A Web3 bejelentkezés jövője… E-mail és jelszó?! 

Írta: Ivan Manchev, az Ambire kommunikációs vezetője

A kriptográfia és a DeFi szélesebb körű alkalmazása előtt az egyik kihívás a kulcskezelés. Meglepő módon az e-mail bejelentkezés web2-es koncepciója meg tudja oldani – akár nem őrizetbe vétellel is.

On Seed kifejezések

1. Egyedül 2. Tisztaság 3. Tisztaság 4. Belső 5. Hazug 6. Drót. …. ???

Emlékszel az első alkalomra, amikor megkértek, hogy írj le egy mag kifejezést? Talán össze volt zavarodva: 

• Miért írja ezt papírra ahelyett, hogy egyszerűen beilleszti a Jegyzetekbe?
• Minden alkalommal meg kell írnia ezeket a dolgokat, hogy „bejelentkezzen” a Web3 alkalmazásokba?
• Meg tudod változtatni ezeket a szavakat ismertebbekre?
• Ugye, nem kérhetnek jelszót vagy ilyesmit?

A kezdő kifejezések nem olyan rosszak, de nagyon furcsán néznek ki, ha fogalmad sincs a kriptográfia működéséről. És a legtöbb embernek fogalma sincs a kriptográfia működéséről. 

Jelenleg a kezdő Web99-felhasználók 3%-a rendelkezik web2-es tapasztalattal, ami abból fakad, hogy éveken át e-mailt/jelszót használ fiókok és alkalmazások hitelesítésére. És bár a kriptográfiai cégek és a pénztárcák mindent megtesznek a felhasználók oktatásáért, a zűrzavar elkerülhetetlennek tűnik, és számtalan lehetőséget nyit meg a mindig leselkedő csalók előtt. 

Csak próbálja ki ezt a kísérletet – keresse meg a Google „Curve” vagy „Aave” vagy „Uniswap” kifejezést, és nyomja meg az első hirdetési eredményt. Próbáljon meg csatlakozni, és megtapasztalhatja a leggyakoribb social engineering átverést, amely magfrázisokat tartalmaz – a Metamaskot utánzó webhelyek, amelyek a megtévesztett felhasználóktól kérik ki a mag kifejezéseket. (Igazából ezt ne tedd – legalább ne írd le a magmondatodat, kérlek!)

Ez mindig megtörténik, és 2021 nagyszerű példa volt a kiemelkedő problémára. Az NFT-k növekvő népszerűségével tavaly rengeteg új felhasználó csatlakozott a kriptopárthoz. Néhányuknak olyan szerencséje volt, hogy megvásárolt egy Bored Ape Yacht Club NFT-t, és meglátta, hogy az 1000-szeresére nőtt… csak a pénztárcakulcsok rossz kezelése miatt ellopták.

Akkor miért használunk még mindig magmondatokat jelszavak helyett?

Sajnos a gyakori Ethereum-címek zárolása privát kulccsal – egy hosszú szövegsorozattal – feloldható. Ha Ön a kulcsa, bármit megtehet a címével. Vagy tárolja a kulcsát egy fájlban, és importálja azt a pénztárca feloldásához, vagy használja a kezdő kifejezést. Nincs mód arra, hogy jelszót vezessenek be a privát kulcs helyett… 

…Rendben, van rá mód, de a pénztárca feletti teljes ellenőrzés árán. Egyes szolgáltatások megőrzik a privát kulcsokat felhasználóik számára, és lehetővé teszik számukra, hogy jelszavakat használjanak pénztárcájuk feloldásához. Ez lehetővé teszi a beépítést, de megszegi a decentralizáció egyik alapelvét, és nem sokban különbözik a hagyományos szolgáltatások működésétől. Az Ön által használt szolgáltatás bármikor megszakíthatja hozzáférését.

De mi lenne, ha azt mondanám, hogy valóban van mód a pénztárcájának feloldására e-mail-címmel és jelszóval, miközben megőrzi a kulcsát?

Jöjjenek az okos pénztárcák

Az intelligens pénztárcákról már korábban is sokat vitatkoztak: talán hallottál már egy hasonló fogalomról, amelyet „számlaabsztrakciónak” neveznek. 

Alapvetően az ötlet az, hogy minden Ethereum-fiók egy intelligens szerződés lesz, ami sok lehetőséget nyit a kripto-UX fejlesztésére. Ebben a cikkben a kulcskezelésre fogunk összpontosítani. 

