Teknologia

Web3-kirjautumisten tulevaisuus on… Sähköposti ja salasana?! 

02/04/2022
Bitcoin Ethereum -uutiset

Ivan Manchev, Ambiren viestintäpäällikkö

Yksi haasteista ennen krypton ja DeFin laajempaa käyttöönottoa on avainten hallinta. Yllättäen web2-sähköpostin sisäänkirjautumiskonsepti voi ratkaista sen – jopa ei-vapaudenmenetyksellä.

Siemenlauseilla

  1. Yksin 2. Häikäisy 3. Puhtaus 4. Sisäinen 5. Valehteleva 6. Lanka. …. ???

Muistatko ensimmäisen kerran, kun sinua pyydettiin kirjoittamaan alkulause? Ehkä olet hämmentynyt: 

  • Miksi kirjoittaa tämä paperille sen sijaan, että liität sen muistiinpanoihin?
  • Pitääkö sinun kirjoittaa kaikki tämä "kirjautuaksesi" Web3-sovelluksiin joka kerta?
  • Voitko muuttaa nuo sanat tutummiksi?
  • Eivätkö he voi vain pyytää salasanaa tai jotain?

Siemenlausekkeet eivät ole niin huonoja, mutta ne näyttävät erittäin oudolta, jos sinulla ei ole aavistustakaan siitä, kuinka kryptografia toimii. Ja useimmat ihmiset eivät tiedä kuinka kryptografia toimii. 

Tällä hetkellä 99 prosentilla aloittelevista Web3-käyttäjistä on Web2-kokemus, joka johtuu vuosien sähköpostin/salasanan käyttämisestä tilien ja sovellusten todentamiseen. Ja vaikka kryptoyritykset ja lompakot tekevät parhaansa kouluttaakseen käyttäjiä, hämmennys näyttää olevan väistämätöntä ja avaa lukemattomia mahdollisuuksia aina vaaniville huijareille. 

Kokeile vain tätä kokeilua – googleta "Curve" tai "Aave" tai "Uniswap" ja napsauta ensimmäistä mainostulosta. Yritä muodostaa yhteys, niin koet yleisimmän sosiaalisen manipuloinnin huijauksen, johon liittyy siemenlauseita – verkkosivustoja, jotka jäljittelevät Metamaskia ja pyytävät harhaanjohtavilta käyttäjiltä heidän siemenlausekkeitaan. (Älä itse asiassa tee sitä – älä ainakaan kirjoita alkulausettasi, kiitos!)

Tätä tapahtuu jatkuvasti, ja vuosi 2021 oli loistava esimerkki ratkaisevasta ongelmasta. NFT:n kasvavan suosion myötä kryptopuolueeseen liittyi viime vuonna paljon uusia käyttäjiä. Jotkut heistä olivat onnekkaita ostaessaan Bored Ape Yacht Club NFT:n ja näkivät sen nousevan 1000-kertaiseen hintaan… vain, kun se varastettiin huonon lompakon avainten hallinnan vuoksi.

Kuva

Miksi sitten käytämme edelleen siemenlauseita salasanojen sijasta?

Valitettavasti yleiset Ethereum-osoitteet avataan yksityisellä avaimella – pitkällä tekstijonolla. Jos omistat avaimesi, voit tehdä osoitteellesi mitä haluat. Säilytät avaimesi tiedostossa ja tuot sen avataksesi lompakon lukituksen tai käytät siemenilmausta muistomerkkiä. Ei ole mitään tapaa ottaa käyttöön salasanaa yksityisen avaimen sijasta… 

…Okei, on olemassa keino, mutta lompakkosi täyden hallinnan kustannuksella. Jotkut palvelut säilyttävät käyttäjiensä yksityiset avaimet ja antavat heidän käyttää salasanoja lompakkojensa lukituksen avaamiseen. Tämä mahdollistaa onboardingin, mutta rikkoo yhden hajauttamisen perusperiaatteista, eikä se eroa paljon perinteisten palvelujen toiminnasta. Käyttämäsi palvelu voi katkaista pääsysi milloin tahansa.

Mutta entä jos kertoisin sinulle, että on olemassa tapa avata lompakkosi lukitus sähköpostilla ja salasanalla samalla, kun avain säilytetään?

Täältä tulee älykkäät lompakot

Älykkäistä lompakoista on keskusteltu paljon aiemmin: olet ehkä kuullut samankaltaisesta käsitteestä, jota kutsutaan "tilin abstraktioiksi". 

Pohjimmiltaan ajatuksena on, että jokainen Ethereum-tili on älykäs sopimus, joka avaa paljon mahdollisuuksia parantaa krypto-UX:tä. Tässä artikkelissa keskitymme avainten hallintaan. 

