Prieteni nu lăsa prietenii să facă Crypto rău | RO.democraziakmzero.org

Prieteni nu lăsa prietenii să facă Crypto rău

Prieteni nu lăsa prietenii să facă Crypto rău

Dan Elitzer este blockchain și plumb identitate digitală la IDEO Colab, o rețea de cercetare și dezvoltare care explorează impactul tehnologie în curs de dezvoltare prin colaborari eco-industrie.

În această piesă aviz, Elitzer explică de ce proiectarea de securitate necesită o gândire despre platforme dincolo de propria.

Recent, m-am întâlnit cu echipa fondatoare a unui grup construirea unui proiect în spațiul Criptomonedă. Au mers mei colegi IDEO Colab și mine prin aplicația lor de web, care arată modul în care utilizatorii pot cumpăra și stoca Bitcoin sau etherin un portofel privative de libertate, și apoi utilizați aceste fonduri într-o varietate de moduri. Am observat că au avut, de asemenea, o opțiune pentru a introduce direct o cheie privată pentru a face o tranzacție.

COD ROSU!

Prima regulă a cripto: niciodată, niciodată, nu permit accesul la cheia privată.

Corolar: Fii extrem de sceptic, dacă nu chiar suspect, cu privire la orice serviciu sau comunicare care solicită cheia privată.

După ce sa întâlnit cu aceasta echipa anterior și știind fundalurile lor impresionante, am întrebat - relativ calm - de ce au fost cere o cheie privată. CTO a explicat că au fost implementarea unui instrument de tip MyEtherWallet pentru semnarea tranzacțiilor în browser-ul, astfel încât cheia privată nu va fi trimis la serverul lor.

Intenția a fost de a permite utilizatorilor să folosească cu ușurință serviciul, fără a fi nevoie să lase platforma custodia fondurilor, eliminând în același timp, de asemenea, frecarea asociată cu a fi nevoie să se deschidă o aplicație portofel separat pentru a genera, semna, și a difuzat o tranzacție. Se îndepărtează câțiva pași - Uraaa pentru experiența utilizatorului - dar nu justifică comanda rapidă într-adevăr compromisurile?

Sunt foarte simpatic pentru că UX în lumea cripto este oribil și există o nevoie pentru a obține creativ în explorarea posibilităților de simplificare. Și, după cum echipa a subliniat, din punct de vedere tehnic, ei nu ar fi expunerea utilizatorilor la nici un risc mai mult decât în ​​cazul în care utilizatorii au intrat cheile private de pe MyEtherWallet.

Asta e adevărat - ar putea pune în aplicare același cod open source exact ca MyEtherWallet. Am încredere că vor face acest lucru în mod corespunzător și mă aștept că o anumită cantitate semnificativă a utilizatorilor lor viitoare ar fi dispus să încredere în ei și să se simtă în siguranță introducând cheile private de pe acest site.

Cu toate acestea, preocuparea mea nu este în primul rând dacă acestea ar putea pune în aplicare în siguranță, semnarea tranzacției în browser; așa cum am spus, am încredere în ambele lor de competență și intențiile lor.

Ceea ce mă îngrijorează mai mult este faptul că acest lucru dă impresia falsă, în special pentru cei noi la cryptocurrencies, că este în regulă să introduceți cheia privată de pe un site web.

Informații de bază igienă

Cei mai mulți oameni sunt folosite pentru operarea în contextul în care în cazul în care o parolă este compromisă, chiar și pentru un cont bancar, de obicei, prejudiciul este de cel puțin oarecum reversibil. Crypto este diferită: dacă distribuiți cheile private, ai pierdut totul. Nu există nici un recurs pentru a obține înapoi Bitcoin furat, eter, sau alte token-uri.

Un serviciu sigur, demn de încredere care solicită chei private normalizeaza conceptul de utilizatori de partajare chei private cu serviciile pe care le utilizează. Asta e rău.

