Tech

Viitorul conectărilor Web3 este... E-mail și parolă?! 

02/04/2022
Știri Bitcoin Ethereum

De Ivan Manchev, Manager de Comunicații la Ambire

Una dintre provocările înainte de adoptarea pe scară largă a cripto și DeFi este gestionarea cheilor. În mod surprinzător, conceptul web2 de conectare prin e-mail îl poate rezolva – chiar și într-un mod fără custodie.

Despre fraze semințe

  1. Singur 2. Strălucire 3. Puritate 4. Interior 5. Mincinos 6. Sârmă. …. ???

Îți amintești prima dată când ți s-a cerut să scrii o frază de bază? Poate ai fost confuz: 

  • De ce să scrieți asta pe hârtie în loc să-l lipiți în Notes?
  • Va trebui să scrieți toate aceste lucruri pentru a vă „conecta” la aplicațiile Web3 de fiecare dată?
  • Puteți schimba acele cuvinte cu altele mai familiare?
  • Uf, nu pot să ceară doar o parolă sau ceva?

Frazele semințe nu sunt chiar atât de rele, dar arată foarte ciudat dacă nu ai idee cum funcționează criptografia. Și majoritatea oamenilor nu au idee cum funcționează criptografia. 

În acest moment, 99% dintre utilizatorii începători Web3 au experiență Web2, rezultată din anii de utilizare a e-mailului/parola ca autentificare pentru conturi și aplicații. Și în timp ce companiile cripto și portofelele fac tot posibilul pentru a educa utilizatorii, confuzia pare să fie inevitabilă și deschide nenumărate oportunități pentru escrocii mereu pândiți. 

Încercați acest experiment – ​​căutați pe Google „Curve” sau „Aave” sau „Uniswap” și atingeți primul rezultat al anunțului. Încercați să vă conectați și veți experimenta cea mai comună înșelătorie de inginerie socială care implică fraze inițiale - site-uri web care imită Metamask și cer utilizatorilor induși în eroare frazele lor de bază. (De fapt, nu face asta – măcar nu-ți scrie fraza de bază, te rog!)

Acest lucru se întâmplă tot timpul și 2021 a fost un exemplu minunat al problemei restante. Odată cu popularitatea în creștere a NFT-urilor, mulți utilizatori noi s-au alăturat petrecerii cripto anul trecut. Unii dintre ei au fost destul de norocoși să cumpere un Bored Ape Yacht Club NFT și să-l vadă că a apreciat de 1000 de ori ca preț... doar pentru a-l fi furat din cauza gestionării proaste a cheilor din portofel.

Imagine

Atunci de ce folosim în continuare fraze de bază în loc de parole?

Din păcate, adresele comune Ethereum sunt deblocate cu o cheie privată - un șir lung de text. Dacă dețineți cheia, puteți face ce doriți cu adresa dvs. Fie vă păstrați cheia într-un fișier și o importați pentru a debloca un portofel, fie folosiți mnemonicii de referință. Nu există nicio modalitate de a introduce o parolă în locul cheii private... 

… Bine, există o cale de fapt, dar cu prețul controlului total asupra portofelului tău. Unele servicii păstrează cheile private pentru utilizatorii lor și îi permit să folosească parole pentru a-și debloca portofelele. Acest lucru permite integrarea, dar încalcă unul dintre principiile de bază ale descentralizării și nu este mult diferit de modul în care funcționează serviciile tradiționale. Serviciul pe care îl utilizați vă poate reduce accesul în orice moment.

Dar dacă ți-aș spune că există de fapt o modalitate de a-ți debloca portofelul cu e-mail și parolă, păstrând în același timp cheia?

Aici vin portofelele inteligente

Portofelele inteligente s-a discutat mult în trecut: este posibil să fi auzit de un concept similar numit „abstracții de cont”. 

Practic, ideea este că fiecare cont Ethereum va fi un contract inteligent, care deschide o mulțime de oportunități de îmbunătățire a cripto UX. În scopul acestui articol, ne vom concentra pe managementul cheilor. 

