โดย Ivan Manchev ผู้จัดการฝ่ายสื่อสารของ Ambire
หนึ่งในความท้าทายก่อนที่จะนำ crypto และ DeFi ไปใช้ในวงกว้างคือการจัดการคีย์ น่าแปลกที่แนวคิดการเข้าสู่ระบบอีเมลของ web2 สามารถแก้ไขได้ แม้จะไม่ใช่วิธีการคุมขังก็ตาม
วลีเมล็ดพันธุ์
- คนเดียว 2. แสงจ้า 3. ความบริสุทธิ์ 4. ภายใน 5. คนโกหก 6. ลวด …. ???
คุณจำครั้งแรกที่คุณถูกขอให้เขียนวลีเมล็ดพันธุ์หรือไม่? บางทีคุณอาจสับสน:
- เหตุใดจึงเขียนสิ่งนี้ลงบนกระดาษแทนที่จะวางลงในบันทึกย่อ
- คุณจะต้องเขียนข้อมูลทั้งหมดนี้เพื่อ "ลงชื่อเข้าใช้" แอป Web3 ทุกครั้งหรือไม่?
- คุณสามารถเปลี่ยนคำเหล่านั้นเป็นคำที่คุ้นเคยได้หรือไม่?
- เอ่อ พวกเขาขอรหัสผ่านหรืออะไรไม่ได้เหรอ
วลีเมล็ดพันธุ์ไม่ได้แย่ขนาดนั้น แต่มันดูแปลกมากหากคุณไม่รู้ว่าการเข้ารหัสทำงานอย่างไร และคนส่วนใหญ่ไม่รู้ว่าการเข้ารหัสทำงานอย่างไร
ปัจจุบัน 99% ของผู้ใช้ Web3 มือใหม่มีประสบการณ์ Web2 อันเนื่องมาจากการใช้อีเมล/รหัสผ่านเป็นการรับรองความถูกต้องสำหรับบัญชีและแอปเป็นเวลาหลายปี และในขณะที่บริษัทเข้ารหัสลับและกระเป๋าเงินกำลังพยายามอย่างเต็มที่เพื่อให้ความรู้แก่ผู้ใช้ ความสับสนดูเหมือนจะหลีกเลี่ยงไม่ได้และเปิดโอกาสมากมายให้กับนักต้มตุ๋นที่ซุ่มซ่อนอยู่เสมอ
เพียงลองใช้การทดสอบนี้ – google “Curve” หรือ “Aave” หรือ “Uniswap” แล้วกดไปที่ผลลัพธ์โฆษณาแรก ลองเชื่อมต่อแล้วคุณจะพบกับกลโกงทางวิศวกรรมสังคมที่พบบ่อยที่สุดที่เกี่ยวข้องกับวลีเริ่มต้น - เว็บไซต์เลียนแบบ Metamask และขอให้ผู้ใช้เข้าใจผิดเกี่ยวกับวลีเริ่มต้น (อย่าทำอย่างนั้นจริงๆ – อย่างน้อยก็อย่าเขียนวลีเริ่มต้นของคุณ ได้โปรด!)
สิ่งนี้เกิดขึ้นตลอดเวลาและปี 2021 เป็นตัวอย่างที่ยอดเยี่ยมของปัญหาที่โดดเด่น ด้วยความนิยมที่เพิ่มขึ้นของ NFTs ผู้ใช้ใหม่จำนวนมากได้เข้าร่วมปาร์ตี้ crypto เมื่อปีที่แล้ว บางคนโชคดีที่ได้ซื้อ Bored Ape Yacht Club NFT และเห็นว่ามีมูลค่าถึง 1000 เท่า… เพียงแต่ถูกขโมยเพราะการจัดการคีย์กระเป๋าเงินไม่ดี
แล้วทำไมเรายังคงใช้ seed phrases แทนรหัสผ่าน?
ขออภัย ที่อยู่ Ethereum ทั่วไปจะปลดล็อกด้วยคีย์ส่วนตัว ซึ่งเป็นข้อความยาวๆ หากคุณเป็นเจ้าของคีย์ คุณสามารถทำอะไรก็ได้ตามต้องการโดยใช้ที่อยู่ของคุณ คุณเก็บรหัสของคุณไว้ในไฟล์และนำเข้าเพื่อปลดล็อกกระเป๋าเงิน หรือใช้ตัวช่วยจำวลีเริ่มต้น ไม่มีทางที่จะแนะนำรหัสผ่านแทนคีย์ส่วนตัว...
