Tech

Budućnost Web3 prijava je… E-pošta i lozinka?! 

02/04/2022
Bitcoin Ethereum vijesti

Autor Ivan Manchev, menadžer komunikacija u Ambireu

Jedan od izazova prije šireg usvajanja kripto i DeFi-ja je upravljanje ključevima. Iznenađujuće je da web2 koncept prijave putem e-pošte može to riješiti – čak i na način koji nije pod nadzorom.

O semenskim frazama

  1. Sam 2. Odsjaj 3. Čistoća 4. Unutrašnji 5. Lažov 6. Žica. …. ???

Sjećate li se kada su vas prvi put zamolili da zapišete početnu frazu? Možda ste bili zbunjeni: 

  • Zašto pisati ovo na papir umjesto da ga samo zalijepite u Notes?
  • Da li ćete morati da pišete sve ove stvari da biste se svaki put „prijavili“ na Web3 aplikacije?
  • Možete li promijeniti te riječi u poznatije?
  • Uf, zar ne mogu samo tražiti lozinku ili tako nešto?

Početne fraze nisu tako loše, ali izgledaju super čudno ako nemate pojma kako kriptografija funkcionira. I većina ljudi nema pojma kako kriptografija funkcionira. 

Trenutno, 99% Web3 korisnika početnika dolazi s Web2 iskustvom koje proizlazi iz godina korištenja e-pošte/lozinke kao provjere autentičnosti za račune i aplikacije. I dok kripto kompanije i novčanici daju sve od sebe da educiraju korisnike, čini se da je zabuna neizbježna i otvara bezbroj mogućnosti za prevarante koji uvijek vrebaju. 

Samo isprobajte ovaj eksperiment – ​​google “Curve” ili “Aave” ili “Uniswap” i pogodite prvi rezultat oglasa. Pokušajte se povezati i iskusit ćete najčešću prevaru društvenog inženjeringa koja uključuje osnovne fraze – web stranice koje oponašaju Metamask i traže od zavedenih korisnika njihove osnovne fraze. (Zapravo nemojte to da radite – barem nemojte pisati svoju početnu frazu, molim vas!)

Ovo se stalno događa i 2021. je bila sjajan primjer neriješenog problema. Uz rastuću popularnost NFT-a, mnogo novih korisnika pridružilo se kripto zabavi prošle godine. Neki od njih su bili dovoljno sretni da kupe Bored Ape Yacht Club NFT i vide kako cijeni 1000x po cijeni… samo da su ga ukrali zbog lošeg upravljanja ključevima novčanika.

slika

Zašto onda još uvijek koristimo seed fraze umjesto lozinki?

Nažalost, uobičajene Ethereum adrese se otključavaju privatnim ključem – dugačkim nizom teksta. Ako posjedujete svoj ključ, možete raditi šta god želite sa svojom adresom. Ili držite svoj ključ u datoteci i uvezete ga da biste otključali novčanik, ili koristite mnemoniku osnovnog izraza. Ne postoji način da se umjesto privatnog ključa unese lozinka… 

…U redu, postoji način zapravo, ali po cijenu pune kontrole nad vašim novčanikom. Neki servisi čuvaju privatne ključeve za svoje korisnike i dozvoljavaju im da koriste lozinke za otključavanje novčanika. Ovo omogućava onboarding, ali krši jedan od osnovnih principa decentralizacije i ne razlikuje se mnogo od načina na koji tradicionalne usluge funkcionišu. Usluga koju koristite može smanjiti vaš pristup u bilo kojem trenutku.

Ali šta ako vam kažem da zapravo postoji način da otključate novčanik pomoću e-pošte i lozinke, a da pritom zadržite ključ?

Evo pametnih novčanika

O pametnim novčanicima se dosta raspravljalo u prošlosti: možda ste čuli za sličan koncept koji se zove „apstrakcije naloga“. 

U osnovi ideja je da svaki Ethereum račun bude pametan ugovor, što otvara mnogo mogućnosti za poboljšanje kripto UX-a. Za potrebe ovog članka fokusirat ćemo se na upravljanje ključevima. 

