Технологија

Будућност Веб3 пријављивања је... Е-пошта и лозинка?! 

02/04/2022
Битцоин Етхереум Невс

Аутор Иван Манчев, менаџер за комуникације у Амбиреу

Један од изазова пре ширег усвајања крипто и ДеФи-ја је управљање кључевима. Изненађујуће је да веб2 концепт пријављивања путем е-поште може то да реши – чак и на начин који није под старатељством.

О семенским фразама

  1. Сам 2. Одсјај 3. Чистоћа 4. Унутрашњи 5. ​​Лажов 6. Жица. …. ???

Да ли се сећате када су вас први пут замолили да запишете почетну фразу? Можда сте били збуњени: 

  • Зашто писати ово на папир уместо да га само лепите у Белешке?
  • Да ли ћете морати да пишете све ове ствари да бисте се сваки пут „пријавили“ на Веб3 апликације?
  • Можете ли да промените те речи у познатије?
  • Уф, зар не могу само да траже лозинку или тако нешто?

Почетне фразе нису тако лоше, али изгледају супер чудно ако немате појма како криптографија функционише. И већина људи нема појма како криптографија функционише. 

Тренутно, 99% Веб3 корисника почетника долази са Веб2 искуством које произилази из година коришћења е-поште/лозинке као аутентификације за налоге и апликације. И док крипто компаније и новчаници дају све од себе да едукују кориснике, чини се да је забуна неизбежна и отвара безброј могућности за преваранте који увек вребају. 

Само испробајте овај експеримент – гоогле „Цурве“ или „Ааве“ или „Унисвап“ и погодите први резултат огласа. Покушајте да се повежете и искусићете најобичнију превару друштвеног инжењеринга која укључује основне фразе – веб локације које опонашају Метамаск и траже од обманутих корисника њихове основне фразе. (Заправо немојте то да радите – барем немојте писати своју почетну фразу, молим вас!)

Ово се стално дешава и 2021. је била сјајан пример нерешеног проблема. Са растућом популарношћу НФТ-а, много нових корисника придружило се крипто забави прошле године. Неки од њих су били довољно срећни да купе Боред Апе Иацхт Цлуб НФТ и виде како цени 1000к по цени… само да би га украли због лошег управљања кључевима новчаника.

Слика

Зашто онда још увек користимо сеед фразе уместо лозинки?

Нажалост, уобичајене Етхереум адресе се откључавају приватним кључем - дугачким низом текста. Ако поседујете свој кључ, можете да радите шта год желите са својом адресом. Или држите свој кључ у датотеци и увезете га да бисте откључали новчаник, или користите мнемонику основног израза. Не постоји начин да се уведе лозинка уместо приватног кључа… 

…У реду, постоји начин заправо, али по цену потпуне контроле над вашим новчаником. Неки сервиси чувају приватне кључеве за своје кориснике и дозвољавају им да користе лозинке за откључавање новчаника. Ово омогућава укључивање, али крши један од основних принципа децентрализације и не разликује се много од начина на који функционишу традиционалне услуге. Услуга коју користите може вам у сваком тренутку прекинути приступ.

Али шта ако вам кажем да заправо постоји начин да откључате новчаник помоћу е-поште и лозинке, а да притом задржите кључ?

Ево паметних новчаника

О паметним новчаницима се доста расправљало у прошлости: можда сте чули за сличан концепт који се зове „апстракције налога“. 

У основи, идеја је да сваки Етхереум налог буде паметан уговор, који отвара много могућности за побољшање крипто УКС-а. За потребе овог чланка фокусираћемо се на управљање кључевима. 

Уместо да користе само један криптографски кључ за обезбеђење налога, паметни новчаници омогућавају коришћење више кључева помоћу одређених правила. На пример, можете да подесите налог да се контролише помоћу 2 кључа, од којих је један ваш мобилни уређај, а други ваш Трезор хардверски новчаник, при чему мобилни уређај има ограничене дозволе и дневну потрошњу, док је Трезор неограничен. Или можете подесити такозвани друштвени опоравак тако што ћете дозволити мултисигн-у који контролишу ваши најближи људи да поврати ваш налог. 

Једноставним речима, паметни новчаници су паметни уговори који се могу контролисати са више од једног криптографског кључа – ово „децентрализује“ приступ новчанику и омогућава различита подешавања у којима можете променити корисничко искуство пријављивања.

Као што сте могли да претпоставите у овом тренутку, један од њих користи е-пошту и лозинку. 

Како да направите паметни новчаник без старатељства са регистрацијом путем е-поште и лозинке

Већ знамо да новчаник паметног уговора може да се контролише са два или више кључева. Када смо креирали Амбире новчаник, одлучили смо да изградимо ову функцију и омогућимо регистрацију путем е-поште/лозинке без угрожавања корисниковог власништва над налогом. 

Амбире имплементира традиционалну аутентификацију помоћу е-поште и лозинке попут Веб2 апликација. Овај режим аутентикације је несадржај: ради преко вишеструког потписа са два кључа на ланцу. Један од кључева је ускладиштен у меморији претраживача и шифрован је корисничком лозинком, а други кључ се чува на нашем бацкенд-у преко хардверског безбедносног модела (ХСМ).

Не можете да приступите средствима користећи само један од два кључа, на пример ако сте нападач који је успешно компромитовао корисника (нпр. путем малвера) или ХСМ. 

Међутим, поступак опоравка се може покренути само са једним кључем. Процедура опоравка је временски закључана промена једног од два кључа. Ако је поступак опоравка био ненамеран (нпр. покренут од стране нападача), било који други власник кључа га може отказати. Али ако је покренут легитимно (нпр. ако сте изгубили један од два кључа или сте заборавили лозинку), можете само да сачекате временску блокаду и након тога ћете поново имати приступ свом налогу.

Да резимирамо, налози е-поште/лозинке су новчаници са више потписа, који откључавају:

  • Када су достављена 2 потписа – користи се у нормалном режиму рада; или
  • Када је достављен 1 потпис, али са временском блокадом; користи се за опоравак лозинке, или у случају да Амбире бацкенд постане недоступан.

Други кључ се обично откључава помоћу кода за потврду који је специфичан за (произведен из хеш) трансакције, али се могу користити и друге методе аутентификације као што су ОТП 2ФА или ФацеИД.

Додатна предност овог модела је да други кључ може да примени додатна безбедносна правила као што су ограничења потрошње и провера злонамерних уговора или позива (нпр. бесконачна одобрења ЕОА-има). Пошто ХСМ проверава та правила ван ланца, могу се лако изменити или побољшати. Штавише, софистициране провере се могу обављати без додатних трошкова гаса, што омогућава коришћење АИ или МЛ у будућности.

Ако сте радознали да сазнате више о овоме, требало би да погледате Безбедносни модел Амбире новчаника.

Како иде

Објавили смо Амбире новчаник у децембру након два месеца брзог тестирања нашег безбедносног модела. Више од 45,000 корисника регистровано је од тада и погодите шта – већина налога се контролише путем е-поште и лозинке. Тренутно радимо на издавању мобилне верзије новчаника за иОС и Андроид у првој половини ове године. Ово ће бити прави тест модела регистрације е-поште+лозинке јер очекујемо да ћемо привући људе који немају претходно искуство са Веб3. 

Ако сте заинтересовани да испробате Амбире новчаник, идите на https://www.ambire.com/ и креирајте свој налог за мање од једног минута.

Извор: хттпс://цриптодаили.цо.ук/2022/02/футуре-веб3-логинс-емаил-пассворд