Tech

Web3 pieteikšanās nākotne ir ... e-pasts un parole?! 

02/04/2022
Bitcoin Ethereum ziņas

Ivans Mančevs, Ambire komunikāciju vadītājs

Viens no izaicinājumiem pirms kriptovalūtu un DeFi plašākas ieviešanas ir atslēgu pārvaldība. Pārsteidzoši, ka web2 e-pasta pieteikšanās koncepcija var to atrisināt – pat ar brīvības atņemšanu nesaistītā veidā.

Par sēklu frāzēm

  1. Vienatnē 2. Atspīdums 3. Tīrība 4. Iekšējais 5. Melis 6. Vads. …. ???

Vai atceraties pirmo reizi, kad jums tika lūgts pierakstīt sēklu frāzi? Varbūt tu biji apmulsis: 

  • Kāpēc to rakstīt uz papīra, nevis vienkārši ielīmēt piezīmēs?
  • Vai jums būs jāraksta visas šīs lietas, lai katru reizi “pieteiktos” Web3 lietotnēs?
  • Vai varat mainīt šos vārdus uz pazīstamākiem?
  • Ak, vai viņi nevar vienkārši lūgt paroli vai kaut ko citu?

Sākotnējās frāzes nav tik sliktas, taču tās izskatās ļoti dīvainas, ja jums nav ne jausmas, kā darbojas kriptogrāfija. Un lielākajai daļai cilvēku nav ne jausmas, kā darbojas kriptogrāfija. 

Pašlaik 99% iesācēju Web3 lietotāju izmanto Web2 pieredzi, kas izriet no gadiem ilgas e-pasta/paroles izmantošanas kontu un lietotņu autentifikācijai. Un, lai gan kriptovalūtu uzņēmumi un maki dara visu iespējamo, lai izglītotu lietotājus, šķiet, ka apjukums ir neizbēgams un paver neskaitāmas iespējas vienmēr slēptajiem krāpniekiem. 

Vienkārši izmēģiniet šo eksperimentu — google “Curve” vai “Aave” vai “Uniswap” un sasniedz pirmo reklāmas rezultātu. Mēģiniet izveidot savienojumu, un jūs pieredzēsit visizplatītāko sociālās inženierijas krāpniecību, kas ietver sākuma frāzes — tīmekļa vietnes, kas atdarina Metamask un pieprasa maldinātiem lietotājiem viņu sākuma frāzes. (Patiesībā nedariet to — lūdzu, vismaz neuzrakstiet savu pamatfrāzi!)

Tas notiek visu laiku, un 2021. gads bija lielisks piemērs šai problēmai. Pieaugot NFT popularitātei, pagājušajā gadā kriptogrāfijas partijai pievienojās daudz jaunu lietotāju. Dažiem no viņiem paveicās iegādāties Bored Ape Yacht Club NFT un redzēt, ka tā cena ir 1000x augstāka... tikai tāpēc, ka tas tika nozagts sliktas maka atslēgu pārvaldības dēļ.

attēls

Tad kāpēc mēs joprojām izmantojam sākuma frāzes, nevis paroles?

Diemžēl izplatītās Ethereum adreses tiek atbloķētas ar privāto atslēgu — garu teksta virkni. Ja jums pieder atslēga, ar savu adresi varat darīt visu, ko vēlaties. Jūs vai nu paturat savu atslēgu failā un importējat to, lai atbloķētu maku, vai arī izmantojat sākuma frāzes mnemoniku. Nav iespējams privātās atslēgas vietā ieviest paroli… 

…Labi, patiesībā ir veids, taču tas maksā pilnīgu kontroli pār savu maku. Daži pakalpojumi saglabā privātās atslēgas saviem lietotājiem un ļauj viņiem izmantot paroles, lai atbloķētu savus makus. Tas nodrošina iekļaušanu, bet pārkāpj vienu no decentralizācijas pamatprincipiem, un tas daudz neatšķiras no tradicionālo pakalpojumu darbības veida. Pakalpojums, kuru izmantojat, jebkurā brīdī var pārtraukt jūsu piekļuvi.

Bet kā būtu, ja es jums pateiktu, ka faktiski ir veids, kā atbloķēt savu maku, izmantojot e-pastu un paroli, vienlaikus saglabājot atslēgu?

Šeit nāk viedie maki

Viedie maki iepriekš ir daudz apspriesti: iespējams, esat dzirdējuši par līdzīgu jēdzienu, ko sauc par “konta abstrakcijām”. 

Būtībā ideja ir tāda, ka katrs Ethereum konts būs viedais līgums, kas paver daudz iespēju uzlabot kriptogrāfiju UX. Šajā rakstā mēs koncentrēsimies uz atslēgu pārvaldību. 

