Mga Kaibigan T Hayaan ang Mga Kaibigan na Gumawa ng Masamang Crypto

Si Dan Elitzer ay ang blockchain at digital identity lead sa IDEO CoLab, isang R&D network na nag-e-explore sa epekto ng umuusbong na tech sa pamamagitan ng cross-industry collaborations.

Sa piraso ng Opinyon na ito, ipinaliwanag ni Elitzer kung bakit ang pagdidisenyo para sa seguridad ay nangangailangan ng pag-iisip tungkol sa mga platform na higit sa sarili.

Kamakailan ay nakilala ko ang founding team ng isang grupo na nagtatayo ng isang proyekto sa espasyo ng Cryptocurrency . Nilakad nila akoIDEO CoLabmga kasamahan at ako sa pamamagitan ng kanilang web app, na nagpapakita kung paano makakabili at makakapag-imbak ang mga user ng Bitcoin o ether sa isang custodial wallet, at pagkatapos ay gamitin ang mga pondong iyon sa iba't ibang paraan. Napansin ko na mayroon din silang opsyon na direktang magpasok ng pribadong key para makagawa ng transaksyon.

PULANG ALERTO!

Unang panuntunan ng Crypto: hindi kailanman, kailanman, kailanman, ibahagi ang iyong pribadong key.

Corollary: Maging labis na nag-aalinlangan, kung hindi man tahasang kahina-hinala, sa anumang serbisyo o komunikasyon na humihiling ng iyong pribadong key.

Dahil nakilala ko ang pangkat na ito dati at alam ang kanilang mga kahanga-hangang background, nagtanong ako - medyo mahinahon - kung bakit sila humihingi ng pribadong susi. Ipinaliwanag ng punong opisyal ng Technology na nagpapatupad sila ng tool na istilong MyEtherWallet para sa pag-sign ng mga transaksyon sa browser, kaya hinding-hindi maipapadala ang pribadong key sa kanilang server.

Ang layunin ay upang payagan ang mga user na madaling gamitin ang serbisyo nang hindi kinakailangang hayaan ang platform na kustodiya ng mga pondo, habang inaalis din ang alitan na nauugnay sa kinakailangang magbukas ng isang hiwalay na application ng wallet upang bumuo, mag-sign, at mag-broadcast ng isang transaksyon. Nag-aalis ito ng ilang hakbang – hooray para sa karanasan ng user – ngunit talagang ginagarantiyahan ba ng shortcut ang mga trade-off?

Lubos akong nakikiramay sa pananaw na ang UX sa mundo ng Crypto ay kakila-kilabot at may pangangailangan na maging malikhain sa paggalugad ng mga pagkakataon para sa pagpapasimple. At gaya ng itinuro ng koponan, mula sa isang teknikal na pananaw, hindi nila ilalantad ang mga user sa anumang higit pang panganib kaysa kung ipinasok ng mga user na iyon ang kanilang mga pribadong key sa MyEtherWallet.

Totoo iyon – maaari nilang ipatupad ang eksaktong parehong open source code bilang MyEtherWallet. Nagtitiwala ako na gagawin nila ito nang maayos at inaasahan ko na ang ilang makabuluhang halaga ng kanilang mga user sa hinaharap ay handang magtiwala sa kanila at maging ligtas sa pagpasok ng mga pribadong key sa website na ito.

Gayunpaman, ang aking alalahanin ay hindi pangunahin kung maaari nilang ligtas na ipatupad ang pag-sign sa transaksyon sa browser; gaya ng sinabi ko, nagtitiwala ako sa kanilang kakayahan at sa kanilang mga intensyon.

Ang higit na nag-aalala sa akin ay nagbibigay ito ng maling impression, lalo na sa mga bago sa cryptocurrencies, na OK lang na ilagay ang iyong pribadong key sa isang website.

Pangunahing impormasyon sa kalinisan

Karamihan sa mga tao ay nakasanayan na sa paggamit sa konteksto kung saan kung ang isang password ay nakompromiso, kahit na para sa isang bank account, kadalasan ang pinsala ay hindi bababa sa medyo mababawi. Iba ang Crypto : kung ibabahagi mo ang iyong mga pribadong key, matatalo ka lahat. Walang paraan para maibalik ang iyong ninakaw na Bitcoin, ether, o iba pang mga token.

Ang isang secure, mapagkakatiwalaang serbisyo na humihiling ng mga pribadong key ay nag-normalize sa konsepto ng mga user na nagbabahagi ng mga pribadong key sa mga serbisyong ginagamit nila. Ito ay masama.

Kahit na ang pinag-uusapang kumpanya ay mapagkakatiwalaan, ito ay isang virtual na garantiya na ang lahat ng bumibili, gumagamit, o nakikilahok sa Cryptocurrency ecosystem sa anumang paraan ay makakatagpo sa isang punto ng isang hacker o scammer na sinusubukang nakawin ang kanilang pera. Ang pagsasanay sa mga user na ang isang Request ipasok ang kanilang mga pribadong key ay maaaring maging lehitimong pinapataas ang posibilidad na ang mga user na iyon ay mabiktima ng isang scam sa hinaharap.

Ang kahalintulad nito ay kapag ang isang tradisyunal na kumpanya ng mga serbisyo sa pananalapi ay tumawag sa isang customer tungkol sa isang isyu at humiling na ang customer ay magbigay ng data tulad ng kanilang account number, address, o huling 4 na digit ng kanilang Social Security nunber bago magpatuloy.

HINDI!