Umjesto da koriste samo jedan kriptografski ključ za osiguranje računa, pametni novčanici omogućavaju korištenje više ključeva uz korištenje određenih pravila. Na primjer, možete postaviti račun koji će se kontrolirati pomoću 2 ključa, od kojih je jedan vaš mobilni uređaj, a drugi vaš Trezor hardverski novčanik, s tim da mobilni uređaj ima ograničene dozvole i dnevnu potrošnju, dok je Trezor neograničen. Ili možete postaviti takozvani društveni oporavak tako što ćete dozvoliti multisignu koji kontroliraju vaši najbliži ljudi da povrati vaš račun. 

Jednostavnim riječima, pametni novčanici su pametni ugovori koji se mogu kontrolirati s više od jednog kriptografskog ključa – ovo „decentralizira“ pristup novčaniku i omogućava različite postavke u kojima možete promijeniti korisničko iskustvo prijave.

Kao što ste u ovom trenutku mogli pretpostaviti, jedan od njih koristi e-poštu i lozinku. 

Kako napraviti pametni novčanik bez skrbništva s registracijom putem e-pošte i lozinke

Već znamo da se novčanikom pametnog ugovora može kontrolirati dva ili više ključeva. Prilikom kreiranja Ambire novčanika, odlučili smo da se nadovežemo na ovu funkciju i omogućimo registraciju e-pošte/lozinke bez ugrožavanja korisnikovog vlasništva nad računom. 

Ambire implementira tradicionalnu autentifikaciju putem e-pošte i lozinke poput Web2 aplikacija. Ovaj način provjere autentičnosti nije skrbnički: radi preko višeznačnog potpisa s dva ključa na lancu. Jedan od ključeva je pohranjen u memoriji pretraživača i šifriran je korisničkom lozinkom, a drugi ključ je pohranjen na našem backendu preko hardverskog sigurnosnog modela (HSM).

Ne možete pristupiti sredstvima koristeći samo jedan od dva ključa, na primjer ako ste napadač koji je uspješno kompromitovao korisnika (npr. putem zlonamjernog softvera) ili HSM. 

Međutim, postupak oporavka može se pokrenuti samo s jednim ključem. Procedura oporavka je vremenski zaključana promjena jednog od dva ključa. Ako je postupak oporavka bio nenamjeran (npr. pokrenut od strane napadača), bilo koji drugi vlasnik ključa ga može otkazati. Ali ako je pokrenut legitimno (npr. ako ste izgubili jedan od dva ključa ili ste zaboravili lozinku), možete samo sačekati vremensku blokadu i nakon toga ćete ponovo imati pristup svom računu.

Da rezimiramo, računi e-pošte/lozinke su novčanici s više potpisa, koji otključavaju:

  • Kada su dostavljena 2 potpisa – koristi se u normalnom načinu rada; ili
  • Kada je dostavljen 1 potpis, ali sa timelockom; koristi se za oporavak lozinke, ili u slučaju da Ambire backend postane nedostupan.

Drugi ključ se obično otključava potvrdnim kodom koji je specifičan za (izveden iz heša) transakcije, ali se mogu koristiti i druge metode provjere autentičnosti kao što su OTP 2FA ili FaceID.

Dodatna prednost ovog modela je ta što drugi ključ može nametnuti dodatna sigurnosna pravila kao što su ograničenja potrošnje i provjera zlonamjernih ugovora ili poziva (npr. beskonačna odobrenja EOA-ima). Pošto HSM provjerava ta pravila izvan lanca, mogu se lako modificirati ili poboljšati. Štaviše, sofisticirane provjere se mogu izvoditi bez dodatnih troškova za plin, što omogućava korištenje AI ili ML u budućnosti.

Ako ste radoznali da saznate više o ovome, trebali biste pogledati Sigurnosni model Ambire Wallet-a.

Kako ide

Objavili smo Ambire Wallet u decembru nakon dva mjeseca brzog testiranja našeg sigurnosnog modela. Više od 45,000 korisnika registrovano je od tada i pogodite šta – većina naloga se kontroliše putem e-pošte i lozinke. Trenutno radimo na izdavanju mobilne verzije novčanika za iOS i Android u prvoj polovini ove godine. Ovo će biti pravi test modela registracije putem e-pošte i lozinke jer očekujemo da ćemo privući ljude koji nemaju prethodno iskustvo sa Web3. 

Ako ste zainteresovani da isprobate Ambire novčanik, idite na https://www.ambire.com/ i kreirajte svoj račun za manje od minute.

Izvor: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password