În loc să folosească o singură cheie criptografică pentru a securiza un cont, portofelele inteligente permit utilizarea mai multor chei folosind anumite reguli. De exemplu, puteți configura un cont care să fie controlat de 2 chei, una dintre ele fiind dispozitivul dvs. mobil și cealaltă portofelul dvs. hardware Trezor, dispozitivul mobil având permisiuni limitate și cheltuieli zilnice, în timp ce Trezor este nelimitat. Sau puteți configura așa-numita recuperare socială, permițând unui multisig controlat de cei mai apropiați oameni să vă recupereze contul. 

În cuvinte simple, portofelele inteligente sunt contracte inteligente care pot fi controlate de mai mult de o cheie criptografică – aceasta „descentralizează” accesul la portofel și permite diferite setări în care puteți schimba experiența utilizatorului de conectare.

După cum probabil ați ghicit în acest moment, unul dintre ei folosește e-mailul și parola. 

Cum să construiți un portofel inteligent fără custodie cu înregistrarea e-mailului și a parolei

Știm deja că un portofel smart contract poate fi controlat de două sau mai multe chei. Când am creat Ambire Wallet, am decis să ne bazăm pe această funcție și să activăm înregistrarea prin e-mail/parolă fără a compromite dreptul de proprietate al utilizatorului asupra contului. 

Ambire implementează autentificarea tradițională cu un e-mail și o parolă, cum ar fi aplicațiile Web2. Acest mod de autentificare este fără custodie: funcționează prin intermediul unui multisig cu două chei în lanț. Una dintre chei este stocată în stocarea browserului și este criptată cu parola utilizatorului, iar cealaltă cheie este stocată pe backend-ul nostru printr-un model de securitate hardware (HSM).

Nu puteți accesa fondurile folosind doar una dintre cele două chei, de exemplu dacă sunteți un atacator care a compromis cu succes fie un utilizator (de exemplu, prin malware), fie HSM. 

Cu toate acestea, o procedură de recuperare poate fi începută cu o singură cheie. Procedura de recuperare este o schimbare blocată în timp a uneia dintre cele două chei. Dacă procedura de recuperare a fost neintenționată (de exemplu, inițiată de un atacator), orice alt deținător de cheie o poate anula. Dar dacă a fost inițiat în mod legitim (de exemplu, dacă ați pierdut una dintre cele două chei sau ați uitat parola), puteți doar să așteptați blocarea timpului și veți avea acces înapoi la contul dvs. după aceasta.

Pentru a rezuma, conturile de e-mail/parolă sunt portofele cu semnături multiple, care deblochează:

  • Când sunt furnizate 2 semnături – utilizat în modul normal de operare; sau
  • Când este furnizată 1 semnătură, dar cu cronometru; utilizat pentru recuperarea parolei sau în cazul în care backend-ul Ambire devine indisponibil.

A doua cheie este deblocată în mod normal printr-un cod de confirmare specific (derivat dintr-un hash al) tranzacției, dar pot fi folosite și alte metode de autentificare precum OTP 2FA sau FaceID.

Un avantaj suplimentar al acestui model este că a doua cheie poate aplica reguli de securitate suplimentare, cum ar fi limitele de cheltuieli și verificarea contractelor sau apelurilor rău intenționate (de exemplu, aprobări infinite pentru EOA). Deoarece aceste reguli sunt verificate în afara lanțului de către HSM, ele pot fi ușor modificate sau îmbunătățite. În plus, verificările sofisticate pot fi efectuate fără costuri suplimentare de gaz, permițând utilizarea AI sau ML în viitor.

Dacă sunteți curios să aflați mai multe despre acest lucru, ar trebui să consultați Modelul de securitate Ambire Wallet.

Cum merge

Am lansat Ambire Wallet în decembrie, după două luni de testare rapidă a modelului nostru de securitate. Peste 45,000 de utilizatori s-au înregistrat de atunci și ghici ce – majoritatea conturilor sunt controlate prin e-mail și parolă. În acest moment, lucrăm la lansarea unei versiuni mobile a portofelului pentru iOS și Android în prima jumătate a acestui an. Acesta va fi adevăratul test al modelului de înregistrare e-mail+parolă, deoarece ne așteptăm să atragem oameni care nu au experiență anterioară în Web3. 

Dacă sunteți interesat să încercați Ambire Wallet, mergeți la https://www.ambire.com/ și creează-ți contul în mai puțin de un minut.

Sursa: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password