Web3 логиндерінің болашағы… Электрондық пошта және құпия сөз?! 

Иван Манчев, Ambire компаниясының байланыс менеджері

Криптовалюта мен DeFi-ді кеңінен қолдану алдындағы қиындықтардың бірі - кілттерді басқару. Бір таңқаларлығы, web2 электрондық поштаға кіру тұжырымдамасы оны тіпті қамауда емес жолмен шеше алады.

Тұқымдық тіркестер туралы

1. Жалғыз 2. Жарқырау 3. Тазалық 4. Ішкі 5. Өтірік 6. Сым. …. ???

Тұқымдық сөйлемді жазуды бірінші рет сұрағаныңыз есіңізде ме? Мүмкін сіз шатастырған шығарсыз: 

• Неліктен оны Notes қолданбасына қоюдың орнына қағазға жазу керек?
• Сізге Web3 қолданбаларына әр уақытта «кіру» үшін осының бәрін жазу керек пе?
• Сіз бұл сөздерді көбірек таныс сөздермен өзгерте аласыз ба?
• Уф, олар жай ғана пароль немесе бір нәрсе сұрай алмайды ма?

Тұқымдық фразалар соншалықты жаман емес, бірақ криптография қалай жұмыс істейтінін білмесеңіз, олар өте оғаш көрінеді. Көптеген адамдар криптографияның қалай жұмыс істейтінін білмейді. 

Дәл қазір жаңа Web99 пайдаланушыларының 3%-ы тіркелгілер мен қолданбалар үшін аутентификация ретінде электрондық поштаны/құпия сөзді көп жылдар бойы пайдалану нәтижесінде пайда болған Web2 тәжірибесімен келеді. Криптовалюталық компаниялар мен әмияндар пайдаланушыларды оқыту үшін бар күш-жігерін салып жатқанымен, шатасу сөзсіз болып көрінеді және әрқашан жасырынып жүрген алаяқтар үшін сансыз мүмкіндіктер ашады. 

Тек осы экспериментті қолданып көріңіз – google «Curve» немесе «Aave» немесе «Uniswap» және бірінші Жарнама нәтижесін басыңыз. Қосылып көріңіз, сонда сіз ең көп тараған әлеуметтік инженерлік алаяқтыққа тап боласыз - бұл Metamask-ті еліктейтін веб-сайттар және жаңылыстырған пайдаланушылардан олардың негізгі тіркестерін сұрайды. (Шындығында мұны істемеңіз - кем дегенде, тұқымдық фразаны жазбаңыз, өтінемін!)

Бұл үнемі болып тұрады және 2021 жыл күрделі мәселенің тамаша үлгісі болды. NFTs танымал бола отырып, өткен жылы криптовалюта кешіне көптеген жаңа пайдаланушылар қосылды. Олардың кейбіреулері Bored Ape Yacht Club NFT сатып алу бақытына ие болды және оның бағасын 1000 есе жоғары бағалайтынын көрді... әмиян кілтін дұрыс басқаруға байланысты оны ұрлап алды.

Неліктен біз әлі күнге дейін құпия сөздердің орнына негізгі тіркестерді қолданамыз?

Өкінішке орай, жалпы Ethereum мекенжайлары жеке кілтпен ашылады - мәтіннің ұзақ жолы. Егер сіздің кілтіңіз болса, мекен-жайыңызбен қалағаныңызды жасай аласыз. Сіз кілтіңізді файлда сақтап, оны әмиянның құлпын ашу үшін импорттайсыз немесе негізгі мнемоника фразасын пайдаланасыз. Жеке кілттің орнына құпия сөзді енгізу мүмкін емес… 

…Жарайды, шын мәнінде жол бар, бірақ әмияныңызды толық бақылау құнына. Кейбір қызметтер пайдаланушылары үшін жеке кілттерді сақтайды және әмияндарының құлпын ашу үшін құпия сөздерді пайдалануға мүмкіндік береді. Бұл жұмысқа қосылуға мүмкіндік береді, бірақ орталықсыздандырудың негізгі принциптерінің бірін бұзады және бұл дәстүрлі қызметтердің жұмысынан айтарлықтай ерекшеленбейді. Сіз пайдаланып жатқан қызмет кез келген уақытта қол жеткізуіңізді қысқартуы мүмкін.

Бірақ мен сізге кілтіңізді сақтай отырып, әмияныңызды электрондық пошта мен құпия сөз арқылы ашудың жолы бар екенін айтсам ше?

Міне, ақылды әмияндар

Ақылды әмияндар бұрын көп талқыланды: сіз «шоттың абстракциялары» деп аталатын ұқсас тұжырымдаманы естіген шығарсыз. 

Негізінде идея әрбір Ethereum тіркелгісі крипто UX-ті жақсарту үшін көптеген мүмкіндіктерді ашатын смарт келісімшарт болады. Осы мақаланың мақсаты үшін біз негізгі басқаруға назар аударамыз. 