…เอาล่ะ มีวิธีหนึ่งจริงๆ แต่ค่าใช้จ่ายในการควบคุมกระเป๋าเงินของคุณอย่างเต็มที่ บริการบางอย่างเก็บคีย์ส่วนตัวไว้สำหรับผู้ใช้และให้พวกเขาใช้รหัสผ่านเพื่อปลดล็อกกระเป๋าเงิน สิ่งนี้ทำให้สามารถออนบอร์ดได้ แต่ทำลายหนึ่งในหลักการสำคัญของการกระจายอำนาจ และไม่แตกต่างจากวิธีการทำงานของบริการแบบเดิมมากนัก บริการที่คุณใช้สามารถตัดการเข้าถึงของคุณได้ทุกเมื่อ
แต่ถ้าฉันบอกคุณว่าจริงๆ แล้วมีวิธีปลดล็อกกระเป๋าเงินของคุณด้วยอีเมลและรหัสผ่านในขณะที่เก็บกุญแจไว้ด้วยล่ะ
มาแล้วกระเป๋าสตางค์อัจฉริยะ
ในอดีต Smart Wallet ได้รับการพูดคุยกันเป็นอย่างมาก: คุณอาจเคยได้ยินแนวคิดที่คล้ายกันที่เรียกว่า "บัญชีที่เป็นนามธรรม"
โดยพื้นฐานแล้วแนวคิดคือบัญชี Ethereum แต่ละบัญชีจะเป็นสัญญาอัจฉริยะ ซึ่งเปิดโอกาสมากมายในการปรับปรุง crypto UX สำหรับวัตถุประสงค์ของบทความนี้ เราจะเน้นที่การจัดการคีย์
แทนที่จะใช้คีย์เข้ารหัสเพียงคีย์เดียวในการรักษาความปลอดภัยบัญชี สมาร์ทวอลเล็ตอนุญาตให้ใช้หลายคีย์โดยใช้กฎเกณฑ์บางอย่าง ตัวอย่างเช่น คุณอาจตั้งค่าบัญชีให้ควบคุมโดย 2 คีย์ โดยหนึ่งในนั้นคืออุปกรณ์มือถือและอีกกระเป๋าฮาร์ดแวร์ Trezor ของคุณ โดยอุปกรณ์มือถือมีสิทธิ์จำกัดและการใช้จ่ายรายวัน ในขณะที่ Trezor ไม่จำกัด หรือคุณอาจตั้งค่าที่เรียกว่าการกู้คืนทางสังคมโดยอนุญาตให้ multisig ที่ควบคุมโดยคนที่อยู่ใกล้ที่สุดของคุณเพื่อกู้คืนบัญชีของคุณ
พูดง่ายๆ ก็คือ สมาร์ทวอลเล็ทเป็นสัญญาอัจฉริยะที่สามารถควบคุมได้ด้วยคีย์เข้ารหัสมากกว่าหนึ่งคีย์ ซึ่ง "กระจายอำนาจ" การเข้าถึงกระเป๋าสตางค์และเปิดใช้งานการตั้งค่าต่างๆ ซึ่งคุณสามารถเปลี่ยนประสบการณ์ผู้ใช้ในการเข้าสู่ระบบได้
อย่างที่คุณอาจเดาได้ในตอนนี้ หนึ่งในนั้นใช้อีเมลและรหัสผ่าน
วิธีสร้างกระเป๋าเงินอัจฉริยะที่ไม่ถูกคุมขังด้วยการลงทะเบียนอีเมลและรหัสผ่าน
เรารู้อยู่แล้วว่าสมาร์ทคอนแทรควอลเล็ตสามารถควบคุมได้ด้วยกุญแจสองดอกขึ้นไป เมื่อสร้าง Ambire Wallet เราตัดสินใจที่จะสร้างคุณลักษณะนี้และเปิดใช้งานการลงทะเบียนอีเมล/รหัสผ่านโดยไม่กระทบต่อความเป็นเจ้าของของผู้ใช้ในบัญชี
Ambire ใช้การรับรองความถูกต้องแบบดั้งเดิมด้วยอีเมลและรหัสผ่าน เช่น แอป Web2 โหมดการตรวจสอบสิทธิ์นี้ไม่ใช่การคุมขัง: ทำงานผ่าน multisig แบบสองคีย์บนสายโซ่ หนึ่งคีย์ถูกเก็บไว้ในที่เก็บข้อมูลของเบราว์เซอร์และเข้ารหัสด้วยรหัสผ่านของผู้ใช้ และคีย์อื่น ๆ จะถูกเก็บไว้ในแบ็กเอนด์ของเราผ่านรูปแบบการรักษาความปลอดภัยฮาร์ดแวร์ (HSM)
