Tech

Fremtiden for Web3-login er ... e-mail og adgangskode?! 

02/04/2022
Bitcoin Ethereum-nyheder

Af Ivan Manchev, kommunikationschef hos Ambire

En af udfordringerne før en bredere indførelse af krypto og DeFi er nøglestyring. Overraskende nok kan web2-konceptet med e-mail-login løse det – selv på en ikke-frihedsberøvende måde.

Om frøsætninger

  1. Alene 2. Blænding 3. Renhed 4. Indre 5. Løgner 6. Tråd. …. ???

Kan du huske første gang, du blev bedt om at skrive en frøsætning ned? Måske var du forvirret: 

  • Hvorfor skrive dette på papir i stedet for bare at indsætte det i Notes?
  • Skal du skrive alle disse ting for at "logge ind" på Web3-apps hver gang?
  • Kan du ændre disse ord til mere velkendte?
  • Uh, kan de ikke bare bede om et kodeord eller noget?

Frøsætninger er ikke så dårlige, men de ser super underlige ud, hvis du ikke aner, hvordan kryptografi fungerer. Og de fleste mennesker aner ikke, hvordan kryptografi fungerer. 

Lige nu kommer 99 % af nybegyndere Web3-brugere med Web2-erfaring, der stammer fra mange års brug af e-mail/adgangskode som godkendelse til konti og apps. Og mens kryptovirksomheder og tegnebøger gør deres bedste for at uddanne brugerne, ser forvirring ud til at være uundgåelig og åbner utallige muligheder for de altid lurende svindlere. 

Bare prøv dette eksperiment – ​​google "Curve" eller "Aave" eller "Uniswap", og tryk på det første annonceresultat. Prøv at oprette forbindelse, og du vil opleve den mest almindelige social engineering fidus, der involverer frøsætninger - websteder, der efterligner Metamask og beder vildledte brugere om deres frøsætninger. (Gør det faktisk ikke - skriv i det mindste ikke din frøsætning, tak!)

Dette sker hele tiden, og 2021 var et fantastisk eksempel på det udestående problem. Med den stigende popularitet af NFT'er sluttede en masse nye brugere sig til kryptofesten sidste år. Nogle af dem var heldige nok til at købe en Bored Ape Yacht Club NFT og se den værdsætte 1000 gange i pris... kun for at få den stjålet på grund af dårlig håndtering af nøgler til pungen.

Billede

Hvorfor bruger vi så stadig frøsætninger i stedet for adgangskoder?

Desværre låses almindelige Ethereum-adresser op med en privat nøgle – en lang tekststreng. Hvis du ejer din nøgle, kan du gøre hvad du vil med din adresse. Du opbevarer enten din nøgle i en fil og importerer den for at låse en tegnebog op, eller du bruger frøsætningen mnemonics. Der er ingen måde at indføre en adgangskode i stedet for den private nøgle... 

…Okay, der er faktisk en måde, men på bekostning af fuld kontrol over din tegnebog. Nogle tjenester opbevarer de private nøgler for deres brugere og lader dem bruge adgangskoder til at låse deres tegnebøger op. Dette muliggør onboarding, men bryder et af decentraliseringens kerneprincipper, og det er ikke meget forskelligt fra, hvordan traditionelle tjenester fungerer. Den tjeneste, du bruger, kan afbryde din adgang på ethvert givet tidspunkt.

Men hvad nu hvis jeg fortalte dig, at der faktisk er en måde at låse din tegnebog op med e-mail og adgangskode, mens du beholder din nøgle?

Her kommer smarte tegnebøger

Smarte tegnebøger er blevet diskuteret meget tidligere: du har måske hørt om et lignende koncept kaldet "kontoabstraktioner". 

Grundlæggende er ideen, at hver Ethereum-konto vil være en smart kontrakt, som åbner en masse muligheder for at forbedre krypto-UX. Til formålet med denne artikel vil vi fokusere på nøglestyring. 