Ahelyett, hogy csak egy kriptográfiai kulcsot használnának a fiókok védelmére, az intelligens pénztárcák lehetővé teszik több kulcs használatát bizonyos szabályok szerint. Például beállíthat egy fiókot, amelyet 2 kulccsal vezérelhet, amelyek közül az egyik a mobileszköze, a másik a Trezor hardveres pénztárcája, és a mobileszköz korlátozott jogosultságokkal és napi költéssel rendelkezik, míg a Trezor korlátlan. Vagy beállíthat úgynevezett közösségi helyreállítást úgy, hogy lehetővé teszi a legközelebbi emberei által irányított multisig számára, hogy helyreállítsa fiókját. 

Egyszerűen fogalmazva, az intelligens pénztárcák olyan intelligens szerződések, amelyek egynél több kriptográfiai kulccsal vezérelhetők – ez „decentralizálja” a pénztárcához való hozzáférést, és különböző beállításokat tesz lehetővé, amelyekben megváltoztathatja a bejelentkezési felhasználói élményt.

Amint azt ezen a ponton már sejthette, az egyik az e-mailt és a jelszót használja. 

Hogyan építsünk fel szabadságvesztés nélküli intelligens pénztárcát e-mail- és jelszóregisztrációval

Azt már tudjuk, hogy egy intelligens szerződéses pénztárca két vagy több kulccsal is vezérelhető. Az Ambire Wallet létrehozásakor úgy döntöttünk, hogy erre a funkcióra építünk, és engedélyezzük az e-mail-/jelszó-regisztrációt anélkül, hogy veszélyeztetnénk a felhasználó fiók tulajdonjogát. 

Az Ambire hagyományos hitelesítést valósít meg e-mail-címmel és jelszóval, mint például a Web2-alkalmazások. Ez a hitelesítési mód nem őrizetbe vétel: egy láncon belüli kétkulcsos multisig-en keresztül működik. Az egyik kulcs a böngésző tárolójában van tárolva, és a felhasználó jelszavával titkosítva van, a másik kulcsot pedig hardveres biztonsági modellen (HSM) keresztül a háttérrendszerünkön tároljuk.

Nem férhet hozzá az alapokhoz a két kulcs közül csak az egyik használatával, például ha Ön egy támadó, aki sikeresen feltört egy felhasználót (pl. rosszindulatú programon keresztül), vagy a HSM-et. 

A helyreállítási eljárás azonban csak egy kulccsal indítható. A helyreállítási eljárás a két kulcs egyikének időzített megváltoztatása. Ha a helyreállítási eljárás nem szándékos volt (pl. támadó kezdeményezte), bármely más kulcstulajdonos megszakíthatja azt. De ha jogszerűen kezdeményezték (pl. elvesztette a két kulcs egyikét, vagy elfelejtette a jelszavát), akkor csak megvárhatja az időzárat, és ezt követően újra hozzáférhet fiókjához.

Összefoglalva, az e-mail/jelszavas fiókok több aláírású pénztárcák, amelyek feloldják a zárolást:

• Ha 2 aláírás van megadva – normál üzemmódban használatos; vagy
• Ha 1 aláírás van megadva, de időzárral; jelszó-helyreállításra, vagy arra az esetre, ha az Ambire háttérrendszer elérhetetlenné válik.

A második kulcsot általában a tranzakcióra jellemző (a hash-ből származó) megerősítő kód oldja fel, de más hitelesítési módszerek, például az OTP 2FA vagy a FaceID is használhatók.

A modell további előnye, hogy a második kulcs olyan extra biztonsági szabályokat kényszeríthet ki, mint a költési limitek és a rosszindulatú szerződések vagy hívások ellenőrzése (pl. végtelen jóváhagyások az EOA-khoz). Mivel ezeket a szabályokat a HSM a láncon kívül ellenőrzi, könnyen módosíthatók vagy javíthatók. Ezen túlmenően kifinomult ellenőrzések végezhetők extra gázköltség nélkül, lehetővé téve az AI vagy az ML használatát a jövőben.

Ha többet szeretne megtudni erről, nézze meg a Az Ambire Wallet biztonsági modellje.

Hogy megy

Decemberben adtuk ki az Ambire Walletet, miután két hónapig gyorsan teszteltük biztonsági modellünket. Több mint 45,000 3 felhasználó regisztrált valaha, és gondold ki, a legtöbb fiókot e-mail és jelszó szabályozza. Jelenleg azon dolgozunk, hogy ez év első felében kiadjuk a pénztárca mobil verzióját iOS-re és Androidra. Ez lesz az e-mail+jelszó regisztrációs modell igazi próbája, mivel azt várjuk, hogy olyan embereket vonzzon be, akiknek nincs korábbi WebXNUMX-as tapasztalatuk. 

Ha szeretné kipróbálni az Ambire Walletet, látogasson el ide https://www.ambire.com/ és kevesebb mint egy perc alatt létrehozhatja fiókját.