Nga Ivan Mançev, Menaxher i Komunikimit në Ambire
Një nga sfidat përpara miratimit më të gjerë të kriptove dhe DeFi është menaxhimi i çelësave. Çuditërisht, koncepti web2 i hyrjes në email mund ta zgjidhë atë – edhe në një mënyrë jo kujdestarie.
Mbi frazat e farës
- Vetëm 2. Shkëlqim 3. Pastërti 4. I brendshëm 5. Gënjeshtar 6. Tel. …. ???
A ju kujtohet hera e parë që ju kërkuan të shkruani një frazë fillestare? Ndoshta keni qenë të hutuar:
- Pse ta shkruani këtë në letër në vend që thjesht ta ngjisni në Shënime?
- A do t'ju duhet t'i shkruani të gjitha këto gjëra për të "identifikuar" në aplikacionet Web3 çdo herë?
- A mund t'i ndryshoni ato fjalë në më të njohura?
- Uh, a nuk mund të kërkojnë vetëm një fjalëkalim apo diçka tjetër?
Frazat e farës nuk janë aq të këqija, por ato duken super të çuditshme nëse nuk e keni idenë se si funksionon kriptografia. Dhe shumica e njerëzve nuk e kanë idenë se si funksionon kriptografia.
Për momentin, 99% e përdoruesve fillestarë të Web3 vijnë me përvojë në Web2 që rrjedh nga vitet e përdorimit të emailit/fjalëkalimit si vërtetim për llogaritë dhe aplikacionet. Dhe ndërsa kompanitë dhe kuletat e kriptove po bëjnë çmos për të edukuar përdoruesit, konfuzioni duket se është i pashmangshëm dhe hap mundësi të panumërta për mashtruesit gjithmonë në përgjumje.
Thjesht provoni këtë eksperiment - google "Kurve" ose "Aave" ose "Uniswap" dhe goditi rezultatin e parë të reklamës. Provoni të lidheni dhe do të përjetoni mashtrimin më të zakonshëm të inxhinierisë sociale që përfshin frazat e farës - faqet e internetit që imitojnë Metamask dhe u kërkojnë përdoruesve të mashtruar për frazat e tyre fillestare. (Në fakt, mos e bëni këtë - të paktën mos e shkruani frazën tuaj fillestare, ju lutem!)
Kjo po ndodh gjatë gjithë kohës dhe viti 2021 ishte një shembull i mrekullueshëm i problemit të jashtëzakonshëm. Me rritjen e popullaritetit të NFT-ve, shumë përdorues të rinj iu bashkuan festës së kriptove vitin e kaluar. Disa prej tyre patën fatin të blinin një Bored Ape Yacht Club NFT dhe e panë atë të vlerësohej 1000x në çmim… vetëm për t'u vjedhur për shkak të menaxhimit të dobët të çelësave të portofolit.
Atëherë, pse po përdorim ende frazat e farës në vend të fjalëkalimeve?
Fatkeqësisht, adresat e zakonshme të Ethereum zhbllokohen me një çelës privat - një varg i gjatë teksti. Nëse zotëroni çelësin tuaj, mund të bëni çfarë të doni me adresën tuaj. Ju ose e mbani çelësin tuaj në një skedar dhe e importoni atë për të zhbllokuar një portofol, ose përdorni frazën fillestare mnemonics. Nuk ka asnjë mënyrë për të futur një fjalëkalim në vend të çelësit privat…
…Në rregull, në fakt ka një mënyrë, por me koston e kontrollit të plotë mbi portofolin tuaj. Disa shërbime mbajnë çelësat privatë për përdoruesit e tyre dhe i lejojnë ata të përdorin fjalëkalime për të zhbllokuar kuletat e tyre. Kjo mundëson hyrjen në bord, por thyen një nga parimet thelbësore të decentralizimit dhe nuk është shumë ndryshe nga mënyra se si funksionojnë shërbimet tradicionale. Shërbimi që po përdorni mund të shkurtojë aksesin tuaj në çdo moment.
Por, çka nëse do t'ju thoja se ekziston në të vërtetë një mënyrë për të zhbllokuar portofolin tuaj me email dhe fjalëkalim, duke mbajtur çelësin tuaj?
Këtu vijnë kuletat inteligjente
Kuletat inteligjente janë diskutuar shumë në të kaluarën: mund të keni dëgjuar për një koncept të ngjashëm të quajtur "abstraksione të llogarisë".
Në thelb ideja është që çdo llogari Ethereum do të jetë një kontratë inteligjente, e cila hap shumë mundësi për të përmirësuar kripto UX. Për qëllimin e këtij artikulli, ne do të fokusohemi në menaxhimin kryesor.