Тіркелгіні қорғау үшін тек бір криптографиялық кілтті пайдаланудың орнына, смарт әмияндар белгілі ережелерді қолдана отырып, бірнеше кілттерді пайдалануға мүмкіндік береді. Мысалы, сіз 2 пернемен басқарылатын тіркелгіні орнатуға болады, олардың бірі мобильді құрылғыңыз, екіншісі Trezor аппараттық әмияныңыз, мобильді құрылғыда шектеулі рұқсаттар және күнделікті шығындар бар, ал Trezor шектеусіз. Немесе ең жақын адамдарыңыз басқаратын мультисиг жүйесіне тіркелгіңізді қалпына келтіруге рұқсат беру арқылы әлеуметтік қалпына келтіру деп аталатын параметрді орнатуға болады. 

Қарапайым сөзбен айтқанда, смарт әмияндар бірнеше криптографиялық кілтпен басқарылатын смарт келісімшарттар болып табылады – бұл әмиянға қол жеткізуді «орталықсыздандырады» және пайдаланушының кіру тәжірибесін өзгертуге болатын әртүрлі орнатуларға мүмкіндік береді.

Осы сәтте сіз болжағандай, олардың бірі электрондық пошта мен құпия сөзді пайдаланады. 

Электрондық пошта мен құпия сөзді тіркеу арқылы қамауға алынбайтын смарт әмиянды қалай құруға болады

Біз смарт келісімшарт әмиянын екі немесе одан да көп кілттер арқылы басқаруға болатынын білеміз. Ambire Wallet құру кезінде біз осы мүмкіндікке негізделіп, пайдаланушының есептік жазбаға иелік ету құқығын бұзбай электрондық поштаны/құпия сөзді тіркеуді қосуды шештік. 

Ambire дәстүрлі аутентификацияны электрондық поштамен және Web2 қолданбалары сияқты құпия сөзбен жүзеге асырады. Бұл аутентификация режимі қамауда емес: ол тізбектегі екі кілтті мультисиг арқылы жұмыс істейді. Кілттердің бірі браузер жадында сақталады және пайдаланушының құпия сөзімен шифрланады, ал екінші кілт біздің серверде аппараттық қауіпсіздік үлгісі (HSM) арқылы сақталады.

Сіз екі кілттің біреуін ғана пайдаланып, қаражатқа қол жеткізе алмайсыз, мысалы, егер сіз пайдаланушыға (мысалы, зиянды бағдарлама арқылы) немесе HSM-ге сәтті шабуыл жасаған шабуылдаушы болсаңыз. 

Дегенмен, қалпына келтіру процедурасын тек бір кілтпен бастауға болады. Қалпына келтіру процедурасы екі перненің біреуінің уақытша құлыпталған өзгеруі болып табылады. Қалпына келтіру процедурасы күтпеген болса (мысалы, шабуылдаушы бастаған), кез келген басқа кілт ұстаушы одан бас тарта алады. Бірақ ол заңды түрде іске қосылған болса (мысалы, екі кілттің бірін жоғалтып алсаңыз немесе құпия сөзіңізді ұмытып қалсаңыз), уақыт құлпын күте аласыз, содан кейін есептік жазбаңызға қайта кіре аласыз.

Қорытындылай келе, электрондық пошта/құпия сөз тіркелгілері құлпын ашатын көп қолтаңбалы әмияндар болып табылады:

• 2 қолтаңба берілгенде – қалыпты жұмыс режимінде қолданылады; немесе
• 1 қол қойылған кезде, бірақ уақыт құлпы бар; құпия сөзді қалпына келтіру үшін немесе Ambire сервері қолжетімсіз болған жағдайда пайдаланылады.

Екінші кілт әдетте транзакцияға тән (хэштен алынған) растау коды арқылы ашылады, бірақ OTP 2FA немесе FaceID сияқты аутентификацияның басқа әдістерін пайдалануға болады.

Бұл үлгінің қосымша артықшылығы – екінші кілт шығыс шектеулері және зиянды келісім-шарттар мен қоңырауларды тексеру (мысалы, EOA-ға шексіз мақұлдаулар) сияқты қосымша қауіпсіздік ережелерін қолдана алады. Бұл ережелер HSM арқылы тізбектен тыс тексерілгендіктен, оларды оңай өзгертуге немесе жақсартуға болады. Бұдан басқа, күрделі тексерулерді қосымша газ шығынынсыз орындауға болады, бұл болашақта AI немесе ML пайдалануға мүмкіндік береді.

Егер сіз бұл туралы көбірек білгіңіз келсе, оны тексеріңіз Ambire Wallet қауіпсіздік үлгісі.

Бұл қалай жүріп жатыр?

Қауіпсіздік үлгісін екі айлық жылдам сынақтан өткізгеннен кейін желтоқсан айында Ambire Wallet шығардық. 45,000 3-нан астам пайдаланушы бұрыннан тіркелген және нені болжайды - тіркелгілердің көпшілігі электрондық пошта және құпия сөз арқылы басқарылады. Қазіргі уақытта біз осы жылдың бірінші жартыжылдығында iOS және Android үшін әмиянның мобильді нұсқасын шығару бойынша жұмыс істеп жатырмыз. Бұл электрондық пошта+құпия сөзді тіркеу үлгісінің шынайы сынағы болады, өйткені біз бұрын WebXNUMX тәжірибесі жоқ адамдарды тартамыз деп күтеміз. 

Егер сіз Ambire Wallet қолданбасын қолданғыңыз келсе, мына сайтқа барыңыз https://www.ambire.com/ және есептік жазбаңызды бір минуттан аз уақыт ішінде жасаңыз.