Tech

Framtiden för Web3-inloggningar är...e-post och lösenord?! 

02/04/2022
Bitcoin Ethereum nyheter

Av Ivan Manchev, kommunikationschef på Ambire

En av utmaningarna innan ett bredare antagande av krypto och DeFi är nyckelhantering. Överraskande nog kan web2-konceptet med e-postinloggning lösa det – även på ett icke-friskande sätt.

På fröfraser

  1. Ensam 2. Bländning 3. Renhet 4. Inre 5. Lögnare 6. Tråd. …. ???

Kommer du ihåg första gången du blev ombedd att skriva ner en fröfras? Du kanske var förvirrad: 

  • Varför skriva detta på papper istället för att bara klistra in det i Notes?
  • Behöver du skriva allt det här för att "logga in" på Web3-appar varje gång?
  • Kan du ändra de orden till mer bekanta?
  • Usch, kan de inte bara be om ett lösenord eller något?

Fröfraser är inte så illa men de ser superkonstiga ut om du inte har någon aning om hur kryptografi fungerar. Och de flesta har ingen aning om hur kryptografi fungerar. 

Just nu kommer 99 % av nybörjare av Web3-användare med Web2-erfarenhet som härrör från åratal av användning av e-post/lösenord som autentisering för konton och appar. Och medan kryptoföretag och plånböcker gör sitt bästa för att utbilda användare, verkar förvirring vara oundviklig och öppna otaliga möjligheter för de alltid lurande bedragarna. 

Testa bara detta experiment – ​​googla på "Curve" eller "Aave" eller "Uniswap" och tryck på det första annonsresultatet. Försök att ansluta och du kommer att uppleva den vanligaste bluffen med social ingenjörskonst som involverar fröfraser – webbplatser som härmar Metamask och frågar vilseledda användare om deras fröfraser. (Gör faktiskt inte det – skriv åtminstone inte din fröfras, tack!)

Detta händer hela tiden och 2021 var ett fantastiskt exempel på det utestående problemet. Med den ökande populariteten för NFT:er anslöt sig många nya användare till kryptofesten förra året. Några av dem hade turen att köpa en Bored Ape Yacht Club NFT och se den uppskattas 1000x i pris... bara för att få den stulen på grund av dålig hantering av plånboksnyckel.

Bild

Varför använder vi då fortfarande fröfraser istället för lösenord?

Tyvärr låses vanliga Ethereum-adresser upp med en privat nyckel – en lång textsträng. Om du äger din nyckel kan du göra vad du vill med din adress. Antingen behåller du din nyckel i en fil och importerar den för att låsa upp en plånbok, eller så använder du fröfrasen mnemonics. Det finns inget sätt att införa ett lösenord istället för den privata nyckeln... 

…Okej, det finns faktiskt ett sätt, men till priset av full kontroll över din plånbok. Vissa tjänster behåller de privata nycklarna för sina användare och låter dem använda lösenord för att låsa upp sina plånböcker. Detta möjliggör onboarding men bryter mot en av decentraliseringens kärnprinciper och det skiljer sig inte mycket från hur traditionella tjänster fungerar. Tjänsten du använder kan avbryta din åtkomst när som helst.

Men vad händer om jag sa till dig att det faktiskt finns ett sätt att låsa upp din plånbok med e-post och lösenord, samtidigt som du behåller din nyckel?

Här kommer smarta plånböcker

Smarta plånböcker har diskuterats mycket tidigare: du kanske har hört talas om ett liknande koncept som kallas "kontoabstraktioner". 

I grund och botten är tanken att varje Ethereum-konto kommer att vara ett smart kontrakt, vilket öppnar många möjligheter att förbättra krypto-UX. För syftet med denna artikel kommer vi att fokusera på nyckelhantering. 

