Prijatelji ne dozvoljavaju prijateljima da rade lošu kripto | RS.democraziakmzero.org

Prijatelji ne dozvoljavaju prijateljima da rade lošu kripto

Prijatelji ne dozvoljavaju prijateljima da rade lošu kripto

Dan Elitzer je blockchain i digitalni identitet olovo u IDEO Colab, R & D mreže koja istražuje uticaj u nastajanju tehnologija kroz unakrsno industrije saradnji.

U ovom mišljenju komadu, Elitzer objašnjava zašto je projektovanje za bezbednost zahteva razmišljanje o platformi izvan sopstvenog.

Nedavno sam se susreo sa osnivačkom tim grupe gradi projekat u criptocurrenci prostoru. Hodali su moje IDEO Colab kolege i mi kroz njihovu veb aplikacije, pokazujući kako korisnici mogli kupiti i čuvati Bitcoin ili etherin pritvorsku novčanik, a zatim koristiti ta sredstva na različite načine. Primetio sam da su imali opciju da uđu u privatni ključ direktno da se napravi transakciju.

UZBUNA!

Prvo pravilo enkripcija: nikada, nikada, nikada ne dele svoj privatni ključ.

Pouka: Budite veoma skeptični, ako ne i potpuno sumnjivo, bilo usluga ili komunikacija traži svoj privatni ključ.

Pošto se sastao sa ovim timom ranije i znajući svoje impresivne pozadine, pitao sam - relativno mirno - zašto su tražili privatnog ključa. Glavni rukovodilac tehnologija je objasnio da su sprovođenje alat MiEtherVallet stilu za potpisivanje transakcija u brovseru, tako da je privatni ključ nikad ne bi poslati na svoj server.

Namera je bila da se omogući korisnicima da lako koristiti uslugu bez pustiti platforme privedem sredstava, a takođe eliminiše trenje povezan sa postojanjem da se otvori poseban novčanika aplikaciju za generisanje, potpisati i reprodukcije transakciju. Uklanja se nekoliko koraka - Ura za korisničko iskustvo - ali da li prečica zaista garantuje kompromise?

Ja sam veoma simpatičan stav da UKS u kripto svetu je strašno i postoji potreba da se kreativni u istraživanju mogućnosti za pojednostavljenje. I kao tim je istakao, iz tehničke perspektive, oni ne bi izlaganje korisnicima na bilo koji većem riziku od ukoliko oni korisnici ušao svoje privatne ključeve na MiEtherVallet.

To je istina - oni mogu da sprovode potpuno istu otvorenog izvornog koda kao MiEtherVallet. Verujem da će ovo ispravno uraditi i ja očekujem da će neki značajni iznos od svojih budućih korisnika biti spremni da im verujemo i osećaju sigurnost ulaska privatnih ključeva na ovom sajtu.

Međutim, moja briga nije primarno da li su čvrsto mogli da sprovode transakcije potpisivanje u pretraživača; kao što sam rekao, verujem i svoju stručnost i njihove namere.

Brine me više je da ovo daje pogrešan utisak, posebno onima koji su novi u criptocurrencies, da je u redu da unesete privatni ključ na sajtu.

Osnovne informacije higijena

Većina ljudi se koriste za rad u kontekstu gde, ako se kompromitovani lozinka, čak i za račun u banci, obično šteta je bar donekle reverzibilan. Kripto je drugačija: ako delite privatne ključeve, gubite sve. Nema regres za dobijanje natrag svoj ukradeni Bitcoin, etar ili druge tokena.

Siguran, pouzdan servis traži privatne ključeve normalizuje koncept korisnika dele privatne ključeve sa uslugama koje oni koriste. Ovo je loše.

Čak i ako je firma u pitanju je pouzdana, to je virtuelni garancija da svi kupuju, koriste, ili učešćem u criptocurrenci ekosistemu na bilo koji način će se u nekom trenutku susreću hakera ili pošiljaocu poruke pokušava da ukrade novac. Obuka korisnici koji zahtev za ulazak u svoje privatne ključeve može biti legitimni povećava verovatnoću da će oni korisnici postaju žrtve prevara u budućnosti.

Analog da je kada tradicionalni kompanija za finansijske usluge poziva kupca o nekom pitanju i traži da kupac obezbedi podatke poput njihovog broja računa, adresu, odnosno poslednje 4 cifre njihove socijalne sigurnosti Nunber pre postupka.

NE!

Ne treniraju svoje kupce da dele informacije ili pokušati da sprovede bilo kakve interakcije u vezi sa nalogom na telefonski poziv da kupac nije ga ili sama pokrene!

(Za svako kome je ovo vest: molim vas uvek, uvek, UVEK odmah kraj takve pozive i pozvati kroz podršku linije naveden na sajtu kompanije koja je u pitanju.)

Visok bara poverenja

Tokom dubokog razgovora koji je otkrio tim dao dosta razmatranja bezbednosti i upotrebljivosti kompromisima, direktor pokretanje pitao: "Zašto je to u redu za MiEtherVallet da traži od korisnika da unesete svoje privatne ključeve ili postavljaju svoje keiStore fajlove, ali ne u redu za da učini? " To je fer pitanje.

Prvo, pretpostavljam da većina ljudi koji ulaze svoje privatne ključeve za korišćenje MiEtherVallet prvobitno generiše te privatne ključeve na MiEtherVallet sa namerom da ih koristi na MiEtherVallet u budućnosti. Ako ste već verovao veb sajt ili aplikaciju za generisanje ključeve, nisi uveliko proširite vašu napad površinu nastavljajući da im verujemo kada idete da koristite te ključeve.

