Будучыня лагінаў Web3 - гэта... электронная пошта і пароль?! 

Іван Манчаў, менеджэр па камунікацыях Ambire

Адной з праблем перад больш шырокім прыняццем крыпта і DeFi з'яўляецца кіраванне ключамі. Як ні дзіўна, канцэпцыя ўваходу ў сістэму па электроннай пошце web2 можа вырашыць гэтую праблему - нават без пазбаўлення волі.

На насенных фразах

1. Адзін 2. Блік 3. Чысціня 4. Унутраны 5. Хлус 6. Дрот. …. ???

Вы памятаеце, калі вас упершыню папрасілі запісаць пачатковую фразу? Магчыма, вы збянтэжыліся: 

• Навошта пісаць гэта на паперы, а не проста ўстаўляць у Notes?
• Вам трэба будзе кожны раз пісаць усе гэтыя рэчы, каб «уваходзіць» у праграмы Web3?
• Ці можаце вы замяніць гэтыя словы на больш звыклыя?
• Цьфу, хіба яны не могуць проста запытаць пароль ці нешта падобнае?

Старавыя фразы не такія дрэнныя, але яны выглядаюць вельмі дзіўна, калі вы паняцця не маеце, як працуе крыптаграфія. І большасць людзей не ўяўляюць, як працуе крыптаграфія. 

У цяперашні час 99% пачаткоўцаў карыстальнікаў Web3 карыстаюцца вопытам Web2, які вынікае з гадоў выкарыстання электроннай пошты/пароля ў якасці аўтэнтыфікацыі для ўліковых запісаў і праграм. І ў той час як крыптакампаніі і кашалькі робяць усё магчымае, каб навучыць карыстальнікаў, блытаніна, здаецца, непазбежная і адкрывае незлічоныя магчымасці для ашуканцаў, якія пастаянна хаваюцца. 

Проста паспрабуйце гэты эксперымент - пагугліце «Curve», «Aave» або «Uniswap» і націсніце першы вынік аб'явы. Паспрабуйце падключыцца, і вы сутыкнецеся з самым распаўсюджаным махлярствам сацыяльнай інжынерыі з выкарыстаннем пачатковых фраз - вэб-сайты, якія імітуюць Metamask і запытваюць уведзеных у зман карыстальнікаў іх пачатковыя фразы. (На самой справе не рабіце гэтага - прынамсі, не пішыце сваю пачатковую фразу, калі ласка!)

Гэта адбываецца ўвесь час, і 2021 год стаў выдатным прыкладам невырашанай праблемы. З ростам папулярнасці NFT шмат новых карыстальнікаў далучыліся да крыптапартыі ў мінулым годзе. Некаторым з іх пашанцавала набыць Bored Ape Yacht Club NFT і ўбачыць, як ён падаражэў у 1000 разоў... толькі каб яго скралі з-за дрэннага кіравання ключамі кашалька.

Тады чаму мы ўсё яшчэ выкарыстоўваем пачатковыя фразы замест пароляў?

На жаль, звычайныя адрасы Ethereum разблакуюцца закрытым ключом - доўгім радком тэксту. Калі ў вас ёсць ключ, вы можаце рабіць са сваім адрасам усё, што хочаце. Вы альбо захоўваеце свой ключ у файле і імпартуеце яго, каб разблакіраваць кашалёк, альбо выкарыстоўваеце мнемоніку пачатковай фразы. Няма магчымасці ўвесці пароль замест закрытага ключа... 

…Добра, на самай справе ёсць спосаб, але за кошт поўнага кантролю над вашым кашальком. Некаторыя службы захоўваюць прыватныя ключы для сваіх карыстальнікаў і дазваляюць ім выкарыстоўваць паролі для разблакоўкі кашалькоў. Гэта дазваляе ўключацца, але парушае адзін з асноўных прынцыпаў дэцэнтралізацыі, і не моцна адрозніваецца ад таго, як працуюць традыцыйныя сэрвісы. Сэрвіс, які вы выкарыстоўваеце, можа спыніць ваш доступ у любы момант.

Але што, калі я скажу вам, што сапраўды ёсць спосаб разблакіраваць кашалёк з дапамогай электроннай пошты і пароля, захоўваючы ключ?

Вось і разумныя кашалькі

Разумныя кашалькі шмат абмяркоўваліся ў мінулым: магчыма, вы чулі пра падобную канцэпцыю пад назвай «абстракцыі ўліковага запісу». 

У асноўным ідэя заключаецца ў тым, што кожны ўліковы запіс Ethereum будзе разумным кантрактам, які адкрывае шмат магчымасцей для паляпшэння UX крыпта. Для мэт гэтага артыкула мы спынімся на кіраванні ключамі. 

