Web3 Identity и Web3 Security: Что нужно знать!

Узнайте об идентификации Web3 и безопасности кошельков. Понимание элементов криптоидентификации, доменных имен, 2FA и хакерских операций!
Экосистема Starknet
• Мар 23, 2023
6 мин. чтения
Web3 Identity и Web3 Security: Что нужно знать!

В новом выпуске программы #Braavosianstalk к нашим ведущим Мотти Лави, основателю и генеральному директору Braavos, и Бертрану Бланшетону, руководителю отдела маркетинга, присоединились Фрикобен генеральный директор StarkNet.ID . В этой серии вопросов и ответов разъясняется концепция Web3 Identity и объясняется, почему важно сочетать ее с кошельком для смарт-контрактов. Они также обсуждают технические концепции и исследуют эволюцию StarkNet.

Обзор вопросов

Можете ли Вы дать представление об идентичности Web3 в целом?
— Важна ли концепция web3 identity при построении кошелька?
— Из каких элементов может состоять криптоидентификатор?
— Следует ли при создании нового доменного имени рассматривать возможность использования нескольких ручек?
— Являются ли доменные имена еще одним уровнем защиты в дополнение к пирамиде безопасности Account Abstraction?
— Как отличить, что является настоящей двухфакторной аутентификацией, а что нет?
— Можете ли вы объяснить, как действуют хакеры, когда пытаются взломать учетные записи пользователей?
— Если кто-то найдет мою начальную фразу, сможет ли он украсть мои средства, если у меня включен аппаратный подписчик?

Берт:

Q: Многие не понимают, насколько важна для криптовалют концепция идентичности. Не могли бы Вы рассказать о Web3-идентичности в целом?

Бен:

В настоящее время Web3 identity является одним из наиболее подходящих продуктов для рынка криптовалют. Это связано с тем, что недавний «бычий бег» показал, что люди заинтересованы в именах пользователей через доменные имена и NFT для использования в качестве фотографий профиля, а также в учетных данных, привязанных к привязанным к душе токенам. Все эти элементы составляют вашу Web3-идентичность, поскольку они представляют собой данные, которые вы хотите включить в свой профиль. Наша цель в StarkNet.ID — дать пользователям возможность создать идентификатор или паспорт, объединяющий все данные, представляющие их личность в сети. В настоящее время мы уделяем основное внимание сервису именования StarkNet, а в дальнейшем планируем сделать так, чтобы пользователи могли размещать изображения своих профилей NFT во всех протоколах StarkNet, включая кошельки.

По сути, Web3-идентификация — это все данные, которыми вы хотите поделиться с миром, и все данные, которые квалифицируют вас как пользователя. Сюда входят имя и изображение, представляющие вас, а также вся ваша активность в блокчейне.

Берт:

Q: Motty, какова Ваша точка зрения на то, что объяснил Fricoben? Важна ли Web3-идентичность при создании кошелька?

Motty:

Web3 Identity невероятно важна при создании кошелька, особенно для нас в Braavos. Как может подтвердить Фрикобен, я был большим сторонником наличия ENS в StarkNet, потому что в Браавосе все направлено на обеспечение наилучшего возможного пользовательского опыта. Мы вкладываем всю душу в то, чтобы обеспечить безопасность средств наших пользователей, защитить их от фишинговых атак и вредоносных программ, а также помочь им избежать ошибок.

Откровенно говоря, транзакции с протоколами или другими кошельками, использующими 62-символьные адреса, на StarkNet совсем не удобны. С другой стороны, использование доменного имени гораздо удобнее для пользователя, поскольку его легче запомнить и меньше допускать опечаток и ошибок. Вот почему мы являемся большими поклонниками проекта StarkNet.ID и почему мы недавно решили подарить каждому пользователю Braavos бесплатный поддомен.

Берт:

Вопрос: Мы обсудили доменные имена и фотографии профиля, однако идентичность — понятие гораздо более широкое. Какие еще элементы могут составлять криптоидентичность?

Бен:

Полноценную криптоидентификацию могут составлять еще несколько элементов, но я остановлюсь на четырех, над которыми мы будем работать в ближайшие месяцы и годы. Первый, как вы уже знаете, — это доменное имя. Эта функция уже работает в mainnet, и мы продолжаем работать над ее улучшением. Второй элемент — это фотография профиля, которая стала хитом продаж во время последнего «бычьего» скачка и остается популярной сегодня, поскольку самые большие коллекции NFT по-прежнему являются фотографиями профиля. Это важный аспект web3-идентификации, и StarkNet.ID вскоре интегрирует фотографии профиля, связанные с вашим доменным именем, так что каждый раз, когда кто-то будет искать ваше доменное имя, будет появляться и фотография вашего профиля.

