فن آوری

آینده ورود به Web3 آیا ... ایمیل و رمز عبور است؟! 

02/04/2022
اخبار بیت کوین اتریوم

توسط ایوان مانچف، مدیر ارتباطات در Ambire

یکی از چالش‌های پیش از پذیرش گسترده‌تر کریپتو و دی‌فای، مدیریت کلید است. با کمال تعجب، مفهوم web2 ورود به ایمیل می تواند آن را حل کند - حتی به روشی غیر حبس.

در مورد عبارات دانه

  1. تنها 2. خیره کننده 3. خلوص 4. درونی 5. دروغگو 6. سیم. …. ؟؟؟

اولین باری که از شما خواسته شد یک عبارت بذری را بنویسید را به خاطر دارید؟ شاید شما گیج شده اید: 

  • چرا به جای چسباندن آن در یادداشت ها، روی کاغذ بنویسید؟
  • آیا برای "ورود" به برنامه های Web3 هر بار باید همه این موارد را بنویسید؟
  • آیا می توانید آن کلمات را به کلمات آشناتر تغییر دهید؟
  • اوه، آیا آنها نمی توانند فقط یک رمز عبور یا چیزی بخواهند؟

عبارات بذر آنقدرها هم بد نیستند، اما اگر نمی دانید رمزنگاری چگونه کار می کند، بسیار عجیب به نظر می رسند. و بیشتر مردم نمی دانند رمزگذاری چگونه کار می کند. 

در حال حاضر، 99٪ از کاربران تازه کار Web3 با تجربه Web2 هستند که ناشی از سال ها استفاده از ایمیل/رمز عبور به عنوان احراز هویت برای حساب ها و برنامه ها است. و در حالی که شرکت های رمزنگاری و کیف پول ها تمام تلاش خود را برای آموزش کاربران انجام می دهند، به نظر می رسد سردرگمی اجتناب ناپذیر است و فرصت های بی شماری را برای کلاهبرداران همیشه در کمین باز می کند. 

فقط این آزمایش را امتحان کنید - "Curve" یا "Aave" یا "Uniswap" را در گوگل جستجو کنید و اولین نتیجه تبلیغ را بزنید. اتصال را امتحان کنید و متداول ترین کلاهبرداری مهندسی اجتماعی شامل عبارات اولیه را تجربه خواهید کرد - وب سایت هایی که متامسک را تقلید می کنند و از کاربران گمراه شده عبارات اولیه خود را می خواهند. (در واقع این کار را نکنید - حداقل عبارت اولیه خود را ننویسید، لطفا!)

این همیشه در حال وقوع است و سال 2021 یک نمونه عالی از مشکل برجسته بود. با افزایش محبوبیت NFTها، سال گذشته بسیاری از کاربران جدید به حزب کریپتو پیوستند. برخی از آنها به اندازه کافی خوش شانس بودند که Bored Ape Yacht Club NFT را خریداری کردند و قیمت آن را 1000 برابر افزایش دادند ... فقط به دلیل مدیریت ضعیف کلید کیف پول آن را به سرقت بردند.

تصویر

پس چرا ما هنوز از عبارات seed به جای رمز عبور استفاده می کنیم؟

متأسفانه، آدرس‌های رایج اتریوم با یک کلید خصوصی باز می‌شوند - یک رشته متن طولانی. اگر شما صاحب کلید خود هستید، می توانید هر کاری که می خواهید با آدرس خود انجام دهید. شما یا کلید خود را در یک فایل نگه می دارید و آن را برای باز کردن قفل کیف پول وارد می کنید یا از عبارت seed mnemonics استفاده می کنید. هیچ راهی برای معرفی رمز عبور به جای کلید خصوصی وجود ندارد… 

... بسیار خوب، در واقع راهی وجود دارد، اما به قیمت کنترل کامل بر کیف پول شما. برخی از سرویس ها کلیدهای خصوصی را برای کاربران خود نگه می دارند و به آنها اجازه می دهند از رمزهای عبور برای باز کردن قفل کیف پول خود استفاده کنند. این امکان ورود به سیستم را فراهم می‌کند اما یکی از اصول اصلی تمرکززدایی را زیر پا می‌گذارد و تفاوت چندانی با نحوه عملکرد خدمات سنتی ندارد. سرویسی که استفاده می کنید می تواند دسترسی شما را در هر لحظه قطع کند.

اما اگر به شما بگویم که در واقع راهی برای باز کردن قفل کیف پول خود با ایمیل و رمز عبور وجود دارد، در حالی که کلید خود را نگه دارید، چه؟

در اینجا کیف پول های هوشمند می آیند

کیف پول های هوشمند در گذشته بسیار مورد بحث قرار گرفته اند: ممکن است مفهوم مشابهی به نام "انتزاع حساب" را شنیده باشید. 

اساساً ایده این است که هر حساب اتریوم یک قرارداد هوشمند خواهد بود که فرصت‌های زیادی را برای تقویت UX کریپتو باز می‌کند. برای هدف این مقاله بر مدیریت کلید تمرکز خواهیم کرد. 

