Web3 Kimliği ve Web3 Güvenliği: Bilmeniz gerekenler!
Braavosianstalk’un bu yeni bölümünde sunucumuz Motty Lavie, Braavos’un Kurucusu ve CEO’su ve Pazarlama Müdürü Bertrand Blancheton‘a Fricoben CEO’su StarkNet.ID . Bu Soru-Cevap serisi Web3 Kimliği kavramını açıklığa kavuşturmakta ve bunu bir Akıllı Sözleşme Cüzdanı ile birleştirmenin neden önemli olduğunu açıklamaktadır. Ayrıca teknik kavramları tartışıyor ve StarkNet’in evrimini keşfediyorlar.
Sorulara genel bakış
– Genel olarak Web3 kimliğine bir giriş yapabilir misiniz?
– Bir cüzdan oluştururken web3 kimliği kavramı önemli midir?
– Bir kripto kimliği oluşturabilecek unsurlar nelerdir?
– Yeni bir alan adı oluştururken birden fazla tanıtıcıya sahip olmayı düşünmeli miyim?
– Alan adları, Hesap Soyutlama Güvenlik Piramidine ek olarak başka bir güvenlik katmanı mıdır?
– Neyin gerçek iki faktörlü kimlik doğrulama olduğunu ve neyin olmadığını nasıl ayırt edebiliriz?
– Bilgisayar korsanlarının kullanıcı hesaplarını ele geçirmeye çalıştıklarında nasıl hareket ettiklerini açıklayabilir misiniz?
– Birisi tohum cümlemi bulursa, Donanım İmzalayıcıyı etkinleştirdiğimde fonlarımı çalabilir mi?
Bert:
Q: Birçok kişi kimlik kavramının kriptoda ne kadar önemli olduğunun farkında değil. Bize genel olarak Web3 kimliği hakkında bilgi verebilir misiniz?
Ben:
Web3 kimliği şu anda kripto alanındaki en büyük ürün-pazar uyumlarından biridir. Bunun nedeni, son boğa koşusunun, insanların profil resimleri olarak kullanmak için alan adları ve NFT’ler aracılığıyla kullanıcı adlarının yanı sıra ruha bağlı tokenlere bağlı kimlik bilgileriyle ilgilendiğini göstermesidir. Tüm bu unsurlar, profilinize dahil etmek istediğiniz verileri temsil ettiğinden Web3 kimliğinizi oluşturur. StarkNet.ID’deki amacımız, kullanıcıların zincir üzerindeki kimliklerini temsil eden tüm verileri birleştiren bir kimlik veya pasaport oluşturmalarını sağlamaktır. Şu anda öncelikle StarkNet’in adlandırma hizmetine odaklanıyoruz ve daha sonra kullanıcıların NFT profil resimlerini cüzdanlar da dahil olmak üzere StarkNet’in tüm protokollerinde göstermelerini sağlamaya odaklanmayı planlıyoruz.
Özünde Web3 kimliği, dünya ile paylaşmak istediğiniz tüm verileri ve sizi bir kullanıcı olarak nitelendiren tüm verileri ifade eder. Bu, sizi temsil eden isim ve görüntünün yanı sıra blok zincirindeki tüm faaliyetlerinizi de içerir.
Bert:
Q: Motty, Fricoben’in açıkladığı konuya ilişkin senin bakış açın nedir? Bir cüzdan oluştururken Web3 kimliği önemli midir?
Motty:
Web3 Kimliği, özellikle Braavos’ta bizim için bir cüzdan oluştururken inanılmaz derecede önemlidir. Fricoben’in de onaylayabileceği gibi, StarkNet’te bir ENS olması konusunda büyük bir destekçiydim çünkü Braavos’ta her şey mümkün olan en iyi kullanıcı deneyimini sağlamakla ilgilidir. Kullanıcılarımızın fonlarının güvende olmasını ve kimlik avı saldırılarına veya kötü amaçlı yazılımlara karşı korunmalarını sağlamak ve aynı zamanda hata yapmaktan kaçınmalarına yardımcı olmak için tüm kalbimizle çalışıyoruz.
