Tech

Web3 sisselogimiste tulevik on ... e-post ja parool?! 

02/04/2022
Bitcoin Ethereumi uudised

Autor Ivan Manchev, Ambire kommunikatsioonijuht

Üks väljakutseid enne krüpto ja DeFi laiemat kasutuselevõttu on võtmehaldus. Üllataval kombel suudab web2 e-posti sisselogimise kontseptsioon selle lahendada – isegi mitte vangistuslikul viisil.

Seemnefraaside kohta

  1. Üksi 2. Sära 3. Puhtus 4. Sisemine 5. Valetaja 6. Traat. …. ???

Kas mäletate esimest korda, kui teil paluti algfraas üles kirjutada? Võib-olla olite segaduses: 

  • Miks kirjutada see paberile, selle asemel, et see lihtsalt märkmetesse kleepida?
  • Kas peate iga kord Web3 rakendustesse sisselogimiseks kõik need asjad kirjutama?
  • Kas saate muuta need sõnad tuttavamateks?
  • Oh, kas nad ei saa lihtsalt parooli küsida või midagi?

Seemnefraasid pole nii halvad, kuid need näevad väga veidrad välja, kui teil pole aimugi, kuidas krüptograafia töötab. Ja enamikul inimestel pole aimugi, kuidas krüptograafia töötab. 

Praegu on 99% algajatest Web3 kasutajatest Web2 kogemus, mis tuleneb aastatepikkusest meili/parooli kasutamisest kontode ja rakenduste autentimiseks. Ja kuigi krüptofirmad ja rahakotid annavad endast parima, et kasutajaid harida, näib segadus olevat vältimatu ja avab lugematuid võimalusi alati varitsevatele petturitele. 

Lihtsalt proovige seda katset – googeldage "Curve" või "Aave" või "Uniswap" ja klõpsake esimest reklaamitulemust. Proovige ühendust luua ja kogete kõige levinumat sotsiaalse manipuleerimise pettust, mis hõlmab algfraase – veebisaidid, mis jäljendavad Metamaski ja küsivad eksitatud kasutajatelt nende algfraase. (Tegelikult ärge seda tehke – palun ärge kirjutage vähemalt oma algfraasi!)

Seda juhtub kogu aeg ja 2021. aasta oli suurepärane näide lahendamata probleemist. NFT-de populaarsuse kasvuga liitus eelmisel aastal krüptopartiiga palju uusi kasutajaid. Mõnel neist oli õnn osta Bored Ape Yacht Club NFT ja näha, et selle hind on 1000 korda kõrgem... ainult et see varastati rahakoti kehva haldamise tõttu.

pilt

Miks me siis ikkagi kasutame paroolide asemel algfraase?

Kahjuks avatakse tavalised Ethereumi aadressid privaatvõtmega – pika tekstijadaga. Kui olete oma võtme omanik, saate oma aadressiga teha, mida soovite. Kas hoiate oma võtit failis ja impordite selle rahakoti avamiseks või kasutate algfraasi mnemoonikat. Privaatvõtme asemel ei saa kuidagi sisestada parooli... 

…Okei, tegelikult on võimalus, kuid täieliku kontrolli oma rahakoti hinnaga. Mõned teenused hoiavad oma kasutajate privaatvõtmeid ja lubavad neil kasutada rahakoti avamiseks paroole. See võimaldab kaasamist, kuid rikub ühte detsentraliseerimise põhiprintsiipi ja see ei erine palju traditsiooniliste teenuste toimimisest. Teie kasutatav teenus võib teie juurdepääsu igal hetkel katkestada.

Aga mis siis, kui ma ütleksin teile, et tegelikult on olemas viis rahakoti lukust avamiseks e-posti ja parooliga, hoides samal ajal oma võtit?

Siin tulevad targad rahakotid

Nutikate rahakottide üle on varem palju arutatud: võib-olla olete kuulnud sarnasest kontseptsioonist, mida nimetatakse "konto abstraktsioonideks". 

Põhimõtteliselt on idee selles, et iga Ethereumi konto saab olema nutikas leping, mis avab palju võimalusi krüpto-UX täiustamiseks. Selle artikli jaoks keskendume võtmehaldusele. 

