig v reťazci. Jeden z kľúčov je uložený v úložisku prehliadača a je zašifrovaný heslom používateľa a druhý kľúč je uložený na našom backende prostredníctvom modelu hardvérovej bezpečnosti (HSM).
K finančným prostriedkom nemôžete pristupovať iba pomocou jedného z dvoch kľúčov, napríklad ak ste útočník, ktorý úspešne ohrozil používateľa (napr. prostredníctvom malvéru) alebo HSM.
Procedúru obnovy však možno spustiť iba jedným kľúčom. Procedúra obnovy je časovo uzamknutá zmena jedného z dvoch kľúčov. Ak bola procedúra obnovy neúmyselná (napr. iniciovaná útočníkom), ktorýkoľvek iný držiteľ kľúča ju môže zrušiť. Ak však bola spustená legitímne (napr. ak ste stratili jeden z dvoch kľúčov alebo ste zabudli heslo), môžete len počkať na časový zámok a potom budete mať prístup k svojmu účtu späť.
Aby som to zhrnul, e-mailové účty/účty na heslá sú peňaženky s viacerými podpismi, ktoré odomykajú:
- Keď sú dodané 2 podpisy – používa sa v normálnom režime prevádzky; alebo
- Keď je dodaný 1 podpis, ale s časovým zámkom; používa sa na obnovenie hesla alebo v prípade, že backend Ambire nebude dostupný.
Druhý kľúč sa bežne odomyká potvrdzovacím kódom špecifickým pre transakciu (odvodeným z jej hashu), ale možno použiť aj iné metódy overenia, ako napríklad OTP 2FA alebo FaceID.
Ďalšou výhodou tohto modelu je, že druhý kľúč môže presadzovať ďalšie bezpečnostné pravidlá, ako sú limity výdavkov a kontrola škodlivých zmlúv alebo hovorov (napr. nekonečné schvaľovanie EOA). Keďže tieto pravidlá sú kontrolované mimo reťazca HSM, možno ich ľahko upraviť alebo vylepšiť. Okrem toho je možné vykonávať sofistikované kontroly bez dodatočných nákladov na plyn, čo umožňuje použitie AI alebo ML v budúcnosti.
Ak máte záujem dozvedieť sa o tom viac, mali by ste sa pozrieť na Bezpečnostný model Ambire Wallet.
Ako to ide
Ambire Wallet sme vydali v decembri po dvoch mesiacoch rýchleho testovania nášho bezpečnostného modelu. Odvtedy sa zaregistrovalo viac ako 45,000 3 používateľov a hádajte čo – väčšina účtov je ovládaná e-mailom a heslom. Momentálne pracujeme na vydaní mobilnej verzie peňaženky pre iOS a Android v prvej polovici tohto roka. Toto bude skutočný test registračného modelu e-mail + heslo, pretože očakávame, že pritiahneme ľudí, ktorí nemajú žiadne predchádzajúce skúsenosti s WebXNUMX.
Ak máte záujem vyskúšať Ambire Wallet, zamierte na https://www.ambire.com/ a vytvorte si účet za menej ako minútu.
Zdroj: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password