Drugo, postoji posebna uloga koja novčanik softver i usluge igraju u ovom ekosistemu. Oni su agent koji posreduje interakciju korisnika sa ostatkom criptocurrenci ekosistema i da je apsolutno neophodno da korisnik veruje da je njihov novčanik predstavlja tačne informacije na njih i ponaša u skladu sa namerom korisnika. Kao takva, tu je neverovatno visok ovdje poverenja koje programeri novčanik mora postigli pre poznavaoci korisnici criptocurrenci će razmotriti koristeći ih da upravljaju svojim sredstvima.

Ako je criptocurrenci ekosistem je ikada da se razvije na takav način da tokeni su korisni za primenu van samo investicije ili spekulacije, mi ćemo videti stotine, hiljade, možda čak miliona, usluga izgrađenih koji uključuju interakcije u kojoj korisnici treba da generiše potpisa sa njihovi privatni ključevi. Očekujući ljude da budu u stanju da raspozna da li treba verovati nova usluga susreću sa svojim privatnim ključevima je neodrživa.

Bevare varalice

Jedan predlog moj kolega imao je za MiEtherVallet (ili neki drugi visoko poverenje servis) da stvori vidget transakciji-potpisivanjem koji se mogu umetnuti u drugim sajtovima, tako da korisnici mogu da budu sigurni ulazak svoje privatne ključeve. Generalni direktor pokretanje čak predložio da bi kompanija čak stvoriti takvu sama alat i objaviti ga za druge da koriste. Dok Pozdravljam raspoloženje izgradnje nešto korisno i deljenje sa drugima, problem nije onaj koji može rešiti na ovaj način.

Recimo MiEtherVallet ja stvorio brendiran transakciji-potpisivanje vidget. Kako bi posetioci sajta sa vidget ugrađenim znaju da je to bio pravi MiEtherVallet vidžet, a ne dvojnik koji će ukrasti njihove privatne ključeve? "Mogu samo da uradi checksum." Pa, da veruje da je vrednost je važeća, korisnik bi trebalo da prvo znati šta je vrednost, onda ga pokrenite se. Bilo vizuelni šlagvort u pogledu valjanosti vidžeta ili checksum se lako može lažni.

Ukoliko i dok ne postane razumno pretpostaviti da velika većina korisnika ima svoje sredstvo softver automatski provere potpisa i radi vrednost funkcije, koristeći lako lažni vizuelne signale da označi bezbednosti će samo povećati ranjivost svojih korisnika.

Svi smo zajedno u ovome

Ispostavilo se da je to divno, nepouzdan budući da mnogi od nas pokušavaju da stvore zapravo nije tako nepouzdan.

U stvari, to nije ni poverenja sveden na minimum.

To je poverenja navedeno: moramo biti vrlo precizni vhove verujemo u vhattasks. To je dužnost svih učesnika u criptocurrenci ekosistemu da pomogne korisnicima razviju razumevanje i intuiciju za ovo je samo traži korisnika za minimalnim iznosu od poverenja i dozvole koje su nam potrebne i da ih ukazujući na renomiranim usluga koji prate najbolje prakse u oblasti sigurnosti i otkrivanja za sve ostale funkcije.

Naša odgovornost je da našim korisnicima ne završava kada odu naš sajt ili zatvoriti našu aplikaciju. Ponašanja uče od nas - ili da doprinese normalizacija - će voditi tome da li i kako se interakciju sa bezbroj drugih usluga sa kojima se susreću u budućnosti. U industriji u kojoj su korisničke greške često nepovratno, to je dužnost svih nas da zadrži blende korisničkih očekivanja kao usko fokusirana je moguće na najmanje rizičnih ponašanja.

Možemo izgraditi sigurnije i više budućnosti user-friendli za sve, ali samo ako ostanemo budni o bezbednosti za naše korisnike u svim uslugama koje stupaju u interakciju sa, ne samo naše vlastite.

Ako imate neke dobre primere gura korisnicima u pravcu sigurnog ponašanja ili dobre prakse za bezbedan dizajn UKS, molimo vas da podelite u komentaru ispod.

SecuritiValletsprivate tasteri

Slične vesti


Post Menjačnica

Rizik ili Nagrada: Kako Cripto razmjenjuje novac u novoj valuti

Post Menjačnica

Tether traži 30 miliona dolara u američkom Tokenu ukradenog

Post Menjačnica

Coinbase osigurana od krađe ili gubitka bitkoina

Post Menjačnica

Inside Skuare je Stealth pristup integraciji bitkoina

Post Menjačnica

Fiat Vallets: ključ za Bitcoin Going Mainstream?

Post Menjačnica

Osiguravanje Bitkoinove Fungibilnosti u 2017. godini (i dalje)

Post Menjačnica

GogoCoin partneri sa Blockchain-om da daju karte sa BTC-om

Post Menjačnica

Italijanski zakon o prenosu novca ugrožava bizninske kompanije

Post Menjačnica

Početne ponude za žetone: gde se SEC može stajati

Post Menjačnica

Izveštaj o berzanskom tržištu u Japanu: Oblak izlazi iz DLT-a za potrebe tržišta kapitala

Post Menjačnica

Bitcoin Ekchange Cavirtek će se zatvoriti usred sigurnosnih, bankarskih zabrinutosti

Post Menjačnica

Bitcoin Cash Demand nas je šokirao, kaže šef prodaje Circle