Açıkçası, StarkNet’te 62 karakterli adresler kullanarak protokollerle veya diğer cüzdanlarla işlem yapmak hiç de kullanıcı dostu değil. Öte yandan, bir alan adı kullanmak çok daha kullanıcı dostudur çünkü hatırlanması daha kolaydır ve yazım hatalarına veya hatalara daha az eğilimlidir. Bu yüzden StarkNet.ID projesinin büyük hayranlarıyız ve bu yüzden yakın zamanda her Braavos kullanıcısına ücretsiz bir alt alan adı vermeye karar verdik.
Bert:
S: Alan adları ve profil resimlerinden bahsettik, ancak kimlik çok daha geniş bir kavramdır. Bir kripto kimliği oluşturabilecek diğer unsurlar nelerdir?
Ben:
Diğer birçok unsur tam bir kripto kimliği oluşturabilir, ancak ben önümüzdeki aylarda ve yıllarda üzerinde çalışacağımız dört tanesine odaklanacağım. Bunlardan ilki, zaten bildiğiniz gibi, alan adıdır. Bu özellik ana ağda zaten yayında ve hala onu geliştirmek için çalışıyoruz. İkinci unsur, son boğa koşusu sırasında büyük bir hit olan ve en büyük NFT koleksiyonlarının hala profil resimleri olması nedeniyle bugün de popülerliğini koruyan profil resmi. Bu, web3 kimliğinin önemli bir yönüdür ve StarkNet.ID yakında alan adınıza bağlı profil resimlerini entegre edecek, böylece birisi alan adınızı her aradığında profil resminiz de görünecektir.
Örneğin, şu anda Braavos cüzdanınızı ziyaret ederseniz, sol tarafta bu kimliğin görüntüsünü görebilirsiniz. Amacımız, kullanıcıların bu görüntüyü bir StarkNet NFT ile değiştirebilmelerini sağlamaktır. Örneğin, Briq koleksiyonundan bir ördeğiniz varsa, ördeğinizi StarkNet.ID’de profil resminiz olarak ayarlayabileceksiniz, böylece zaten .stark adlarını kullanan tüm protokoller StarkNet.ID kullanıcılarının profil resimlerini de gösterecektir.
Üçüncü olarak, Braavos topluluğunda yaptığınıza benzer şekilde, görevler için ödül olarak kullanılabilecek Ruha Bağlı Jetonlar (SBT’ler) ile diplomalar, tasdikler ve benzeri kimlik bilgileri eklemeyi hedefliyoruz.
Ve son olarak, insanlığın kanıtı ve KYC’yi eklemek istiyoruz çünkü bu iki özelliğin önümüzdeki birkaç yıl içinde önemli olacağına inanıyoruz. Bunun nedeni düzenlemelerin yanı sıra StarkNet.ID DAO ve Sybil direncini oylamalara dahil etme isteğimizdir.
Özetle, eksiksiz bir kripto web3 kimliği için dört unsur üzerinde çalışıyoruz: alan adları, profil resmi NFT’leri, SBT’lerle kimlik bilgileri ve insanlık kanıtı.
Bert:
S: Bugün yeni bir alan adı satın alırken veya oluştururken, biri kripto Web3 kimliğim için diğeri daha profesyonel olan iki farklı tanıtıcıya sahip olmayı düşünmeli miyim?
Ben:
Ne isterseniz yapabilirsiniz; katı ve kesin kurallar yoktur. Birden fazla kimlik oluşturmak için alt alan adlarını bile kullanabilirsiniz. Örneğin, üç cüzdanım var, bu yüzden genel cüzdanım olarak ‘fricoben.stark’, çağırdığım tüm sözleşmeleri dağıtan geliştirme cüzdanım için ‘deployfricoben.stark’ ve tüm riskli yatırımlarım için özel bir cüzdanım var. Böylece, farklı alan adları veya alt alan adları aracılığıyla birden fazla kimliğe sahip olabilirsiniz.
Bert:
S: Güvenlik hakkında konuşalım. Alan adları, Hesap Soyutlama Güvenlik Piramidi’ne ek olarak başka bir koruma katmanı mıdır?
