Будущее логинов Web3 — это… электронная почта и пароль?! 

Иван Манчев, менеджер по коммуникациям Ambire

Одной из проблем, стоящих перед более широким внедрением криптографии и DeFi, является управление ключами. Удивительно, но концепция входа по электронной почте в web2 может решить эту проблему — даже без тюремного заключения.

О семенных фразах

1. Одинокий 2. Блик 3. Чистота 4. Внутренний 5. Лжец 6. Проволока. …. ???

Вы помните, как вас впервые попросили написать сид-фразу? Возможно, вы были сбиты с толку: 

• Зачем писать это на бумаге, а не просто вставлять в Notes?
• Вам нужно будет каждый раз писать все эти вещи, чтобы «входить» в приложения Web3?
• Можете ли вы изменить эти слова на более знакомые?
• Ох, они не могут просто попросить пароль или что-то в этом роде?

Сид-фразы не так уж плохи, но выглядят очень странно, если вы не представляете, как работает криптография. И большинство людей понятия не имеют, как работает криптография. 

Прямо сейчас 99% начинающих пользователей Web3 имеют опыт работы с Web2, основанный на многолетнем использовании электронной почты/пароля в качестве аутентификации для учетных записей и приложений. И хотя криптокомпании и кошельки делают все возможное для обучения пользователей, путаница кажется неизбежной и открывает бесчисленные возможности для постоянно скрывающихся мошенников. 

Просто попробуйте этот эксперимент — погуглите «Curve», «Aave» или «Uniswap» и найдите первое объявление. Попробуйте подключиться, и вы столкнетесь с самой распространенной аферой социальной инженерии с использованием сид-фраз — веб-сайтов, имитирующих Metamask и запрашивающих у введенных в заблуждение пользователей их сид-фразы. (На самом деле не делайте этого — по крайней мере, не пишите исходную фразу, пожалуйста!)

Это происходит постоянно, и 2021 год стал прекрасным примером нерешенной проблемы. С ростом популярности NFT в прошлом году к крипто-тусовке присоединилось много новых пользователей. Некоторым из них посчастливилось купить NFT Bored Ape Yacht Club и увидеть, как он подорожал в 1000 раз… только для того, чтобы его украли из-за плохого управления ключами кошелька.

Тогда почему мы до сих пор используем начальные фразы вместо паролей?

К сожалению, обычные адреса Ethereum разблокируются с помощью закрытого ключа — длинной текстовой строки. Если у вас есть ключ, вы можете делать со своим адресом все, что захотите. Вы либо сохраняете свой ключ в файле и импортируете его для разблокировки кошелька, либо используете мнемонику начальных фраз. Невозможно ввести пароль вместо закрытого ключа… 

…Хорошо, на самом деле есть способ, но ценой полного контроля над вашим кошельком. Некоторые службы хранят закрытые ключи для своих пользователей и позволяют им использовать пароли для разблокировки своих кошельков. Это позволяет проводить адаптацию, но нарушает один из основных принципов децентрализации и мало чем отличается от того, как работают традиционные сервисы. Услуга, которую вы используете, может отключить ваш доступ в любой момент.

Но что, если я скажу вам, что на самом деле есть способ разблокировать ваш кошелек с помощью электронной почты и пароля, сохраняя при этом свой ключ?

А вот и умные кошельки

Умные кошельки много обсуждались в прошлом: вы, возможно, слышали о похожей концепции, называемой «абстракции аккаунта». 

В основном идея состоит в том, что каждая учетная запись Ethereum будет смарт-контрактом, который открывает множество возможностей для улучшения криптографического UX. В этой статье мы сосредоточимся на управлении ключами. 

