Web3 prisijungimų ateitis yra ... el. paštas ir slaptažodis?! 

Ivanas Manchevas, „Ambire“ komunikacijos vadovas

Vienas iš iššūkių prieš platesnį kriptovaliutų ir DeFi pritaikymą yra raktų valdymas. Nenuostabu, kad web2 prisijungimo el. pašto koncepcija gali tai išspręsti – net ir be laisvės atėmimo.

Apie sėklos frazes

1. Vienišas 2. Akinimas 3. Grynumas 4. Vidinis 5. Melagis 6. Viela. …. ???

Ar prisimeni, kai pirmą kartą buvo paprašyta užsirašyti pradinę frazę? Galbūt jūs buvote sutrikęs: 

• Kodėl rašyti tai ant popieriaus, o ne tiesiog įklijuoti į užrašus?
• Ar jums reikės rašyti visa tai, kad kiekvieną kartą „prisijungtumėte“ prie „Web3“ programų?
• Ar galite pakeisti tuos žodžius į labiau pažįstamus?
• Oi, ar jie negali tiesiog paprašyti slaptažodžio ar pan.?

Pradinės frazės nėra tokios blogos, bet atrodo labai keistai, jei neįsivaizduojate, kaip veikia kriptografija. Ir dauguma žmonių net neįsivaizduoja, kaip veikia kriptografija. 

Šiuo metu 99 % pradedančiųjų Web3 vartotojų naudojasi Web2 patirtimi, kurią daug metų naudoja el. paštas/slaptažodis kaip paskyrų ir programų autentifikavimas. Ir nors kriptovaliutų įmonės ir piniginės deda visas pastangas, kad šviestų vartotojus, panašu, kad painiava neišvengiama ir atveria daugybę galimybių visada tykantiems sukčiams. 

Tiesiog išbandykite šį eksperimentą – google „Curve“ arba „Aave“ arba „Uniswap“ pateikite pirmąjį skelbimo rezultatą. Pabandykite prisijungti ir patirsite dažniausiai pasitaikančią socialinės inžinerijos sukčiavimą, apimantį pradines frazes – svetaines, kurios imituoja „Metamask“ ir prašo suklaidintų vartotojų jų pradinių frazių. (Tiesą sakant, nedarykite to – bent jau nerašykite savo pradinės frazės, prašau!)

Tai vyksta nuolat, o 2021 m. buvo puikus šios problemos pavyzdys. Augant NFT populiarumui, pernai prie kriptovaliutų partijos prisijungė daug naujų vartotojų. Kai kuriems iš jų pasisekė nusipirkti Bored Ape Yacht Club NFT ir pamatyti, kad jis pabrango 1000 kartų... tik buvo pavogtas dėl prasto piniginės raktų valdymo.

Tai kodėl mes vis dar naudojame pradines frazes vietoj slaptažodžių?

Deja, įprasti Ethereum adresai atrakinami privačiu raktu – ilga teksto eilute. Jei jums priklauso raktas, su savo adresu galite daryti ką tik norite. Jūs arba laikote savo raktą faile ir importuojate jį, kad atrakintumėte piniginę, arba naudojate pradinę frazę mnemonika. Vietoj privataus rakto nėra jokio būdo įvesti slaptažodį... 

…Gerai, iš tikrųjų yra būdas, bet už visišką piniginės kontrolę. Kai kurios paslaugos išsaugo privačius raktus savo vartotojams ir leidžia jiems naudoti slaptažodžius piniginėms atrakinti. Tai įgalina įdiegimą, tačiau pažeidžia vieną pagrindinių decentralizacijos principų ir mažai skiriasi nuo tradicinių paslaugų veikimo. Naudojama paslauga gali bet kuriuo metu nutraukti prieigą.

O kas, jei pasakyčiau, kad iš tikrųjų yra būdas atrakinti piniginę naudojant el. paštą ir slaptažodį, išsaugant raktą?

Čia ateina išmaniosios piniginės

Apie išmaniąsias pinigines praeityje buvo daug diskutuojama: galbūt girdėjote apie panašią sąvoką, vadinamą „sąskaitos abstrakcijomis“. 

Iš esmės idėja yra ta, kad kiekviena „Ethereum“ paskyra bus išmanioji sutartis, kuri atveria daug galimybių patobulinti kriptovaliutų UX. Šiame straipsnyje daugiausia dėmesio skirsime raktų valdymui. 

Užuot naudoję tik vieną kriptografinį raktą paskyrai apsaugoti, išmaniosios piniginės leidžia naudoti kelis raktus taikant tam tikras taisykles. Pavyzdžiui, galite nustatyti paskyrą, kuri bus valdoma dviem raktais, iš kurių vienas yra jūsų mobilusis įrenginys, o kitas - jūsų „Trezor“ aparatinės įrangos piniginė, o mobiliojo įrenginio leidimai ir dienos išlaidos yra ribotos, o „Trezor“ yra neribotas. Arba galite nustatyti vadinamąjį socialinį atkūrimą, leisdami artimiausių žmonių kontroliuojamam multisig atkurti jūsų paskyrą. 

