Prihodnost prijav v Web3 je ... E-pošta in geslo?! 

Avtor Ivan Manchev, vodja komunikacij pri Ambireju

Eden od izzivov pred širšo uporabo kripto in DeFi je upravljanje ključev. Presenetljivo je, da lahko koncept web2 prijave po e-pošti to reši – tudi na način, ki ni skrbniški.

O semenskih frazah

1. Sam 2. Bleščanje 3. Čistost 4. Notranje 5. Lažnivec 6. Žica. …. ???

Se spomnite, ko so vas prvič prosili, da zapišete osnovni stavek? Morda ste bili zmedeni: 

• Zakaj bi to napisali na papir, namesto da bi ga samo prilepili v Notes?
• Ali boste morali vse te stvari napisati, da se vsakič "prijavite" v aplikacije Web3?
• Ali lahko te besede spremenite v bolj znane?
• Uf, ali ne morejo kar vprašati za geslo ali kaj podobnega?

Seed fraze niso tako slabe, vendar izgledajo zelo čudno, če nimate pojma, kako deluje kriptografija. In večina ljudi nima pojma, kako deluje kriptografija. 

Trenutno ima 99 % novih uporabnikov Web3 izkušnjo Web2, ki izhaja iz dolgoletne uporabe e-pošte/gesla kot preverjanja pristnosti za račune in aplikacije. In medtem ko se kriptopodjetja in denarnice po svojih najboljših močeh trudijo izobraževati uporabnike, se zdi, da je zmeda neizogibna in odpira nešteto priložnosti za vedno preživljene prevarante. 

Preizkusite ta poskus – poiščite v Googlu »Curve« ali »Aave« ali »Uniswap« in pritisnite prvi rezultat oglasa. Poskusite se povezati in doživeli boste najpogostejšo prevaro socialnega inženiringa, ki vključuje osnovne fraze – spletna mesta, ki posnemajo Metamask in sprašujejo zavedene uporabnike za njihove osnovne fraze. (Pravzaprav ne počnite tega – vsaj ne pišite svoje osnovne fraze, prosim!)

To se dogaja ves čas in leto 2021 je bilo izjemen primer izjemne težave. Z naraščajočo priljubljenostjo NFT-jev se je lani kripto zabavi pridružilo veliko novih uporabnikov. Nekateri od njih so imeli srečo, da so kupili Bored Ape Yacht Club NFT in videli, da je cena 1000-krat cenjena ... samo da so ga ukradli zaradi slabega upravljanja ključev denarnice.

Zakaj potem še vedno uporabljamo semenske fraze namesto gesel?

Na žalost so običajni naslovi Ethereum odklenjeni z zasebnim ključem – dolgim ​​nizom besedila. Če imate svoj ključ, lahko s svojim naslovom počnete, kar želite. Svoj ključ hranite v datoteki in ga uvozite, da odklenete denarnico, ali pa uporabite mnemoniko začetne fraze. Ne morete vnesti gesla namesto zasebnega ključa ... 

…V redu, dejansko obstaja način, vendar za ceno popolnega nadzora nad vašo denarnico. Nekatere storitve hranijo zasebne ključe za svoje uporabnike in jim omogočajo uporabo gesel za odklepanje denarnice. To omogoča vključitev, vendar krši eno od temeljnih načel decentralizacije in se ne razlikuje veliko od delovanja tradicionalnih storitev. Storitev, ki jo uporabljate, vam lahko v danem trenutku prekine dostop.

Kaj pa, če bi vam povedal, da dejansko obstaja način za odklepanje denarnice z e-pošto in geslom, pri tem pa obdržite svoj ključ?

Tu so pametne denarnice

O pametnih denarnicah se je v preteklosti veliko razpravljalo: morda ste že slišali za podoben koncept, imenovan »abstrakcije računa«. 

V bistvu je ideja, da bo vsak račun Ethereum pametna pogodba, ki odpira veliko priložnosti za izboljšanje kripto UX. Za namen tega članka se bomo osredotočili na upravljanje s ključi. 