Në vend që të përdorin vetëm një çelës kriptografik për të siguruar një llogari, kuletat inteligjente lejojnë përdorimin e çelësave të shumëfishtë duke përdorur rregulla të caktuara. Për shembull, mund të konfiguroni një llogari që do të kontrollohet nga 2 çelësa, njëri prej tyre është pajisja juaj celulare dhe tjetri portofoli juaj i harduerit Trezor, me pajisjen celulare me leje të kufizuara dhe shpenzime ditore, ndërsa Trezor është i pakufizuar. Ose mund të konfiguroni të ashtuquajturin rikuperim social duke lejuar një multisig të kontrolluar nga njerëzit tuaj më të afërt për të rikuperuar llogarinë tuaj.
E thënë me fjalë të thjeshta, kuletat inteligjente janë kontrata inteligjente që mund të kontrollohen nga më shumë se një çelës kriptografik - kjo "decentralizon" aksesin në portofol dhe mundëson konfigurime të ndryshme në të cilat mund të ndryshoni përvojën e përdoruesit për hyrje.
Siç mund ta keni marrë me mend në këtë pikë, njëri prej tyre është përdorimi i emailit dhe fjalëkalimit.
Si të ndërtoni një portofol inteligjent jo-kujdestar me regjistrim me email dhe fjalëkalim
Ne e dimë tashmë se një portofol me kontratë inteligjente mund të kontrollohet nga dy ose më shumë çelësa. Kur krijuam Ambire Wallet, vendosëm të ndërtojmë këtë veçori dhe të mundësojmë regjistrimin me email/fjalëkalim pa kompromentuar pronësinë e përdoruesit mbi llogarinë.
Ambire zbaton vërtetimin tradicional me një email dhe një fjalëkalim si aplikacionet Web2. Ky modalitet vërtetimi nuk është i kujdesshëm: ai funksionon nëpërmjet një multisig me dy çelësa në zinxhir. Një nga çelësat ruhet në hapësirën ruajtëse të shfletuesit dhe është i koduar me fjalëkalimin e përdoruesit, dhe çelësi tjetër ruhet në backend-in tonë nëpërmjet një modeli sigurie harduerike (HSM).
Ju nuk mund të përdorni fondet duke përdorur vetëm një nga dy çelësat, për shembull nëse jeni një sulmues që komprometoi me sukses ose një përdorues (p.sh. nëpërmjet malware) ose HSM.
Megjithatë, një procedurë rikuperimi mund të fillohet vetëm me një çelës. Procedura e rikuperimit është një ndryshim me kohë i njërit prej dy çelësave. Nëse procedura e rikuperimit ishte e paqëllimshme (p.sh. e iniciuar nga një sulmues), çdo mbajtës tjetër çelësi mund ta anulojë atë. Por nëse është iniciuar në mënyrë legjitime (p.sh. nëse keni humbur një nga dy çelësat ose keni harruar fjalëkalimin tuaj), mund të prisni vetëm bllokimin kohor dhe do të keni akses në llogarinë tuaj përsëri pas kësaj.
Për ta përmbledhur, llogaritë e emailit/fjalëkalimit janë kuleta me shumë nënshkrime, që zhbllokojnë:
- Kur jepen 2 nënshkrime - përdoren në mënyrën normale të funksionimit; ose
- Kur jepet 1 nënshkrim, por me një bllokim kohor; përdoret për rikuperimin e fjalëkalimit, ose në rast se mbështetja e Ambire bëhet e padisponueshme.
Çelësi i dytë normalisht zhbllokohet nga një kod konfirmimi specifik për (që rrjedh nga një hash i) transaksionit, por mund të përdoren metoda të tjera vërtetimi si OTP 2FA ose FaceID.
Një përfitim shtesë i këtij modeli është se çelësi i dytë mund të zbatojë rregulla shtesë sigurie si kufizimet e shpenzimeve dhe kontrolli për kontrata ose telefonata me qëllim të keq (p.sh. miratime të pafundme për EOA-të). Meqenëse këto rregulla kontrollohen jashtë zinxhirit nga HSM, ato mund të modifikohen ose përmirësohen lehtësisht. Për më tepër, kontrollet e sofistikuara mund të kryhen pa kosto shtesë të gazit, duke mundësuar përdorimin e AI ose ML në të ardhmen.
Nëse jeni kurioz të mësoni më shumë rreth kësaj, duhet të shikoni Modeli i sigurisë së Ambire Wallet.
Si po shkon
Ne lëshuam Ambire Wallet në dhjetor pas dy muajsh testimi të shpejtë të modelit tonë të sigurisë. Më shumë se 45,000 përdorues u regjistruan dhe mendoni se çfarë – shumica e llogarive kontrollohen me email dhe fjalëkalim. Për momentin po punojmë për nxjerrjen e një versioni celular të portofolit për iOS dhe Android në gjysmën e parë të këtij viti. Ky do të jetë testi i vërtetë i modelit të regjistrimit me email+fjalëkalim pasi ne presim të tërheqë njerëz që nuk kanë përvojë të mëparshme në Web3.
Nëse jeni të interesuar të provoni Ambire Wallet, drejtohuni te https://www.ambire.com/ dhe krijoni llogarinë tuaj në më pak se një minutë.
Burimi: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password