คุณไม่สามารถเข้าถึงเงินได้โดยใช้เพียงคีย์เดียวจากสองคีย์ เช่น หากคุณเป็นผู้โจมตีที่บุกรุกผู้ใช้ (เช่น ผ่านมัลแวร์) หรือ HSM ได้สำเร็จ
อย่างไรก็ตาม ขั้นตอนการกู้คืนสามารถเริ่มต้นได้ด้วยคีย์เดียวเท่านั้น ขั้นตอนการกู้คืนคือการเปลี่ยนแปลงแบบจำกัดเวลาของปุ่มใดปุ่มหนึ่งจากสองปุ่ม หากขั้นตอนการกู้คืนไม่ได้ตั้งใจ (เช่น เริ่มต้นโดยผู้โจมตี) ผู้ถือกุญแจรายอื่นสามารถยกเลิกได้ แต่ถ้ามันถูกริเริ่มโดยชอบด้วยกฎหมาย (เช่น หากคุณทำหนึ่งในสองกุญแจหายหรือคุณลืมรหัสผ่าน) คุณสามารถรอการล็อกเวลา และคุณจะสามารถเข้าใช้บัญชีของคุณได้อีกครั้งหลังจากนี้
โดยสรุป บัญชีอีเมล/รหัสผ่านเป็นกระเป๋าเงินหลายลายเซ็นที่ปลดล็อค:
- เมื่อมี 2 ลายเซ็น – ใช้ในโหมดการทำงานปกติ หรือ
- เมื่อมีการระบุ 1 ลายเซ็น แต่มีการล็อกเวลา ใช้สำหรับการกู้คืนรหัสผ่าน หรือในกรณีที่แบ็คเอนด์ Ambire ใช้งานไม่ได้
โดยปกติแล้ว คีย์ที่สองจะปลดล็อกโดยรหัสยืนยันเฉพาะสำหรับธุรกรรม (ได้มาจากแฮชของ) แต่วิธีการตรวจสอบสิทธิ์อื่นๆ เช่น OTP 2FA หรือ FaceID สามารถใช้ได้
ประโยชน์เพิ่มเติมของโมเดลนี้คือ คีย์ที่สองสามารถบังคับใช้กฎความปลอดภัยเพิ่มเติม เช่น ขีดจำกัดการใช้จ่ายและการตรวจสอบสัญญาหรือการโทรที่เป็นอันตราย (เช่น การอนุมัติ EOA แบบไม่จำกัด) เนื่องจากกฎเหล่านั้นได้รับการตรวจสอบนอกสายโซ่โดย HSM จึงสามารถแก้ไขหรือปรับปรุงได้ง่าย นอกจากนี้ การตรวจสอบที่ซับซ้อนสามารถทำได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม ทำให้สามารถใช้ AI หรือ ML ได้ในอนาคต
หากคุณอยากทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ คุณควรตรวจสอบ โมเดลความปลอดภัยของ Ambire Wallet.
เป็นยังไงบ้าง
เราเปิดตัว Ambire Wallet ในเดือนธันวาคมหลังจากทดสอบโมเดลความปลอดภัยอย่างรวดเร็วเป็นเวลาสองเดือน ผู้ใช้มากกว่า 45,000 รายลงทะเบียนตั้งแต่เนิ่นๆ และคาดเดาว่าบัญชีส่วนใหญ่ถูกควบคุมโดยอีเมลและรหัสผ่าน ในขณะนี้ เรากำลังดำเนินการปล่อยกระเป๋าเงินเวอร์ชันมือถือสำหรับ iOS และ Android ในช่วงครึ่งแรกของปีนี้ นี่จะเป็นการทดสอบจริงของรูปแบบการลงทะเบียนอีเมล+รหัสผ่าน เนื่องจากเราคาดว่าจะดึงดูดผู้ที่ไม่เคยมีประสบการณ์ Web3 มาก่อน
หากคุณสนใจที่จะลองใช้ Ambire Wallet ให้ไปที่ https://www.ambire.com/ และสร้างบัญชีของคุณในเวลาน้อยกว่าหนึ่งนาที
ที่มา: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password