Namesto da bi za zaščito računa uporabili samo en kriptografski ključ, pametne denarnice omogočajo uporabo več ključev z uporabo določenih pravil. Na primer, lahko nastavite račun, ki ga upravljate z dvema ključema, eden od njih je vaša mobilna naprava, drugi pa strojna denarnica Trezor, pri čemer ima mobilna naprava omejena dovoljenja in dnevno porabo, medtem ko je Trezor neomejen. Lahko pa nastavite tako imenovano socialno okrevanje, tako da omogočite multipodpisu, ki ga nadzorujejo vaši najbližji, da obnovi vaš račun. 

Preprosto povedano, pametne denarnice so pametne pogodbe, ki jih je mogoče nadzorovati z več kot enim kriptografskim ključem – to »decentralizira« dostop do denarnice in omogoča različne nastavitve, v katerih lahko spremenite uporabniško izkušnjo prijave.

Kot ste morda uganili na tej točki, eden od njih uporablja e-pošto in geslo. 

Kako zgraditi pametno denarnico brez skrbništva z registracijo e-pošte in gesla

Že vemo, da je pametno pogodbeno denarnico mogoče upravljati z dvema ali več ključi. Pri ustvarjanju denarnice Ambire smo se odločili, da bomo nadgradili to funkcijo in omogočili registracijo e-pošte/gesla, ne da bi pri tem ogrozili uporabnikovo lastništvo računa. 

Ambire izvaja tradicionalno preverjanje pristnosti z e-pošto in geslom, kot so aplikacije Web2. Ta način preverjanja pristnosti ni skrbniški: deluje prek verige z več podpisom z dvema ključema. Eden od ključev je shranjen v pomnilniku brskalnika in je šifriran z uporabniškim geslom, drugi ključ pa je shranjen na našem ozadju prek strojnega varnostnega modela (HSM).

Do sredstev ne morete dostopati samo z enim od dveh ključev, na primer, če ste napadalec, ki je uspešno ogrozil uporabnika (npr. prek zlonamerne programske opreme) ali HSM. 

Vendar se lahko postopek obnovitve začne samo z enim ključem. Postopek obnovitve je časovno zaklenjena sprememba enega od dveh ključev. Če je bil postopek izterjave nenameren (npr. sprožen s strani napadalca), ga lahko prekliče kateri koli drug imetnik ključa. Če pa je bil sprožen zakonito (npr. če ste izgubili enega od dveh ključev ali ste pozabili geslo), lahko samo počakate na časovno zaklepanje in po tem boste imeli nazaj dostop do svojega računa.

Če povzamemo, računi e-pošte/gesla so denarnice z več podpisi, ki odklenejo:

• Ko sta dobavljena 2 podpisa – uporablja se v normalnem načinu delovanja; oz
• Ko je dobavljen 1 podpis, vendar s časovno ključavnico; uporablja za obnovitev gesla ali v primeru, da zaledna stran Ambire ni na voljo.

Drugi ključ se običajno odklene s potrditveno kodo, ki je specifična za (izpeljano iz zgoščene vrednosti) transakcije, vendar je mogoče uporabiti druge metode preverjanja pristnosti, kot sta OTP 2FA ali FaceID.

Dodatna prednost tega modela je, da lahko drugi ključ uveljavi dodatna varnostna pravila, kot so omejitve porabe in preverjanje zlonamernih pogodb ali klicev (npr. neskončne odobritve EOA). Ker HSM ta pravila preverja zunaj verige, jih je mogoče enostavno spremeniti ali izboljšati. Poleg tega je mogoče brez dodatnih stroškov za plin izvajati sofisticirane preglede, kar omogoča uporabo AI ali ML v prihodnosti.

Če vas zanima več o tem, si oglejte Varnostni model Ambire Wallet.

Kako gre

Ambire Wallet smo izdali decembra po dveh mesecih hitrega testiranja našega varnostnega modela. Več kot 45,000 uporabnikov se je od nekdaj registriralo in uganite kaj – večina računov je nadzorovana z e-pošto in geslom. Trenutno delamo na izdaji mobilne različice denarnice za iOS in Android v prvi polovici letošnjega leta. To bo pravi preizkus modela registracije e-pošta+geslo, saj pričakujemo, da bomo pritegnili ljudi, ki še nimajo izkušenj s Web3. 

Če vas zanima poskusiti denarnico Ambire, pojdite na https://www.ambire.com/ in ustvarite svoj račun v manj kot minuti.