Замест таго, каб выкарыстоўваць толькі адзін крыптаграфічны ключ для абароны ўліковага запісу, разумныя кашалькі дазваляюць выкарыстоўваць некалькі ключоў па пэўных правілах. Напрыклад, вы можаце наладзіць уліковы запіс, які будзе кантралявацца 2 ключамі, адзін з якіх будзе вашай мабільнай прыладай, а другі - апаратным кашальком Trezor, пры гэтым мабільная прылада мае абмежаваныя дазволы і штодзённыя выдаткі, а Trezor неабмежаваны. Ці вы можаце наладзіць так званае сацыяльнае аднаўленне, дазволіўшы мультысігу, які кантралюецца вашымі самымі блізкімі людзьмі, аднавіць ваш уліковы запіс. 

Кажучы простымі словамі, смарт-кашалькі - гэта смарт-кантракты, якімі можна кіраваць з дапамогай больш чым аднаго крыптаграфічнага ключа - гэта «дэцэнтралізуе» доступ да кашалька і дазваляе розныя налады, у якіх вы можаце змяніць карыстацкі досвед пры ўваходзе.

Як вы маглі здагадацца на дадзены момант, адзін з іх выкарыстоўвае электронную пошту і пароль. 

Як стварыць разумны кашалёк без захавання з рэгістрацыяй па электроннай пошце і паролі

Мы ўжо ведаем, што смарт-кантрактным кашальком можна кіраваць двума або больш ключамі. Пры стварэнні кашалька Ambire мы вырашылі абапірацца на гэтую функцыю і ўключыць рэгістрацыю па электроннай пошце/паролі без шкоды для права ўласнасці карыстальніка на ўліковы запіс. 

Ambire рэалізуе традыцыйную аўтэнтыфікацыю з дапамогай электроннай пошты і пароля, як у праграмах Web2. Гэты рэжым аўтэнтыфікацыі не з'яўляецца кантэкстным: ён працуе праз ланцужок з двума ключамі multisig. Адзін з ключоў захоўваецца ў сховішчы браўзера і зашыфраваны паролем карыстальніка, а другі ключ захоўваецца на нашым серверы праз апаратную мадэль бяспекі (HSM).

Вы не можаце атрымаць доступ да сродкаў, выкарыстоўваючы толькі адзін з двух ключоў, напрыклад, калі вы зламыснік, які паспяхова скампраметаваў альбо карыстальніка (напрыклад, з дапамогай шкоднаснага ПЗ), альбо HSM. 

Аднак працэдуру аднаўлення можна запусціць толькі адным ключом. Працэдура аднаўлення - гэта зафіксаваная па часе змена аднаго з двух ключоў. Калі працэдура аднаўлення была ненаўмыснай (напрыклад, ініцыяваная зламыснікам), любы іншы ўладальнік ключа можа яе адмяніць. Але калі ён быў ініцыяваны законна (напрыклад, калі вы згубілі адзін з двух ключоў або забылі пароль), вы можаце проста пачакаць блакіроўкі часу, і пасля гэтага вы зноў атрымаеце доступ да свайго ўліковага запісу.

Падводзячы вынік, уліковыя запісы электроннай пошты/пароля - гэта кашалькі з некалькімі подпісамі, якія разблакуюць:

• Пры пастаўцы 2 подпісаў – выкарыстоўваецца ў звычайным рэжыме працы; або
• Калі пастаўлены 1 подпіс, але з тайм-блакаваннем; выкарыстоўваецца для аднаўлення пароля або ў выпадку, калі бэкэнд Ambire становіцца недаступным.

Другі ключ звычайна разблакуецца з дапамогай кода пацверджання (атрыманага з хэша) транзакцыі, але можна выкарыстоўваць і іншыя метады аўтэнтыфікацыі, такія як OTP 2FA або FaceID.

Дадатковай перавагай гэтай мадэлі з'яўляецца тое, што другі ключ можа выконваць дадатковыя правілы бяспекі, такія як ліміты выдаткаў і праверка шкоднасных кантрактаў або званкоў (напрыклад, бясконцае ўзгадненне EOA). Паколькі HSM правярае гэтыя правілы па-за ланцужком, іх можна лёгка змяніць або палепшыць. Акрамя таго, складаныя праверкі можна праводзіць без дадатковых выдаткаў на бензін, што дазваляе выкарыстоўваць AI або ML у будучыні.

Калі вам цікава даведацца больш аб гэтым, вы павінны праверыць Мадэль бяспекі Ambire Wallet.

Як гэта ідзе

Мы выпусцілі Ambire Wallet у снежні пасля двух месяцаў хуткага тэставання нашай мадэлі бяспекі. З тых часоў зарэгістравана больш за 45,000 3 карыстальнікаў, і ўгадайце што - большасць уліковых запісаў кантралююцца з дапамогай электроннай пошты і пароля. На дадзены момант мы працуем над тым, каб у першай палове гэтага года выпусціць мабільную версію кашалька для iOS і Android. Гэта будзе сапраўднае выпрабаванне мадэлі рэгістрацыі па электроннай пошце + паролю, паколькі мы разлічваем прыцягнуць людзей, якія раней не мелі вопыту WebXNUMX. 

Калі вам цікава паспрабаваць кашалёк Ambire, адпраўляйцеся https://www.ambire.com/ і стварыце свой уліковы запіс менш чым за хвіліну.