کیف پول های هوشمند به جای استفاده از تنها یک کلید رمزنگاری برای ایمن سازی حساب، امکان استفاده از چندین کلید را با استفاده از قوانین خاصی فراهم می کنند. برای مثال، می‌توانید حسابی راه‌اندازی کنید که با 2 کلید کنترل شود، یکی از آنها دستگاه تلفن همراه و دیگری کیف پول سخت‌افزاری Trezor شما است، در حالی که دستگاه تلفن همراه دارای مجوزهای محدود و هزینه روزانه است، در حالی که Trezor نامحدود است. یا ممکن است به اصطلاح بازیابی اجتماعی را با اجازه دادن به multisig که توسط نزدیک‌ترین افراد کنترل می‌شود برای بازیابی حسابتان تنظیم کنید. 

به عبارت ساده، کیف پول‌های هوشمند قراردادهای هوشمندی هستند که می‌توانند با بیش از یک کلید رمزنگاری کنترل شوند – این دسترسی به کیف پول را «غیرمتمرکز» می‌کند و تنظیمات مختلفی را امکان‌پذیر می‌سازد که در آن می‌توانید تجربه کاربری ورود به سیستم را تغییر دهید.

همانطور که در این مرحله حدس زده اید، یکی از آنها استفاده از ایمیل و رمز عبور است. 

نحوه ساخت کیف پول هوشمند غیرحضوری با ثبت ایمیل و رمز عبور

ما قبلاً می دانیم که کیف پول قرارداد هوشمند را می توان با دو یا چند کلید کنترل کرد. هنگام ایجاد Ambire Wallet، تصمیم گرفتیم بر اساس این ویژگی ایجاد کنیم و ثبت ایمیل/گذرواژه را بدون به خطر انداختن مالکیت کاربر بر حساب فعال کنیم. 

Ambire احراز هویت سنتی را با ایمیل و رمز عبور مانند برنامه های Web2 پیاده سازی می کند. این حالت احراز هویت غیرقانونی است: از طریق یک مولتی سیگ دو کلیدی روی زنجیره کار می کند. یکی از کلیدها در حافظه مرورگر ذخیره می شود و با رمز عبور کاربر رمزگذاری می شود و کلید دیگر از طریق یک مدل امنیتی سخت افزاری (HSM) در پشتیبان ما ذخیره می شود.

شما نمی توانید تنها با استفاده از یکی از دو کلید به وجوه دسترسی داشته باشید، برای مثال اگر مهاجمی هستید که با موفقیت یک کاربر (مثلاً از طریق بدافزار) یا HSM را به خطر انداخته است. 

با این حال، یک روش بازیابی را می توان تنها با یک کلید شروع کرد. روند بازیابی تغییر زمانبندی شده یکی از دو کلید است. اگر رویه بازیابی ناخواسته بوده است (مثلاً توسط یک مهاجم آغاز شده است)، هر دارنده کلید دیگری می تواند آن را لغو کند. اما اگر به طور قانونی راه اندازی شده باشد (مثلاً اگر یکی از دو کلید را گم کرده اید یا رمز عبور خود را فراموش کرده اید)، می توانید فقط برای قفل زمانی منتظر بمانید و پس از این به حساب خود دسترسی خواهید داشت.

به طور خلاصه، حساب‌های ایمیل/رمز عبور کیف پول‌هایی با چند امضا هستند که قفل را باز می‌کنند:

  • هنگامی که 2 امضا ارائه می شود - در حالت عادی کار استفاده می شود. یا
  • هنگامی که 1 امضا ارائه می شود، اما با قفل زمانی. برای بازیابی رمز عبور یا در صورتی که باطن Ambire در دسترس نباشد استفاده می شود.

کلید دوم معمولاً با یک کد تأیید مخصوص تراکنش (که از هش گرفته شده است) باز می شود، اما می توان از روش های دیگر احراز هویت مانند OTP 2FA یا FaceID استفاده کرد.

مزیت اضافی این مدل این است که کلید دوم می تواند قوانین امنیتی اضافی مانند محدودیت های هزینه و بررسی قراردادها یا تماس های مخرب را اعمال کند (مثلاً تأییدیه های نامحدود برای EOAs). از آنجایی که این قوانین خارج از زنجیره توسط HSM بررسی می‌شوند، می‌توان آن‌ها را به راحتی اصلاح یا افزایش داد. علاوه بر این، بررسی های پیچیده را می توان بدون هزینه گاز اضافی انجام داد، که امکان استفاده از هوش مصنوعی یا ML را در آینده فراهم می کند.

اگر کنجکاو هستید که در این مورد بیشتر بدانید، باید این را بررسی کنید مدل امنیتی Ambire Wallet.

چطور میگذره

کیف پول Ambire را در دسامبر پس از دو ماه آزمایش سریع مدل امنیتی خود منتشر کردیم. بیش از 45,000 کاربر ثبت نام کرده اند و حدس بزنید - اکثر حساب ها با ایمیل و رمز عبور کنترل می شوند. در حال حاضر در حال کار بر روی انتشار نسخه موبایلی کیف پول برای iOS و اندروید در نیمه اول سال جاری هستیم. این آزمون واقعی مدل ثبت نام ایمیل + رمز عبور خواهد بود زیرا ما انتظار داریم افرادی را جذب کنیم که تجربه قبلی Web3 ندارند. 

اگر علاقه مند به امتحان کیف پول Ambire هستید، به این آدرس بروید https://www.ambire.com/ و در کمتر از یک دقیقه حساب کاربری خود را بسازید.

منبع: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password