Chiar dacă societatea în cauză este demn de încredere, este o garanție că toată lumea virtuală de cumpărare, folosind, sau participarea la ecosistemul Criptomonedă în orice fel se va întâlni la un moment dat un hacker sau escroc încearcă să fure banii. Formarea utilizatorilor care o cerere de a intra cheile private pot fi legitime crește probabilitatea ca acei utilizatori vor cădea victimă o înșelătorie în viitor.

Un analog este atunci când o companie tradițională de servicii financiare solicită un client cu privire la o problemă și solicită ca clientul să furnizeze date, cum ar fi numărul de cont, adresa, sau ultimele 4 cifre ale acestora nunber de securitate socială înainte de a continua.

NU!

Nu instrui clienții pentru a partaja informații sau încercarea de a efectua orice interacțiuni legate de cont pe un apel telefonic pe care clientul nu el sau ea a iniția!

(Pentru oricine pentru care acest lucru este o veste: vă rugăm mereu, mereu, mereu termina imediat astfel de apeluri și să cheme înapoi printr-o linie de suport listate pe site-ul web al companiei în cauză.)

Un bar ridicat de încredere

În timpul unei conversații profunde, care a dezvăluit echipa a dat o mulțime de atenție compromisurile de securitate și uzabilitate, CEO-ul de pornire a întrebat: „De ce este bine pentru MyEtherWallet pentru a cere utilizatorilor să introducă cheile private sau încărcați fișierele lor depozit de chei, dar nu este ok pentru să facem acest lucru?“ E o întrebare corectă.

În primul rând, aș presupune că majoritatea oamenilor care intră cheile private de a utiliza MyEtherWallet generat inițial aceste chei private pe MyEtherWallet cu intenția de a le utiliza pe MyEtherWallet în viitor. Dacă aveți încredere deja un site sau o aplicație pentru a genera cheile, nu Extindem foarte mult suprafața de atac continuă să aibă încredere în ei, atunci când te duci să utilizați aceste chei.

În al doilea rând, există un rol special, care software-ul și serviciile de portofel joacă în acest ecosistem. Ele sunt agentul care mediază interacțiunea utilizatorului cu restul ecosistemului Criptomonedă și este absolut obligatoriu ca utilizatorul are încredere că portofelul lor prezintă informații exacte lor și se comportă în conformitate cu intenția utilizatorului. Ca atare, există un bar incredibil de mare de încredere pe care dezvoltatorii portofel trebuie să realizeze înainte de utilizatori Criptomonedă cunoștință va lua în considerare utilizarea lor pentru a gestiona activele lor.

În cazul în care ecosistemul Criptomonedă va ajunge vreodata sa se dezvolte în așa fel încât token-uri sunt utile pentru aplicații dincolo doar de investiții sau speculații, vom vedea sute, mii, posibil chiar milioane, de servicii construite care includ interacțiuni în cazul în care utilizatorii trebuie să genereze semnături cu cheile private. Așteptîndu oamenii să fie capabili de a discerne dacă acestea ar trebui să încredere într-un nou serviciu care se confruntă cu cheile lor private este de neconceput.

Feriți-vă impostori

O sugestie un coleg de-al meu a avut a fost pentru MyEtherWallet (sau un alt serviciu foarte de încredere) pentru a crea un widget-semnare tranzacție care ar putea fi încorporat în alte site-uri, astfel încât utilizatorii pot fi siguri introducerea cheile lor private. CEO-ul de pornire, chiar a sugerat că societatea ar putea crea chiar un astfel de instrument în sine și să le publice pentru alții de a utiliza. În timp ce eu aplauda sentimentul de a construi ceva util și distribuindu-l cu alții, problema nu este una care poate fi rezolvată în acest fel.