Sen sijaan, että käytettäisiin vain yhtä salausavainta tilin suojaamiseen, älykkäät lompakot sallivat useiden avainten käytön tiettyjen sääntöjen mukaisesti. Voit esimerkiksi määrittää tilin, jota ohjataan kahdella avaimella, joista toinen on mobiililaitteesi ja toinen Trezor-laitteistolompakkosi, ja mobiililaitteella on rajoitetut käyttöoikeudet ja päivittäiset menot, kun taas Trezorilla on rajoittamaton käyttö. Tai voit määrittää niin sanotun sosiaalisen palautuksen antamalla lähimpien henkilöidesi hallitseman multisigin palauttaa tilisi. 

Yksinkertaisesti sanottuna älylompakot ovat älykkäitä sopimuksia, joita voidaan ohjata useammalla kuin yhdellä salausavaimella – tämä "hajauttaa" pääsyn lompakkoon ja mahdollistaa erilaiset asetukset, joissa voit muuttaa kirjautumisen käyttökokemusta.

Kuten saatoit arvata tässä vaiheessa, yksi niistä käyttää sähköpostia ja salasanaa. 

Kuinka rakentaa ei-vapaudenmukainen älylompakko sähköpostin ja salasanan rekisteröinnillä

Tiedämme jo, että älykästä sopimuslompakkoa voidaan ohjata kahdella tai useammalla avaimella. Ambire Walletia luodessamme päätimme hyödyntää tätä ominaisuutta ja sallia sähköpostin/salasanan rekisteröinnin vaarantamatta käyttäjän tilin omistajuutta. 

Ambire toteuttaa perinteisen todennuksen sähköpostilla ja salasanalla, kuten Web2-sovellukset. Tämä todennustila on ei-varmistustila: se toimii ketjussa olevan kahden näppäimen multisig:n kautta. Toinen avaimista on tallennettu selaimen muistiin ja on salattu käyttäjän salasanalla, ja toinen avain on tallennettu taustajärjestelmäämme laitteistoturvamallin (HSM) kautta.

Et voi käyttää varoja käyttämällä vain toista kahdesta avaimesta, esimerkiksi jos olet hyökkääjä, joka on onnistuneesti murtautunut joko käyttäjän (esim. haittaohjelman kautta) tai HSM:n kautta. 

Palautusprosessi voidaan kuitenkin aloittaa vain yhdellä avaimella. Palautusmenettely on jommankumman avaimen aikalukittu vaihto. Jos palautusprosessi oli tahaton (esim. hyökkääjän käynnistämä), kuka tahansa muu avaimenhaltija voi peruuttaa sen. Mutta jos se aloitettiin laillisesti (esim. jos kadotit toisen kahdesta avaimesta tai unohdit salasanasi), voit vain odottaa aikalukkoa ja pääset takaisin tiliisi tämän jälkeen.

Yhteenvetona voidaan todeta, että sähköposti-/salasanatilit ovat usean allekirjoituksen lompakoita, jotka avaavat lukituksen:

  • Kun 2 allekirjoitusta toimitetaan – käytetään normaalissa toimintatilassa; tai
  • Kun 1 allekirjoitus toimitetaan, mutta aikalukolla; käytetään salasanan palauttamiseen tai jos Ambire-taustaosa ei ole käytettävissä.

Toinen avain avataan yleensä tapahtumakohtaisella (johdettu hajautuskoodilla) vahvistuskoodilla, mutta muita todennusmenetelmiä, kuten OTP 2FA tai FaceID, voidaan käyttää.

Tämän mallin lisäetu on, että toinen avain voi pakottaa ylimääräisiä turvallisuussääntöjä, kuten kulutusrajat ja haitallisten sopimusten tai puhelujen tarkistaminen (esim. loputtomat hyväksynnät EOA:ille). Koska HSM tarkistaa nämä säännöt ketjun ulkopuolella, niitä voidaan helposti muokata tai parantaa. Lisäksi kehittyneitä tarkistuksia voidaan suorittaa ilman ylimääräisiä kaasukustannuksia, mikä mahdollistaa tekoälyn tai ML:n käytön tulevaisuudessa.

Jos olet utelias saamaan lisätietoa tästä, sinun kannattaa tutustua Ambire Walletin tietoturvamalli.

Miten menee

Julkaisimme Ambire Walletin joulukuussa kahden kuukauden nopean tietoturvamallimme testauksen jälkeen. Yli 45,000 3 käyttäjää on rekisteröitynyt koskaan, arvaa mitä – suurinta osaa tileistä ohjataan sähköpostilla ja salasanalla. Tällä hetkellä työskentelemme lompakon mobiiliversion julkaisemiseksi iOS:lle ja Androidille tämän vuoden ensimmäisellä puoliskolla. Tämä on todellinen testi sähköpostin ja salasanan rekisteröintimallille, sillä odotamme houkuttelevamme ihmisiä, joilla ei ole aiempaa WebXNUMX-kokemusta. 

Jos olet kiinnostunut kokeilemaan Ambire Walletia, mene osoitteeseen https://www.ambire.com/ ja luo tilisi alle minuutissa.

Lähde: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password