Istället för att bara använda en kryptografisk nyckel för att säkra ett konto tillåter smarta plånböcker att flera nycklar kan användas med vissa regler. Du kan till exempel skapa ett konto som styrs av 2 nycklar, en av dem är din mobila enhet och den andra din Trezor hårdvaruplånbok, med den mobila enheten som har begränsade behörigheter och dagliga utgifter, medan Trezor är obegränsad. Eller så kan du ställa in så kallad social recovery genom att låta en multisig kontrollerad av dina närmaste personer återställa ditt konto. 

Enkelt uttryckt är smarta plånböcker smarta kontrakt som kan styras av mer än en kryptografisk nyckel – detta "decentraliserar" åtkomsten till plånboken och möjliggör olika inställningar där du kan ändra användarupplevelsen för inloggning.

Som du kanske har gissat vid det här laget använder en av dem e-post och lösenord. 

Hur man bygger en smart plånbok utan förvaring med e-post och lösenordsregistrering

Vi vet redan att en smart kontraktsplånbok kan styras av två eller flera nycklar. När vi skapade Ambire Wallet bestämde vi oss för att bygga vidare på den här funktionen och aktivera e-post/lösenordsregistrering utan att kompromissa med användarens ägande av kontot. 

Ambire implementerar traditionell autentisering med en e-post och ett lösenord som Web2-appar. Detta autentiseringsläge är icke-skyddat: det fungerar via en on-chain två-nyckel multisig. En av nycklarna lagras i webbläsarens lagring och är krypterad med användarens lösenord, och den andra nyckeln lagras på vår backend via en hårdvarusäkerhetsmodell (HSM).

Du kan inte komma åt pengarna med endast en av de två nycklarna, till exempel om du är en angripare som lyckats äventyra antingen en användare (t.ex. via skadlig programvara) eller HSM. 

En återställningsprocedur kan dock startas med endast en nyckel. Återställningsproceduren är ett tidslåst byte av en av de två nycklarna. Om återställningsproceduren var oavsiktlig (t.ex. initierad av en angripare), kan vilken annan nyckelinnehavare som helst avbryta den. Men om det initierades på ett legitimt sätt (t.ex. om du tappade bort en av de två nycklarna eller om du har glömt ditt lösenord), kan du bara vänta på tidslåset, så får du tillgång till ditt konto igen efter detta.

För att sammanfatta, e-post-/lösenordskonton är plånböcker med flera signaturer som låser upp:

  • När 2 signaturer tillhandahålls – används i normalt driftläge; eller
  • När 1 signatur tillhandahålls, men med tidslås; används för lösenordsåterställning, eller om Ambires backend blir otillgänglig.

Den andra nyckeln låses normalt upp av en bekräftelsekod som är specifik för (härledd från en hash av) ​​transaktionen, men andra autentiseringsmetoder som OTP 2FA eller FaceID kan användas.

En ytterligare fördel med denna modell är att den andra nyckeln kan upprätthålla extra säkerhetsregler som utgiftsgränser och sökning efter skadliga kontrakt eller samtal (t.ex. oändliga godkännanden till EOAs). Eftersom dessa regler kontrolleras utanför kedjan av HSM, kan de enkelt modifieras eller förbättras. Dessutom kan sofistikerade kontroller utföras utan extra gaskostnad, vilket möjliggör användning av AI eller ML i framtiden.

Om du är nyfiken på att lära dig mer om detta bör du kolla in Ambire Wallets säkerhetsmodell.

Hur går det

Vi släppte Ambire Wallet i december efter två månaders snabbtestning av vår säkerhetsmodell. Mer än 45,000 3 användare har registrerats sedan dess och gissa vad – majoriteten av konton kontrolleras av e-post och lösenord. Just nu arbetar vi med att släppa en mobilversion av plånboken för iOS och Android under första halvåret i år. Detta kommer att vara det sanna testet av e-post+lösenordsregistreringsmodellen eftersom vi förväntar oss att locka människor som inte har någon tidigare WebXNUMX-erfarenhet. 

Om du är intresserad av att prova Ambire Wallet, gå till https://www.ambire.com/ och skapa ditt konto på mindre än en minut.

Källa: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password