Să presupunem că MyEtherWallet a creat un widget-semnarea tranzacției de marcă. Cum ar fi vizitatori pe un site cu widget-ul încorporat știu că a fost un veritabil widget MyEtherWallet, mai degrabă decât o sosie care ar fura cheile private? „Ei pot face doar o suma de control.“ Ei bine, să ai încredere că o sumă de control este valabil, utilizatorul ar trebui să știe mai întâi ce este o sumă de control, apoi rulați-l ei înșiși. Orice indiciu vizual cu privire la validitatea widget-ului sau de control ar putea fi ușor de falsificat.

Cu excepția cazului și până când devine rezonabil să se presupună că o majoritate covârșitoare a utilizatorilor au propriul software agent de verificare automat semnături și rulează funcțiile sumei de control, folosind falsificate cu ușurință repere vizuale pentru a semnifica de securitate va crește doar vulnerabilitatea utilizatorilor.

Suntem în asta împreună

Se pare că acest viitor minunat, trustless că atât de mulți dintre noi se străduiesc să creeze, nu este de fapt atât de trustless.

De fapt, nici măcar nu e-încredere redusă la minimum.

Este specificat de încredere: trebuie să fie foarte specifice despre whowe sunt încredere pentru whattasks. Este de datoria tuturor participanților din ecosistemul Criptomonedă pentru a ajuta utilizatorii să dezvolte o înțelegere și intuiție pentru acest lucru doar cere utilizatorilor pentru suma minimă goale de încredere și permisiuni care avem nevoie și arătând-le la servicii de renume, care urmează cele mai bune practici în materie de securitate și de prezentare a informațiilor toate celelalte funcții.

Responsabilitatea noastră utilizatorilor noștri nu se încheie atunci când părăsesc site-ul nostru sau de a închide aplicația noastră. Comportamente învață de la noi - sau că contribuim normalizării - va ghida dacă și modul în care acestea interacționează cu multitudinea de alte servicii pe care le intampina in viitor. Într-o industrie în cazul în care greșelile de utilizator sunt frecvent ireversibile, este datoria tuturor dintre noi pentru a menține deschiderea așteptărilor utilizatorilor pe cât posibil, în sens restrâns concentrat asupra comportamentelor riscante cel mai puțin.

Putem construi un viitor user-friendly mai sigure și mai mult pentru toată lumea, dar numai dacă rămânem vigilenți cu privire la securitate pentru utilizatorii noștri în toate serviciile de care interacționează cu, nu doar propria noastră.

Dacă aveți orice exemple bune de nudging utilizatorilor spre un comportament mai sigur sau cele mai bune practici pentru proiectarea UX sigur, vă rugăm să partajați într-un comentariu de mai jos.

Chei SecurityWalletsprivate

Știri asociate


Post Schimb valutar

Bitstamp revendică 5 milioane de dolari pierduți în hack-ul de tip Wallet Hot

Post Schimb valutar

Secțiunea de fraudă a dosarelor SEC împotriva Crypto Bank ICO

Post Schimb valutar

CoinJar reproiectază App Wallet pentru iOS pentru o mai bună experiență socială

Post Schimb valutar

Experții juridici avertizează că nu vor mai avea acces la schimburi de token

Post Schimb valutar

MEVUs Wearable Bitcoin Wallet poate efectua plăți cu un gest

Post Schimb valutar

Rezolvarea provocării de lichiditate a schimburilor descentralizate

Post Schimb valutar

Ar putea SPV să accepte un miliard de utilizatori Bitcoin? Dimensionarea unei cereri de scalare

Post Schimb valutar

Coinbase lansează Exchange Bitcoin în Marea Britanie

Post Schimb valutar

459 milioane Bitcoins: volumul schimburilor volumului atinge nivelul maxim în Q4

Post Schimb valutar

Coinbase anunță conturi Bitcoin de seif de înaltă securitate

Post Schimb valutar

Coinbase User solicită Curții Federale să oprească IRS Bitcoin Citația

Post Schimb valutar

Ce Banca Centrală? China Big Bitcoin comercianții sunt all-in pe Bitcoin