Motty:
Bu iki özellik birbirini tamamlayıcı niteliktedir. Alan adları, Web3 kimliği oluşturmak ve insan tarafından okunabilir bir şekilde etkileşim kurmak için mükemmeldir. Örneğin, Ben’e para göndermem gerekiyorsa, bana uzun bir adres göndermesini istemek yerine kolayca ‘fricoben.stark’ adresine gönderebilirim. Bu, kullanıcı deneyimini önemli ölçüde iyileştirir ve hata sayısını azaltır.
Güvenlik cephesinde, Braavos’un gücünü akıllı bir cüzdan olarak kullanarak kripto alanına gerçek çok faktörlü kimlik doğrulamayı getirdik. Gnosis ve diğerleri gibi cüzdanlar birden fazla imzalayıcıya sahip olsa da, iki farklı kimlik doğrulayıcı olarak yalnızca bir faktör – “bildiğiniz bir şey” – kullanırlar.
Bununla birlikte, üç ana kimlik doğrulama kategorisi vardır:
- “Bildiğiniz bir şey”, bir şifre veya tohum cümlesi gibi.
- “Sahip olduğunuz bir şey”, örneğin fiziksel bir cihaz veya USB anahtarı vb.
- “Olduğunuz bir şey”, fiziksel varlığınızla, yani yüzünüz veya parmak izinizle ilgilidir.
Bu, geleneksel Web2 ve TradFi dünyasında daha yaygın hale geliyor, ancak kriptoda mevcut değil çünkü çoğu blok zinciri bu şeyleri zincir üzerinde doğrulayamıyor.
Bununla birlikte, Braavos’ta hesap soyutlama, düşük gaz fiyatları ve akıllı kriptografi yardımıyla gerçek çok faktörlü kimlik doğrulamayı uygulamaya koymayı başardık. Yalnızca “bildiğiniz bir şeye” güvenmek yerine, kripto kullanıcılarına üç kimlik doğrulama kategorisinin tümünü sunuyoruz. Bu, alan için çığır açan bir değişikliktir ve sorunsuz bir kullanıcı deneyimi ile birleştirildiğinde, iki faktörlü kimlik doğrulamalı Donanım İmzalayıcı etkinleştirildiğinde, işlemleri imzalamanın Apple Pay veya Google Pay ile ödeme yapmakla aynı olduğu anlamına gelir. Gerçek bir kazanan olma potansiyeline sahip olduğuna ve genel kripto kullanıcı deneyimini kesinlikle geliştireceğine inanıyorum.
Bert:
S: Kullanıcılar gerçek iki faktörlü kimlik doğrulama ile gerçek olmayan arasındaki farkı nasıl anlayabilir?
Motty:
Kimlik doğrulama türleri arasında ayrım yapmak söz konusu olduğunda, kullanıcılar kendilerine şu soruyu sormalıdır: “Bildiğim bir şey mi, sahip olduğum bir şey mi, yoksa olduğum bir şey mi?” Bu, çeşitli kimlik doğrulama türleri arasında ayrım yapmanın en kolay yoludur. Örneğin, bir parola veya tohum cümle ise, “sahip olduğunuz bir şey” yerine “bildiğiniz bir şey” kapsamına girer çünkü potansiyel olarak başka biri de bunu bilebilir. Eğer fiziksel bir cihazsa, o zaman “sahip olduğunuz bir şey” kapsamına girer çünkü eğer sizdeyse, başka hiç kimsede yoktur. Ve eğer yüzünüz ya da parmak iziniz gibi “size ait bir şey” ise, bu size özgüdür ve bir başkasının buna sahip olmasını “görev açısından imkansız” kılar. Bu yaklaşımı kullanarak kullanıcılar farklı kimlik doğrulama türlerini daha iyi anlayabilir ve bu kategorilerden en az ikisini içeren gerçek iki faktörlü kimlik doğrulamayı savunabilirler.
“Sahip olduğunuz bir şeyi” (mobil cihazınızdaki güvenlik çipi) ve “olduğunuz bir şeyi” (yüz kimliği veya parmak izi tanıma ile biyometrik onay) kullandığı için Donanım İmzalayıcısının zaten iki faktörlü kimlik doğrulama olduğunu belirtmek önemlidir. Bu, Braavos kripto cüzdanını 2FA yapar. Braavos’a dizüstü bilgisayar imzalama eklendiğinde, başka bir kimlik doğrulama faktörü (bildiğiniz bir şey) getirecek ve kullanıcılar 3FA kripto cüzdanına sahip olacak – tamamen merkezi olmayan bir şekilde üç faktörlü kimlik doğrulama.
