Írta: Ivan Manchev, az Ambire kommunikációs vezetője
A kriptográfia és a DeFi szélesebb körű alkalmazása előtt az egyik kihívás a kulcskezelés. Meglepő módon az e-mail bejelentkezés web2-es koncepciója meg tudja oldani – akár nem őrizetbe vétellel is.
On Seed kifejezések
- Egyedül 2. Tisztaság 3. Tisztaság 4. Belső 5. Hazug 6. Drót. …. ???
Emlékszel az első alkalomra, amikor megkértek, hogy írj le egy mag kifejezést? Talán össze volt zavarodva:
- Miért írja ezt papírra ahelyett, hogy egyszerűen beilleszti a Jegyzetekbe?
- Minden alkalommal meg kell írnia ezeket a dolgokat, hogy „bejelentkezzen” a Web3 alkalmazásokba?
- Meg tudod változtatni ezeket a szavakat ismertebbekre?
- Ugye, nem kérhetnek jelszót vagy ilyesmit?
A kezdő kifejezések nem olyan rosszak, de nagyon furcsán néznek ki, ha fogalmad sincs a kriptográfia működéséről. És a legtöbb embernek fogalma sincs a kriptográfia működéséről.
Jelenleg a kezdő Web99-felhasználók 3%-a rendelkezik web2-es tapasztalattal, ami abból fakad, hogy éveken át e-mailt/jelszót használ fiókok és alkalmazások hitelesítésére. És bár a kriptográfiai cégek és a pénztárcák mindent megtesznek a felhasználók oktatásáért, a zűrzavar elkerülhetetlennek tűnik, és számtalan lehetőséget nyit meg a mindig leselkedő csalók előtt.
Csak próbálja ki ezt a kísérletet – keresse meg a Google „Curve” vagy „Aave” vagy „Uniswap” kifejezést, és nyomja meg az első hirdetési eredményt. Próbáljon meg csatlakozni, és megtapasztalhatja a leggyakoribb social engineering átverést, amely magfrázisokat tartalmaz – a Metamaskot utánzó webhelyek, amelyek a megtévesztett felhasználóktól kérik ki a mag kifejezéseket. (Igazából ezt ne tedd – legalább ne írd le a magmondatodat, kérlek!)
Ez mindig megtörténik, és 2021 nagyszerű példa volt a kiemelkedő problémára. Az NFT-k növekvő népszerűségével tavaly rengeteg új felhasználó csatlakozott a kriptopárthoz. Néhányuknak olyan szerencséje volt, hogy megvásárolt egy Bored Ape Yacht Club NFT-t, és meglátta, hogy az 1000-szeresére nőtt… csak a pénztárcakulcsok rossz kezelése miatt ellopták.
Akkor miért használunk még mindig magmondatokat jelszavak helyett?
Sajnos a gyakori Ethereum-címek zárolása privát kulccsal – egy hosszú szövegsorozattal – feloldható. Ha Ön a kulcsa, bármit megtehet a címével. Vagy tárolja a kulcsát egy fájlban, és importálja azt a pénztárca feloldásához, vagy használja a kezdő kifejezést. Nincs mód arra, hogy jelszót vezessenek be a privát kulcs helyett…
…Rendben, van rá mód, de a pénztárca feletti teljes ellenőrzés árán. Egyes szolgáltatások megőrzik a privát kulcsokat felhasználóik számára, és lehetővé teszik számukra, hogy jelszavakat használjanak pénztárcájuk feloldásához. Ez lehetővé teszi a beépítést, de megszegi a decentralizáció egyik alapelvét, és nem sokban különbözik a hagyományos szolgáltatások működésétől. Az Ön által használt szolgáltatás bármikor megszakíthatja hozzáférését.
De mi lenne, ha azt mondanám, hogy valóban van mód a pénztárcájának feloldására e-mail-címmel és jelszóval, miközben megőrzi a kulcsát?
Jöjjenek az okos pénztárcák
Az intelligens pénztárcákról már korábban is sokat vitatkoztak: talán hallottál már egy hasonló fogalomról, amelyet „számlaabsztrakciónak” neveznek.
Alapvetően az ötlet az, hogy minden Ethereum-fiók egy intelligens szerződés lesz, ami sok lehetőséget nyit a kripto-UX fejlesztésére. Ebben a cikkben a kulcskezelésre fogunk összpontosítani.