Selle asemel, et kasutada konto turvamiseks ainult ühte krüptograafilist võtit, võimaldavad nutikad rahakotid teatud reeglite alusel kasutada mitut võtit. Näiteks saate seadistada konto, mida juhitakse kahe võtmega, millest üks on teie mobiilseade ja teine ​​teie Trezori riistvarakott, kusjuures mobiilseadmel on piiratud õigused ja igapäevased kulutused, samas kui Trezor on piiramatu. Või võite seadistada nn sotsiaalse taastamise, lubades teie lähimate inimeste juhitaval multisigil teie konto taastada. 

Lihtsamalt öeldes on nutikad rahakotid nutikad lepingud, mida saab juhtida rohkem kui ühe krüptovõtmega – see "detsentraliseerib" juurdepääsu rahakotile ja võimaldab erinevaid seadistusi, mille abil saate muuta sisselogimiskasutamise kogemust.

Nagu võisite praegu arvata, kasutab üks neist e-posti ja parooli. 

Kuidas luua vangistuseta nutikas rahakott e-posti ja parooli registreerimisega

Teame juba, et nutikat lepingulist rahakotti saab juhtida kahe või enama võtmega. Ambire Walleti loomisel otsustasime sellele funktsioonile tugineda ja lubada meili/parooli registreerimise, ilma et see kahjustaks kasutaja konto omandiõigust. 

Ambire rakendab traditsioonilist autentimist meili ja parooliga, nagu Web2 rakendused. See autentimisrežiim ei ole vangistuslik: see töötab ahelasisese kahe võtmega multisig-i kaudu. Üks võtmetest on salvestatud brauseri salvestusruumi ja on krüpteeritud kasutaja parooliga ning teine ​​võti on salvestatud meie taustaprogrammi riistvaralise turbemudeli (HSM) kaudu.

Te ei pääse rahale juurde, kasutades ainult ühte kahest võtmest, näiteks kui olete ründaja, kes on kasutaja (nt pahavara kaudu) või HSM-i edukalt ohustanud. 

Taasteprotseduuri saab aga alustada ainult ühe võtmega. Taasteprotseduur on ühe kahest võtmest ajalukuga muutmine. Kui taastamisprotseduur oli tahtmatu (nt ründaja algatatud), võib iga teine ​​võtmeomanik selle tühistada. Kuid kui see algatati seaduslikult (nt kui kaotasite ühe kahest võtmest või unustasite oma parooli), võite lihtsalt oodata ajaluku ja pärast seda saate oma kontole tagasi juurdepääsu.

Kokkuvõtteks võib öelda, et meili-/paroolikontod on mitme allkirjaga rahakotid, mis avavad:

  • Kui antakse 2 allkirja – kasutatakse tavarežiimis; või
  • Kui antakse 1 allkiri, kuid ajalukuga; kasutatakse parooli taastamiseks või juhuks, kui Ambire'i taustaprogramm muutub kättesaamatuks.

Teine võti avatakse tavaliselt tehingule omase (tuletatud räsi) kinnituskoodiga, kuid kasutada saab ka muid autentimismeetodeid, nagu OTP 2FA või FaceID.

Selle mudeli lisaeelis on see, et teine ​​võti võib jõustada täiendavaid turvareegleid, nagu kululimiidid ja pahatahtlike lepingute või kõnede kontrollimine (nt EOA-de lõputud heakskiidud). Kuna HSM kontrollib neid reegleid väljaspool ahelat, saab neid hõlpsasti muuta või täiustada. Lisaks saab keerukaid kontrolle teostada ilma lisatasuta gaasi eest, mis võimaldab tulevikus kasutada tehisintellekti või ML-i.

Kui soovite selle kohta rohkem teada saada, peaksite tutvuma Ambire Walleti turvamudel.

Kuidas sellega läheb

Andsime Ambire Walleti välja detsembris pärast kahekuulist turvamudeli kiiret testimist. Enam kui 45,000 3 kasutajat registreerus kunagi ja arvake ära – enamikku kontosid juhitakse meili ja parooliga. Hetkel töötame selle kallal, et selle aasta esimesel poolel väljastaks rahakoti mobiilne versioon iOS-ile ja Androidile. See on e-posti ja parooli registreerimise mudeli tõeline test, kuna loodame meelitada inimesi, kellel pole varasemat WebXNUMX kogemust. 

Kui olete huvitatud Ambire Walleti proovimisest, minge aadressile https://www.ambire.com/ ja looge oma konto vähem kui minutiga.

Allikas: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password