Bert:
Q: Hackerların kendilerinden hiç bahsetmedik. Kullanıcı hesaplarını ele geçirmeye çalıştıklarında nasıl çalıştıklarını açıklayabilir misiniz?
Motty:
Kripto dünyasında, bilgisayar korsanları kullanıcıların fonlarını çalmak için farklı taktikler kullanıyor. Kullanılan en yaygın yöntemler sosyal mühendislik ve kötü amaçlı yazılım saldırılarıdır. Sosyal mühendislik saldırıları genellikle saldırganın Uniswap veya Sushiswap gibi popüler bir dApp’i taklit eden sahte bir web sitesi oluşturduğu “seed phrase phishing” olarak adlandırılır. Kullanıcı oturum açtığında, tohum cümlesini girmesi istenir ve ne yazık ki birçok kullanıcı bu numaraya kanar. Bu hata kullanıcının hatası değildir; daha ziyade, kripto endüstrisinin kullanıcılar için daha iyi güvenlik çözümleri sağlamadaki başarısızlığıdır.
En yaygın ikinci saldırı vektörü kötü amaçlı yazılımlardır. Kullanıcı farkında olmadan sahte bir programdan veya bir saldırganın kendisine gönderdiği bir dosyadan kötü amaçlı yazılım indirebilir. Kullanıcı dosyayı açtığında, kötü amaçlı yazılım arka planda çalışarak cüzdanı arar ve tohum cümlesini çalar.
Hardware Signer ve Multi-Signer (2FA ve 3FA) ile bu saldırıların başarılı olması mümkün değildir. Kullanıcı kendi özel anahtarını bile bilmediğinden, saldırganlara vermek için kandırılamaz. Kullanıcı tohum cümlesini verse bile, saldırganın işlemi tamamlamak için kullanıcının mobil cihazına ve biyometrik Web3 kimliğine ihtiyacı vardır.
Bert:
S: Peki birisi tohum cümlemi bulursa, Donanım İmzalayıcıyı etkinleştirdiğimde fonlarımı çalabilir mi?
Motty:
Tohum cümleniz ellerinde olsa bile fonlarınızı çalamazlar. Blok zincirinde doğrulanan işlemleri imzalamak için fiziksel cihazınızı + biyometrik kimliğinizi ele geçirmeleri gerekecektir. Bu, Hardware Signer’ın ek bir güvenlik katmanı sağladığı ve bilgisayar korsanlarının fonlarınıza erişmesini son derece zorlaştırdığı anlamına gelir.
Bir bilgisayar korsanının tohum cümlesiyle yapabileceği tek işlem Donanım İmzalayıcısının hesabınızdan kaldırılmasını talep etmektir. Ancak, bu talep dört günlük bir gecikmeyle birlikte gelir ve bu süre zarfında birisinin Donanım İmzalayıcısını hesabınızdan kaldırmaya çalıştığına dair bildirimler alırsınız. Böyle bir durumda, bu talebi iptal edebilir ve paranızı yeni bir cüzdana aktarabilirsiniz. Bu talebin amacı, cihazınızın kaybolması, çalınması veya tamir edilemeyecek şekilde hasar görmesi durumunda paranızı geri almanızı sağlamaktır. Zaman gecikmesi gelecekte yapılandırılabilir olacaktır.
Braavos Topluluğuna katılmak ve görüşlerinizi paylaşmak içinDiscordveTwitteriletişime geçmek ve en son haberleri kaçırmamak için.
2FA (2 faktörlü kimlik doğrulama) veya 3FA (3 faktörlü kimlik doğrulama) ile Braavos kripto akıllı cüzdanını edinin ve mobil cihazlarda StarkNet için Braavos akıllı cüzdanını indirerek Donanım İmzalayıcı ve Çoklu İmzalayıcıdan yararlanın: Android ve iOSveBraavos Chrome uzantısı,Braavos Firefox eklentisi, ve daha fazlasında ulaşılabilir..Tekrar, büyük bir teşekkür Fricoben CEO’su StarkNet.ID bu heyecan verici konuşmaya geldiğiniz için teşekkür ederiz.