Ahelyett, hogy csak egy kriptográfiai kulcsot használnának a fiókok védelmére, az intelligens pénztárcák lehetővé teszik több kulcs használatát bizonyos szabályok szerint. Például beállíthat egy fiókot, amelyet 2 kulccsal vezérelhet, amelyek közül az egyik a mobileszköze, a másik a Trezor hardveres pénztárcája, és a mobileszköz korlátozott jogosultságokkal és napi költéssel rendelkezik, míg a Trezor korlátlan. Vagy beállíthat úgynevezett közösségi helyreállítást úgy, hogy lehetővé teszi a legközelebbi emberei által irányított multisig számára, hogy helyreállítsa fiókját.
Egyszerűen fogalmazva, az intelligens pénztárcák olyan intelligens szerződések, amelyek egynél több kriptográfiai kulccsal vezérelhetők – ez „decentralizálja” a pénztárcához való hozzáférést, és különböző beállításokat tesz lehetővé, amelyekben megváltoztathatja a bejelentkezési felhasználói élményt.
Amint azt ezen a ponton már sejthette, az egyik az e-mailt és a jelszót használja.
Hogyan építsünk fel szabadságvesztés nélküli intelligens pénztárcát e-mail- és jelszóregisztrációval
Azt már tudjuk, hogy egy intelligens szerződéses pénztárca két vagy több kulccsal is vezérelhető. Az Ambire Wallet létrehozásakor úgy döntöttünk, hogy erre a funkcióra építünk, és engedélyezzük az e-mail-/jelszó-regisztrációt anélkül, hogy veszélyeztetnénk a felhasználó fiók tulajdonjogát.
Az Ambire hagyományos hitelesítést valósít meg e-mail-címmel és jelszóval, mint például a Web2-alkalmazások. Ez a hitelesítési mód nem őrizetbe vétel: egy láncon belüli kétkulcsos multisig-en keresztül működik. Az egyik kulcs a böngésző tárolójában van tárolva, és a felhasználó jelszavával titkosítva van, a másik kulcsot pedig hardveres biztonsági modellen (HSM) keresztül a háttérrendszerünkön tároljuk.
Nem férhet hozzá az alapokhoz a két kulcs közül csak az egyik használatával, például ha Ön egy támadó, aki sikeresen feltört egy felhasználót (pl. rosszindulatú programon keresztül), vagy a HSM-et.
A helyreállítási eljárás azonban csak egy kulccsal indítható. A helyreállítási eljárás a két kulcs egyikének időzített megváltoztatása. Ha a helyreállítási eljárás nem szándékos volt (pl. támadó kezdeményezte), bármely más kulcstulajdonos megszakíthatja azt. De ha jogszerűen kezdeményezték (pl. elvesztette a két kulcs egyikét, vagy elfelejtette a jelszavát), akkor csak megvárhatja az időzárat, és ezt követően újra hozzáférhet fiókjához.
Összefoglalva, az e-mail/jelszavas fiókok több aláírású pénztárcák, amelyek feloldják a zárolást:
- Ha 2 aláírás van megadva – normál üzemmódban használatos; vagy
- Ha 1 aláírás van megadva, de időzárral; jelszó-helyreállításra, vagy arra az esetre, ha az Ambire háttérrendszer elérhetetlenné válik.
A második kulcsot általában a tranzakcióra jellemző (a hash-ből származó) megerősítő kód oldja fel, de más hitelesítési módszerek, például az OTP 2FA vagy a FaceID is használhatók.
A modell további előnye, hogy a második kulcs olyan extra biztonsági szabályokat kényszeríthet ki, mint a költési limitek és a rosszindulatú szerződések vagy hívások ellenőrzése (pl. végtelen jóváhagyások az EOA-khoz). Mivel ezeket a szabályokat a HSM a láncon kívül ellenőrzi, könnyen módosíthatók vagy javíthatók. Ezen túlmenően kifinomult ellenőrzések végezhetők extra gázköltség nélkül, lehetővé téve az AI vagy az ML használatát a jövőben.
Ha többet szeretne megtudni erről, nézze meg a Az Ambire Wallet biztonsági modellje.
Hogy megy
Decemberben adtuk ki az Ambire Walletet, miután két hónapig gyorsan teszteltük biztonsági modellünket. Több mint 45,000 3 felhasználó regisztrált valaha, és gondold ki, a legtöbb fiókot e-mail és jelszó szabályozza. Jelenleg azon dolgozunk, hogy ez év első felében kiadjuk a pénztárca mobil verzióját iOS-re és Androidra. Ez lesz az e-mail+jelszó regisztrációs modell igazi próbája, mivel azt várjuk, hogy olyan embereket vonzzon be, akiknek nincs korábbi WebXNUMX-as tapasztalatuk.
Ha szeretné kipróbálni az Ambire Walletet, látogasson el ide https://www.ambire.com/ és kevesebb mint egy perc alatt létrehozhatja fiókját.
Forrás: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password