I stedet for kun at bruge én kryptografisk nøgle til at sikre en konto, giver smarte tegnebøger mulighed for at bruge flere nøgler ved hjælp af visse regler. For eksempel kan du oprette en konto, der skal styres af 2 nøgler, hvoraf den ene er din mobilenhed og den anden din Trezor hardware wallet, hvor mobilenheden har begrænsede tilladelser og daglige udgifter, mens Trezor er ubegrænset. Eller du kan konfigurere såkaldt social recovery ved at tillade en multisig styret af dine nærmeste personer at gendanne din konto. 

Med enkle ord er smart wallets smarte kontrakter, der kan styres af mere end én kryptografisk nøgle – dette "decentraliserer" adgangen til tegnebogen og muliggør forskellige opsætninger, hvor du kan ændre login-brugeroplevelsen.

Som du måske har gættet på dette tidspunkt, bruger en af ​​dem e-mail og adgangskode. 

Sådan bygger du en ikke-frihedsberøvende smart pung med e-mail og adgangskoderegistrering

Vi ved allerede, at en smart kontrakt tegnebog kan styres af to eller flere nøgler. Da vi oprettede Ambire Wallet, besluttede vi at bygge videre på denne funktion og aktivere e-mail/adgangskoderegistrering uden at kompromittere brugerens ejerskab af kontoen. 

Ambire implementerer traditionel godkendelse med en e-mail og en adgangskode som Web2-apps. Denne godkendelsestilstand er ikke-depot: den fungerer via en on-chain to-nøgle multisig. En af nøglerne er gemt i browserens lager og er krypteret med brugerens adgangskode, og den anden nøgle gemmes på vores backend via en hardwaresikkerhedsmodel (HSM).

Du kan ikke få adgang til midlerne ved kun at bruge en af ​​de to nøgler, for eksempel hvis du er en angriber, der med succes har kompromitteret enten en bruger (f.eks. via malware) eller HSM. 

En gendannelsesprocedure kan dog kun startes med én nøgle. Gendannelsesproceduren er en tidslåst ændring af en af ​​de to nøgler. Hvis gendannelsesproceduren var utilsigtet (f.eks. initieret af en hacker), kan enhver anden nøgleindehaver annullere den. Men hvis det blev indledt lovligt (f.eks. hvis du har mistet en af ​​de to nøgler, eller du har glemt din adgangskode), kan du bare vente på tidslåsen, og du vil have adgang til din konto tilbage efter dette.

For at opsummere er e-mail-/adgangskodekonti multi-signatur tegnebøger, der låser op:

  • Når 2 signaturer leveres – bruges i normal driftstilstand; eller
  • Når 1 signatur leveres, men med tidslås; bruges til gendannelse af adgangskode, eller hvis Ambire-backend bliver utilgængelig.

Den anden nøgle låses normalt op af en bekræftelseskode, der er specifik for (afledt af en hash af) transaktionen, men andre autentificeringsmetoder såsom OTP 2FA eller FaceID kan bruges.

En yderligere fordel ved denne model er, at den anden nøgle kan håndhæve ekstra sikkerhedsregler såsom forbrugsgrænser og kontrol for ondsindede kontrakter eller opkald (f.eks. uendelige godkendelser til EOA'er). Da disse regler kontrolleres uden for kæden af ​​HSM, kan de nemt ændres eller forbedres. Desuden kan sofistikerede kontroller udføres uden ekstra gasomkostninger, hvilket muliggør brug af AI eller ML i fremtiden.

Hvis du er nysgerrig efter at lære mere om dette, bør du tjekke ud Ambire Wallets sikkerhedsmodel.

Hvordan det går

Vi frigav Ambire Wallet i december efter to måneders hurtige test af vores sikkerhedsmodel. Mere end 45,000 brugere har registreret sig lige siden og gæt hvad - størstedelen af ​​konti styres af e-mail og adgangskode. I øjeblikket arbejder vi på at frigive en mobilversion af tegnebogen til iOS og Android i første halvdel af dette år. Dette vil være den sande test af e-mail+adgangskoderegistreringsmodellen, da vi forventer at tiltrække folk, der ikke har nogen tidligere Web3-erfaring. 

Hvis du er interesseret i at prøve Ambire Wallet, så gå til https://www.ambire.com/ og opret din konto på mindre end et minut.

Kilde: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password