Например, если вы прямо сейчас зайдете на свой кошелек Braavos, то увидите изображение этой личности в левой части. Наша цель — дать пользователям возможность менять это изображение с помощью StarkNet NFT. Если у вас есть, например, утка из коллекции Briq, вы сможете установить ее в качестве картинки профиля на StarkNet.ID, и все протоколы, которые уже используют имена .stark, также будут отображать картинки профилей пользователей StarkNet.ID.

В-третьих, мы планируем добавить удостоверения с жетонами Soulbound Tokens (SBTs), которые могут служить наградой за выполнение квестов, а также дипломы, аттестаты и т.д., аналогично тому, как это делается в сообществе Браавоса.

И, наконец, мы хотим добавить подтверждение человечности и KYC, поскольку считаем, что эти две функции будут иметь большое значение в ближайшие несколько лет. Это связано не только с регулированием, но и с DAO StarkNet.ID и нашим желанием обеспечить устойчивость к сибиллам при голосовании.

Итак, в целом мы работаем над четырьмя элементами полной криптографической web3-идентификации: доменные имена, NFT с изображением профиля, учетные данные с SBT и доказательство человечности.

Берт:

Вопрос: Стоит ли сегодня при покупке или создании нового доменного имени задумываться о том, чтобы иметь два разных имени — одно для моей криптографической Web3-идентификации, а другое — более профессиональное?

Бен:

Вы можете делать все, что хотите; жестких правил не существует. Можно даже использовать поддомены для создания нескольких идентификаторов. Например, у меня есть три кошелька: ‘fricoben.stark’ — публичный кошелек, ‘deployfricoben.stark’ — кошелек разработчика, на котором развертываются все контракты, которые я вызываю, и личный кошелек для всех моих рискованных инвестиций. Таким образом, вы можете иметь несколько идентификаторов, используя различные доменные имена или поддомены.

Берт:

Вопрос: Давайте поговорим о безопасности. Являются ли доменные имена еще одним уровнем защиты в дополнение к пирамиде безопасности Account Abstraction?

Motty:

Эти две функции дополняют друг друга. Доменные имена отлично подходят для установления Web3-идентичности и взаимодействия в человекопонятной форме. Например, если мне нужно отправить деньги Бену, я могу легко послать их по адресу ‘fricoben.stark’ вместо того, чтобы просить его прислать мне длинный адрес. Это значительно повышает удобство работы пользователя и снижает количество ошибок.

Что касается безопасности, то мы использовали возможности Braavos как смарт-кошелька для внедрения настоящей многофакторной аутентификации в криптовалютном пространстве. Хотя такие кошельки, как Gnosis и другие, имеют несколько подписывающих лиц, они используют только один фактор — «то, что вы знаете» — в качестве двух различных аутентификаторов.
Однако существует три основные категории аутентификации:

  • «Что-то, что вы знаете», например, пароль или начальная фраза.
  • «То, что у вас есть», например, физическое устройство или USB-носитель и т.д.
  • «То, чем вы являетесь», связанное с вашей физической сущностью, например, ваше лицо или отпечаток пальца.

Это становится все более распространенным в традиционном мире Web2 и TradFi, но не существует в криптовалюте, поскольку большинство блокчейнов не могут проверять такие вещи на цепи.

Тем не менее, с помощью абстракции учетных записей, низких цен на бензин и умной криптографии в Браавосе нам удалось внедрить настоящую многофакторную аутентификацию. Вместо того чтобы полагаться только на «то, что вы знаете», мы предлагаем пользователям криптовалют все три категории аутентификации. Это революционное изменение в данной области, а в сочетании с плавным пользовательским интерфейсом означает, что при активации Hardware Signer с двухфакторной аутентификацией подписание транзакций не отличается от оплаты с помощью Apple Pay или Google Pay. Я считаю, что она может стать настоящим победителем и, безусловно, улучшит общий опыт пользователей криптовалют.

Берт:

Вопрос: Как пользователи могут отличить истинную двухфакторную аутентификацию от неистинной?

