Prijatelji ne dopustite prijateljima da rade lošu kripto | BS.democraziakmzero.org

Prijatelji ne dopustite prijateljima da rade lošu kripto

Prijatelji ne dopustite prijateljima da rade lošu kripto

Dan Elitzer je blockchain i digitalnog identiteta vodstvo u IDEO CoLab, mrežu R & D koji istražuje utjecaj u razvoju tehnologije kroz cross-industrije suradnje.

U ovom mišljenju komadu, Elitzer objašnjava zašto projektiranje za sigurnost zahtijeva razmišljanje o platformi izvan vlastite.

Nedavno sam se susreo sa osnivanjem tim grupe izgradnje projekta u kriptovaluta prostoru. Hodali su moje kolege IDEO CoLab i mene preko svojih web aplikacija, pokazujući kako korisnici mogu kupiti i pohraniti Bitcoin ili etherin zatvorsku novčanik, a zatim koristite ta sredstva na različite načine. Primijetio sam da su imali mogućnost da direktno uđe privatni ključ da bi transakcija.

CRVENI ALARM!

Prvo pravilo kripto: nikad, nikad, nikad podijeliti svoje privatni ključ.

Korolar: Budite veoma skeptični, ako ne i potpuno sumnjivo, bilo usluga ili komunikacija traži svoj privatni ključ.

Nakon što se sastao sa ranije ovog tima i znajući svojim impresivnim pozadine, pitao sam - relativno mirno - zašto su tražili privatni ključ. Glavni tehnološki direktor objasnio da su sprovodi MyEtherWallet stilu alat za potpisivanje transakcija u pregledniku, tako da privatni ključ nikada ne će biti upućen njihov server.

Namjera je bila da omogući korisnicima da lako koristiti uslugu bez da pusti platformu pod nadzor sredstava, dok se eliminira trenje u vezi sa potrebe da se otvori poseban novčanik aplikacija za generiranje, potpisati, i emituju transakcije. To uklanja nekoliko koraka - Ura za korisničko iskustvo - ali da li prečicu zaista opravdava kompromisi?

Ja sam vrlo simpatičan do zaključka da UX u kripto svijet je užasno a tu je i potreba da budete kreativni u istraživanju mogućnosti za pojednostavljenje. I kao tim istakao, iz tehničke perspektive, ne bi izlaganje korisnicima da bilo koji veći rizik nego da ti korisnici ušli u privatne ključeve na MyEtherWallet.

To je istina - oni mogli implementirati istu open source koda kao MyEtherWallet. Vjerujem da će na odgovarajući način to učiniti i očekujem da neki značajan iznos njihovih budućih korisnika bi bili spremni da im vjerovati i osjećati osigurati ulazak privatnih ključeva na ovom sajtu.

Međutim, mene brine nije primarno da li oni mogu sigurno implementirati transakcija potpisivanje u pretraživaču; kao što sam rekao, vjerujem kako svoje nadležnosti i svoje namjere.

Ono što me brine više je da to daje lažni dojam, posebno onima novi u cryptocurrencies, da je u redu da unesete privatni ključ na web stranici.

Osnovne informacije higijena

Većina ljudi se koriste za rad u kontekstu u kojem, ako je ugrožena lozinku, čak i za bankovni račun, obično šteta iznosi najmanje donekle reverzibilna. Crypto je drugačija: ako podijeliti svoje privatne ključeve, gubite sve. Nema regres za dobivanje natrag svoj ukradeni Bitcoin, eter, ili drugi znakovi.

A siguran, pouzdan servis traži privatni ključevi normalizira koncept korisnika dijeljenje privatnih ključeva sa uslugama koje oni koriste. Ovo je loše.

Čak i ako je pouzdan kompanija u pitanju, to je virtualni garancija da svi kupuju, koriste, ili učestvuju u kriptovaluta ekosistema na bilo koji način će se u nekom trenutku naići na haker ili prevarant pokušava da ukrade novac. Obuka korisnika da je zahtjev za ulazak u svoje privatne ključeve može biti legitimna povećava vjerojatnost da će oni korisnici postaju žrtve prevara u budućnosti.

Analogni je kada tradicionalni financijskih usluga kompanija naziva klijenta o pitanju i traži da kupac dostave podatke kao i njihovi broj računa, adresa, ili zadnje 4 cifre njihove socijalne sigurnosti nunber pre nego što nastavite.

NE!

Nemojte trenirati vaši klijenti u cilju razmjene informacija ili pokušati da sprovede bilo kakve interakcije računa se odnose na telefonski poziv da klijent nije njega ili sama pokrene!

(Za sve one kojima je ovo vijest: molim te uvijek, uvijek, UVIJEK odmah završiti, kao što poziva i natrag kroz linije podrške navedene na web stranici kompanije u pitanje.)

Visok bar povjerenja

Tokom duboko razgovora koje je pokazalo da je tim dao puno razmatranja sigurnosti i upotrebljivosti ustupaka, direktor pokretanja upita: "Zašto je to u redu za MyEtherWallet da traže od korisnika da unesete svoje privatne ključeve ili postave svoje keystore datoteke, ali nije u redu za nas na to? " To je fer pitanje.

Prvo, pretpostavljam da većina ljudi ulaze svoje privatne ključeve za korištenje MyEtherWallet prvobitno formirana onih privatnih ključeva na MyEtherWallet s namjerom da ih koriste na MyEtherWallet u budućnosti. Ako ste već pouzdane web stranice ili aplikacije za generiranje svoje ključeve, nećeš uvelike širi svoj napad površine nastavljajući da im vjerovati kad idete na korištenje te ključeve.