Вместо того, чтобы использовать только один криптографический ключ для защиты учетной записи, умные кошельки позволяют использовать несколько ключей по определенным правилам. Например, вы можете настроить учетную запись для управления двумя ключами, один из которых будет вашим мобильным устройством, а другой — вашим аппаратным кошельком Trezor, при этом мобильное устройство будет иметь ограниченные разрешения и ежедневные расходы, а Trezor неограничен. Или вы можете настроить так называемое социальное восстановление, позволив мультиподписи, контролируемой вашими близкими людьми, восстановить вашу учетную запись. 

Проще говоря, смарт-кошельки — это смарт-контракты, которыми можно управлять с помощью более чем одного криптографического ключа — это «децентрализует» доступ к кошельку и позволяет использовать различные настройки, в которых вы можете изменить пользовательский интерфейс входа в систему.

Как вы уже могли догадаться, один из них использует электронную почту и пароль. 

Как создать смарт-кошелек, не связанный с тюремным заключением, с регистрацией электронной почты и пароля

Мы уже знаем, что кошелек смарт-контракта может управляться двумя или более ключами. При создании кошелька Ambire Wallet мы решили использовать эту функцию и включить регистрацию по электронной почте/паролю, не ставя под угрозу право собственности пользователя на учетную запись. 

Ambire реализует традиционную аутентификацию с помощью электронной почты и пароля, как в приложениях Web2. Этот режим аутентификации не является кастодиальным: он работает через мультиподпись с двумя ключами в цепочке. Один из ключей хранится в хранилище браузера и зашифрован паролем пользователя, а другой ключ хранится на нашем бэкэнде через аппаратную модель безопасности (HSM).

Вы не можете получить доступ к средствам, используя только один из двух ключей, например, если вы являетесь злоумышленником, который успешно скомпрометировал пользователя (например, с помощью вредоносного ПО) или HSM. 

Однако процедуру восстановления можно запустить только одним ключом. Процедура восстановления представляет собой заблокированную по времени смену одного из двух ключей. Если процедура восстановления была непреднамеренной (например, инициирована злоумышленником), любой другой владелец ключа может отменить ее. Но если это было инициировано законно (например, если вы потеряли один из двух ключей или забыли свой пароль), вы можете просто дождаться временной блокировки, и после этого вы снова получите доступ к своей учетной записи.

Подводя итог, можно сказать, что учетные записи электронной почты и паролей представляют собой кошельки с мультиподписью, которые открывают:

• При подаче 2-х подписей – используется в обычном режиме работы; или
• При поставке 1 подписи, но с блокировкой по времени; используется для восстановления пароля или в случае, если серверная часть Ambire становится недоступной.

Второй ключ обычно разблокируется с помощью кода подтверждения, специфичного для транзакции (полученного из хэша), но могут использоваться и другие методы аутентификации, такие как OTP 2FA или FaceID.

Дополнительным преимуществом этой модели является то, что второй ключ может применять дополнительные правила безопасности, такие как лимиты расходов и проверка на наличие злонамеренных контрактов или вызовов (например, бесконечные утверждения EOA). Поскольку эти правила проверяются HSM вне сети, их можно легко изменить или улучшить. Кроме того, сложные проверки могут выполняться без дополнительных затрат на газ, что позволяет использовать AI или ML в будущем.

Если вам интересно узнать больше об этом, вы должны проверить Модель безопасности Ambire Wallet.

Как дела

Мы выпустили Ambire Wallet в декабре после двух месяцев быстрого тестирования нашей модели безопасности. Более 45,000 3 пользователей зарегистрировались с тех пор, и угадайте, что — большинство учетных записей контролируются электронной почтой и паролем. На данный момент мы работаем над выпуском мобильной версии кошелька для iOS и Android в первой половине этого года. Это будет настоящая проверка модели регистрации по электронной почте и паролю, поскольку мы рассчитываем привлечь людей, не имевших опыта работы с WebXNUMX. 

Если вы хотите попробовать Ambire Wallet, перейдите по ссылке https://www.ambire.com/ и создайте свою учетную запись менее чем за минуту.