Motty:

Когда речь идет о разграничении типов аутентификации, пользователи должны задавать себе вопрос: «Это то, что я знаю, то, что у меня есть, или то, чем я являюсь?». Это самый простой способ отличить различные типы аутентификации. Например, если это пароль или начальная фраза, то она относится к категории «то, что вы знаете», а не «то, что у вас есть», поскольку ее потенциально может знать и кто-то другой. Если это физическое устройство, то оно подпадает под понятие «то, что у вас есть», поскольку если оно находится в вашем распоряжении, то ни у кого другого его в распоряжении нет. А если это «то, чем вы являетесь», например, ваше лицо или отпечатки пальцев, то они уникальны для вас, что делает «миссию невозможной» для того, чтобы кто-то другой мог ими обладать. Используя такой подход, пользователи смогут лучше понять различные типы аутентификации и выступить за применение настоящей двухфакторной аутентификации, включающей как минимум две из этих категорий.

Важно отметить, что Hardware Signer уже является двухфакторной аутентификацией, поскольку использует «то, что у вас есть» (чип безопасности на мобильном устройстве), и «то, что вы есть» (биометрическое подтверждение с помощью идентификатора лица или отпечатка пальца). Таким образом, криптокошелек Braavos становится 2FA. Когда в Braavos будет добавлена подпись ноутбука, это введет еще один фактор аутентификации (то, что вы знаете), и у пользователей появится криптокошелек 3FA — трехфакторная аутентификация в полностью децентрализованном виде.

Берт:

Q: О самих хакерах мы не упоминали. Можете ли вы объяснить, как они действуют, когда пытаются взломать учетные записи пользователей?

Motty:

В мире криптовалют хакеры используют различные тактики для кражи средств пользователей. Наиболее распространенными методами являются социальная инженерия и атаки с использованием вредоносного ПО. Социально-инженерные атаки часто называют «фишингом начальной фразы», когда злоумышленник создает поддельный сайт, имитирующий популярный dApp, например Uniswap или Sushiswap. При входе в систему пользователю предлагается ввести свою начальную фразу, и, к сожалению, многие пользователи попадаются на эту уловку. Эта ошибка не является виной пользователя, скорее, это неспособность криптоиндустрии предоставить пользователям лучшие решения по обеспечению безопасности.

Вторым по распространенности вектором атаки является вредоносное ПО. Пользователь может невольно загрузить вредоносное ПО из поддельной программы или файла, присланного ему злоумышленником. После того как пользователь открывает файл, вредоносная программа запускается в фоновом режиме, ищет кошелек и похищает начальную фразу.

При наличии Hardware Signer и Multi-Signer (2FA и 3FA) эти атаки не имеют шансов на успех. Поскольку пользователь даже не знает своего закрытого ключа, его невозможно обманом заставить передать его злоумышленникам. Даже если пользователь сообщает свою начальную фразу, злоумышленнику для завершения транзакции необходимо мобильное устройство пользователя и биометрическая Web3-идентификация.

Берт:

Вопрос: Значит, если кто-то найдет мою начальную фразу, он сможет украсть мои средства, если я включу аппаратную подпись?

Motty:

Они все равно не смогут украсть ваши средства, даже если у них будет ваша начальная фраза. Для подписания транзакций, которые проверяются на блокчейне, им потребуется завладеть вашим физическим устройством + биометрической идентификацией. Это означает, что Hardware Signer обеспечивает дополнительный уровень безопасности, что существенно затрудняет доступ хакеров к вашим средствам.

Единственное действие, которое может предпринять хакер, используя начальную фразу, — это запросить удаление Hardware Signer из вашей учетной записи. Однако этот запрос сопровождается временной задержкой в четыре дня, в течение которых вы будете получать уведомления о том, что кто-то пытается удалить Hardware Signer из вашей учетной записи. Если это произошло, вы можете отменить этот запрос и перевести средства на новый кошелек. Цель данного запроса — дать вам возможность вернуть свои средства в случае утери, кражи или повреждения устройства, не подлежащего восстановлению. В будущем временная задержка будет настраиваться.

Чтобы присоединиться к сообществу Braavos и поделиться своими отзывами, мы предлагаем вам подключиться к нашему Discord и Twitter чтобы оставаться на связи и узнавать последние новости.

Получите криптовалютный смарт-кошелек Braavos с 2FA (двухфакторной аутентификацией) или 3FA (трехфакторной аутентификацией) и воспользуйтесь преимуществами аппаратной подписи и мультиподписи, скачав смарт-кошелек Braavos для StarkNet на мобильный телефон: Android и iOS, и для браузеров:Расширение Braavos Chrome,Аддон Braavos для Firefox, и других.Еще раз огромное спасибо Fricoben , генеральный директор StarkNet.ID за участие в этой увлекательной беседе.

Bertrand Blancheton

Bertrand Blancheton

Узнавайте первыми

Подпишитесь сейчас и получайте ежемесячные обновления и интересные новости о Braavos и экосистеме Starknet.