Paprastais žodžiais tariant, išmaniosios piniginės yra išmaniosios sutartys, kurias galima valdyti daugiau nei vienu kriptografiniu raktu – tai „decentralizuoja“ prieigą prie piniginės ir įgalina įvairias sąrankas, kuriomis galite keisti prisijungimo vartotojo patirtį.

Kaip galėjote atspėti šiuo metu, vienas iš jų naudoja el. paštą ir slaptažodį. 

Kaip sukurti su laisvės atėmimu nesusijusią išmaniąją piniginę, užsiregistravus el. paštu ir slaptažodžiu

Jau žinome, kad išmaniąją sutartinę piniginę galima valdyti dviem ar daugiau raktų. Kurdami „Ambire“ piniginę nusprendėme remtis šia funkcija ir įgalinti el. pašto / slaptažodžio registraciją nepakenkiant vartotojo nuosavybės teisei į paskyrą. 

„Ambire“ įgyvendina tradicinį autentifikavimą el. paštu ir slaptažodžiu, pvz., „Web2“ programėlėse. Šis autentifikavimo režimas nėra susijęs su laisvės atėmimu: jis veikia per grandinės dviejų klavišų multisig. Vienas iš raktų yra saugomas naršyklės saugykloje ir yra užšifruotas vartotojo slaptažodžiu, o kitas raktas yra saugomas mūsų užpakalinėje sistemoje per aparatinės įrangos saugos modelį (HSM).

Negalite pasiekti lėšų naudodami tik vieną iš dviejų raktų, pavyzdžiui, jei esate užpuolikas, kuris sėkmingai pakenkė vartotojui (pvz., per kenkėjišką programą) arba HSM. 

Tačiau atkūrimo procedūrą galima pradėti tik vienu raktu. Atkūrimo procedūra yra vieno iš dviejų raktų pakeitimas pagal laiką. Jei atkūrimo procedūra buvo neplanuota (pvz., ją inicijavo užpuolikas), bet kuris kitas rakto turėtojas gali ją atšaukti. Bet jei jis buvo inicijuotas teisėtai (pvz., pametėte vieną iš dviejų raktų arba pamiršote slaptažodį), galite tiesiog palaukti laiko užrakto ir po to vėl turėsite prieigą prie savo paskyros.

Apibendrinant galima pasakyti, kad el. pašto / slaptažodžio paskyros yra kelių parašų piniginės, kurios atrakina:

• Kai pateikiami 2 parašai – naudojami įprastu darbo režimu; arba
• Kai pateikiamas 1 parašas, bet su laiko užraktu; naudojamas slaptažodžiui atkurti arba tuo atveju, jei „Ambire“ užpakalinė programa tampa nepasiekiama.

Antrasis raktas paprastai atrakinamas naudojant patvirtinimo kodą, būdingą operacijai (gautą iš maišos), tačiau galima naudoti kitus autentifikavimo metodus, tokius kaip OTP 2FA arba FaceID.

Papildomas šio modelio privalumas yra tas, kad antrasis raktas gali užtikrinti papildomų saugumo taisyklių, pvz., išlaidų limitų ir kenkėjiškų sutarčių ar skambučių tikrinimą (pvz., neribotą EOA patvirtinimą). Kadangi HSM šias taisykles tikrina ne grandinėje, jas galima lengvai pakeisti arba patobulinti. Be to, sudėtingus patikrinimus galima atlikti be papildomų dujų mokesčių, todėl ateityje bus galima naudoti AI arba ML.

Jei norite sužinoti daugiau apie tai, turėtumėte peržiūrėti „Ambire Wallet“ saugos modelis.

Kaip sekasi

Gruodžio mėn. išleidome „Ambire Wallet“ po dviejų mėnesių greito mūsų saugos modelio išbandymo. Nuo seno užsiregistravo daugiau nei 45,000 3 vartotojų ir spėkite ką – dauguma paskyrų valdomos el. paštu ir slaptažodžiu. Šiuo metu dirbame prie mobiliosios piniginės versijos, skirtos iOS ir Android, išleisti pirmąjį šių metų pusmetį. Tai bus tikras el. pašto + slaptažodžio registracijos modelio išbandymas, nes tikimės pritraukti žmonių, kurie neturi ankstesnės WebXNUMX patirties. 

Jei norite išbandyti „Ambire Wallet“, eikite į https://www.ambire.com/ ir susikurkite paskyrą greičiau nei per minutę.