Drugo, tu je posebnu ulogu taj novčanik softvera i usluga igrati u ovom ekosistema. Oni su agent koji posreduje interakciju korisnika s ostatkom kriptovaluta ekosistema i to je apsolutni imperativ da korisnik vjeruje da je njihov novčanik predstavlja tačne informacije da ih i ponaša u skladu sa namjerom korisnika. Kao takva, tu je nevjerojatno visok bar povjerenja taj novčanik programeri moraju ostvariti prije nego što će se upoznati korisnika kriptovaluta razmislite o korištenju ih da upravljaju svojim sredstvima.

Ako je kriptovaluta ekosistem se ikada razviti na takav način da tokena su korisni za aplikacije, ne samo investicije ili spekulacije, vidjet ćemo na stotine, tisuće, možda čak i milijune, usluga izgrađen koje uključuju interakcije, gdje korisnici trebaju generirati potpisa sa svoje privatne ključeve. Očekujući ljudi mogu razaznati da li treba vjerovati novu uslugu se susreću sa svojim privatne ključeve je neodrživa.

Čuvajte varalice

Jedna sugestija moj kolega imao je za MyEtherWallet (ili neki drugi visoko pouzdanih usluga) za stvaranje widget transakcije potpisivanja koji bi mogli biti ugrađeni u drugim lokacijama, tako da korisnici mogu biti sigurni ulazak svoje privatne ključeve. Izvršni direktor za pokretanje čak predložio da bi kompanija mogla čak stvoriti takav sam po sebi sredstvo i objaviti ga za druge da koriste. Dok Pozdravljam sentiment izgradnje nešto korisno i dijeljenje sa drugima, nije problem koji se može riješiti na ovaj način.

Recimo MyEtherWallet nije stvoriti brendirane widget transakcije potpisivanja. Kako bi se posjetiteljima na sajt sa widget ugrađenim znaju da je to bio pravi MyEtherWallet widget nego Lookalike da će ukrasti njihove privatne ključeve? "Oni mogu samo učiniti checksum." Pa, da vjeruju da je checksum je važeća, korisnik bi trebalo da prvo znam šta je checksum je, a zatim ga pokrenuti sami. Bilo koji vizualni znak da valjanost widget ili checksum se lako mogu lažirali.

Osim ako i dok ne postane razumno pretpostaviti da je velika većina korisnika imaju svoje agent softver automatski provjeru potpisa i trčanje checksum funkcije, koristeći lako lažirao vizuelnih signala da označi sigurnost će samo povećati ranjivost vaših korisnika.

Svi smo u ovome zajedno

Ispostavilo se da je to divno, nepovjerljiv budući da su mnogi od nas nastoje da stvore zapravo nije tako nepovjerljiv.

U stvari, to nije ni povjerenje-svedena na minimum.

To je povjerenje odredio: moramo biti vrlo specifične o whowe su poverenja za whattasks. To je dužnost svih učesnika u kriptovaluta ekosistema da pomogne korisnicima da razviju razumijevanje i intuiciju za to samo pita korisnika za minimum iznos od povjerenja i dozvole da nam je potrebna i pokazujući im da renomiranih usluge koje prate najbolje prakse u sigurnosti i otkrivanje za sve ostale funkcije.

Naša odgovornost prema našim korisnicima ne završava kada napuste naše stranice ili zatvoriti naše aplikacije. Ponašanja uče od nas - ili da smo doprinijeti normalizaciji - će voditi tome da li i kako su u interakciji sa bezbroj drugih usluga koje nailaze u budućnosti. U industriji u kojoj su često nepovratan korisnik greške, to je dužnost svih nas da zadrži otvor očekivanja korisnika kao usko usmjerena je moguće na najmanje rizično ponašanje.

Možemo izgraditi sigurniji i više user-friendly budućnosti za sve, ali samo ako ostanemo na oprezu o sigurnosti za naše korisnike u svim uslugama koje komuniciraju sa, ne samo naše.

Ako imate bilo kakve dobre primjere pogurao korisnika prema sigurnije ponašanje ili najbolje prakse za sigurnu dizajn UX, molimo vas da dijele u komentar ispod.

SecurityWalletsprivate ključeve

Povezane vijesti


Post Mjenjačnica

LazyCoins pokrenuo glavne izazove za kompanije bitcoin iz Velike Britanije

Post Mjenjačnica

Bitstamp Audit dokazuje da je bio iza $ 147 miliona Mystery Bitcoin novčanika

Post Mjenjačnica

Hong Kong Exchange ANX pokreće Bitcoin debitnu karticu

Post Mjenjačnica

Coinbase proširuje Evropsku službu na još 5 tržišta

Post Mjenjačnica

United Way postaje najveća neprofitna organizacija koja prihvata Bitcoin

Post Mjenjačnica

Tether traži 30 miliona dolara u američkom Tokenu ukradenog

Post Mjenjačnica

Coinbase za White Hat Hacker: Ne želimo tvoj Bitcoin

Post Mjenjačnica

Korejski Crypto Crackdown Talk privlači povratnu akciju od korisnika i političara

Post Mjenjačnica

Bitfinex Hack i dalje zaustavlja Bitcoin trgovce

Post Mjenjačnica

CoinDesk dodaje Coinbase i ItBit u Bitcoin Indeks cena

Post Mjenjačnica

BitWasp ima za cilj da olakša online prihvatanje bitkoina

Post Mjenjačnica

Kineske Bitcoin razmjene završavaju bez-naknada za trgovanje na tržištu