Tā vietā, lai konta aizsardzībai izmantotu tikai vienu kriptogrāfisko atslēgu, viedie maki ļauj izmantot vairākas atslēgas, izmantojot noteiktus noteikumus. Piemēram, varat iestatīt kontu, lai to vadītu ar 2 atslēgām, no kurām viena ir jūsu mobilā ierīce, bet otra — jūsu Trezor aparatūras maciņš, mobilajai ierīcei ir ierobežotas atļaujas un ikdienas tēriņi, savukārt Trezor ir neierobežoti. Vai arī varat iestatīt tā saukto sociālo atkopšanu, ļaujot multisig, ko kontrolē jūsu tuvākie cilvēki, atgūt jūsu kontu. 

Vienkāršiem vārdiem sakot, viedie maki ir viedie līgumi, kurus var kontrolēt ar vairāk nekā vienu kriptogrāfisko atslēgu – tas “decentralizē” piekļuvi makam un ļauj veikt dažādus iestatījumus, kuros var mainīt pieteikšanās lietotāja pieredzi.

Kā jūs varētu uzminēt šajā brīdī, viens no tiem izmanto e-pastu un paroli. 

Kā izveidot ar brīvības atņemšanu nesaistītu viedo maku ar e-pasta un paroles reģistrāciju

Mēs jau zinām, ka viedo līgumu maku var vadīt ar divām vai vairākām atslēgām. Veidojot Ambire Wallet, mēs nolēmām izmantot šo funkciju un iespējot e-pasta/paroles reģistrāciju, neapdraudot lietotāja īpašumtiesības uz kontu. 

Ambire ievieš tradicionālo autentifikāciju ar e-pastu un paroli, piemēram, Web2 lietotnēm. Šis autentifikācijas režīms nav saistīts ar brīvības atņemšanu: tas darbojas, izmantojot ķēdes divu taustiņu multisig. Viena no atslēgām tiek glabāta pārlūkprogrammas krātuvē un ir šifrēta ar lietotāja paroli, bet otra atslēga tiek glabāta mūsu aizmugursistēmā, izmantojot aparatūras drošības modeli (HSM).

Jūs nevarat piekļūt līdzekļiem, izmantojot tikai vienu no divām atslēgām, piemēram, ja esat uzbrucējs, kurš veiksmīgi uzlauzis lietotāju (piemēram, izmantojot ļaunprātīgu programmatūru) vai HSM. 

Tomēr atkopšanas procedūru var sākt tikai ar vienu atslēgu. Atkopšanas procedūra ir vienas no divām atslēgām ar laika bloķēšanu. Ja atkopšanas procedūra bija neparedzēta (piemēram, to ierosināja uzbrucējs), jebkurš cits atslēgas turētājs var to atcelt. Bet, ja tas tika uzsākts likumīgi (piemēram, ja esat pazaudējis vienu no divām atslēgām vai aizmirsāt paroli), varat vienkārši gaidīt laika bloķēšanu, un pēc tam atkal varēsit piekļūt savam kontam.

Rezumējot, e-pasta/paroles konti ir maki ar vairākiem parakstiem, kas atbloķē:

  • Kad tiek piegādāti 2 paraksti – tiek lietots normālā darba režīmā; vai
  • Kad tiek piegādāts 1 paraksts, bet ar laika bloķēšanu; izmanto paroles atkopšanai vai gadījumā, ja Ambire aizmugursistēma kļūst nepieejama.

Otrā atslēga parasti tiek atbloķēta ar apstiprinājuma kodu, kas ir raksturīgs darījumam (kas iegūts no jaukšanas), taču var izmantot arī citas autentifikācijas metodes, piemēram, OTP 2FA vai FaceID.

Šī modeļa papildu priekšrocība ir tā, ka otrā atslēga var ieviest papildu drošības noteikumus, piemēram, tēriņu ierobežojumus un ļaunprātīgu līgumu vai zvanu pārbaudi (piemēram, bezgalīgus apstiprinājumus EOA). Tā kā HSM šos noteikumus pārbauda ārpus ķēdes, tos var viegli mainīt vai uzlabot. Turklāt sarežģītas pārbaudes var veikt bez papildu maksas par gāzi, ļaujot nākotnē izmantot AI vai ML.

Ja vēlaties uzzināt vairāk par šo, jums vajadzētu pārbaudīt Ambire Wallet drošības modelis.

Kā iet

Mēs izlaidām Ambire Wallet decembrī pēc divu mēnešu ātras mūsu drošības modeļa testēšanas. Vairāk nekā 45,000 3 lietotāju ir reģistrējušies kādreiz un uzminiet, vairums kontu tiek kontrolēti, izmantojot e-pastu un paroli. Šobrīd mēs strādājam pie mobilā maka versijas izlaišanas iOS un Android ierīcēm šī gada pirmajā pusē. Šis būs īsts e-pasta un paroles reģistrācijas modeļa tests, jo mēs ceram piesaistīt cilvēkus, kuriem nav iepriekšējas WebXNUMX pieredzes. 

Ja vēlaties izmēģināt Ambire Wallet, dodieties uz https://www.ambire.com/ un izveidojiet savu kontu mazāk nekā minūtes laikā.

Avots: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password