Huwag sanayin ang iyong mga customer na magbahagi ng impormasyon o subukang magsagawa ng anumang mga pakikipag-ugnayan na nauugnay sa account sa isang tawag sa telepono na hindi siya mismo ang nagpasimula ng customer!

(Para sa sinumang may balitang ito: mangyaring palaging, palagi, LAGING tapusin kaagad ang mga naturang tawag at tumawag muli sa pamamagitan ng linya ng suporta na nakalista sa website ng kumpanyang pinag-uusapan.)

Isang mataas na bar ng tiwala

Sa isang malalim na pag-uusap na nagpahayag na ang koponan ay nagbigay ng maraming pagsasaalang-alang sa seguridad at usability tradeoff, ang startup CEO ay nagtanong, "Bakit okay para sa MyEtherWallet na hilingin sa mga user na ipasok ang kanilang mga pribadong key o i-upload ang kanilang mga keystore file, ngunit hindi OK para sa amin na gawin ito?" Iyan ay isang patas na tanong.

Una, ipagpalagay ko na ang karamihan sa mga taong pumapasok sa kanilang mga pribadong key upang gamitin ang MyEtherWallet ay orihinal na nakabuo ng mga pribadong key na iyon sa MyEtherWallet na may layuning gamitin ang mga ito sa MyEtherWallet sa hinaharap. Kung pinagkakatiwalaan mo na ang isang website o application upang buuin ang iyong mga susi, hindi mo lubos na pinapalawak ang iyong pag-atake sa pamamagitan ng patuloy na pagtitiwala sa kanila kapag ginamit mo ang mga key na iyon.

Pangalawa, may espesyal na papel na ginagampanan ng wallet software at mga serbisyo sa ecosystem na ito. Sila ang ahente na namamagitan sa pakikipag-ugnayan ng user sa natitirang bahagi ng Cryptocurrency ecosystem at talagang kailangan na magtiwala ang user na ang kanilang wallet ay nagpapakita ng tumpak na impormasyon sa kanila at kumikilos alinsunod sa layunin ng user. Dahil dito, mayroong isang hindi kapani-paniwalang mataas na bar ng tiwala na dapat makamit ng mga developer ng wallet bago isaalang-alang ng mga may kaalamang gumagamit ng Cryptocurrency ang paggamit sa kanila upang pamahalaan ang kanilang mga asset.

Kung bubuo ang Cryptocurrency ecosystem sa paraang magiging kapaki-pakinabang ang mga token para sa mga application na higit pa sa pamumuhunan o haka-haka, makakakita tayo ng daan-daang, libo, posibleng milyon-milyon pa, ng mga serbisyong binuo na kinabibilangan ng mga pakikipag-ugnayan kung saan kailangan ng mga user na bumuo ng mga lagda gamit ang kanilang mga pribadong key. Ang pag-asam na matukoy ng mga tao kung dapat nilang pagkatiwalaan ang isang bagong serbisyong nakatagpo nila gamit ang kanilang mga pribadong susi ay hindi mapagkakatiwalaan.

Mag-ingat sa mga impostor

Ang ONE suhestyon ng isang kasamahan ko ay para sa MyEtherWallet (o isa pang lubos na pinagkakatiwalaang serbisyo) na lumikha ng isang widget sa pag-sign ng transaksyon na maaaring i-embed sa ibang mga site, upang maging kumpiyansa ang mga user na ipasok ang kanilang mga pribadong key. Iminungkahi pa ng startup CEO na maaaring gumawa ang kumpanya ng ganoong tool mismo at i-publish ito para magamit ng iba. Habang pinupuri ko ang damdamin ng pagbuo ng isang bagay na kapaki-pakinabang at pagbabahagi nito sa iba, ang problema ay ONE maaaring malutas sa ganitong paraan.

Sabihin nating gumawa ang MyEtherWallet ng may tatak na widget sa pagpirma ng transaksyon. Paano malalaman ng mga bisita sa isang site na may widget na naka-embed na ito ay isang tunay na MyEtherWallet widget sa halip na isang kamukha na magnanakaw ng kanilang mga pribadong key? "Checksum na lang kaya nila." Well, para magtiwala na valid ang isang checksum, kailangan munang malaman ng user ano ang checksum, pagkatapos ay patakbuhin ito mismo. Ang anumang visual na cue tungkol sa bisa ng widget o checksum ay madaling mapeke.

Maliban kung at hanggang sa maging makatwiran na ipagpalagay na ang napakaraming user ay may sarili nilang software ng ahente na awtomatikong nagbe-verify ng mga lagda at pagpapatakbo ng mga function ng checksum, ang paggamit ng madaling pekeng visual na mga pahiwatig upang ipahiwatig ang seguridad ay tataas lamang ang kahinaan ng iyong mga user.

Sama-sama tayong lahat dito

Lumalabas na ang kahanga-hanga at walang tiwala na hinaharap na ito na sinisikap ng marami sa atin na likhain ay T talaga napakawalang tiwala.

Sa katunayan, ito ay hindi kahit trust-minimize.

Ito ay tukoy sa tiwala: kailangan nating maging tiyak tungkol sa WHO kami ay nagtitiwala para sa ano mga gawain. May tungkulin sa lahat ng kalahok sa Cryptocurrency ecosystem na tulungan ang mga user na bumuo ng pang-unawa at intuwisyon para dito sa pamamagitan lamang ng pagtatanong sa mga user ng kaunting tiwala at mga pahintulot na kailangan namin at ituro sa kanila ang mga mapagkakatiwalaang serbisyo na Social Media sa pinakamahuhusay na kagawian sa seguridad at Disclosure para sa lahat ng iba pang function.

Ang aming responsibilidad sa aming mga user ay hindi nagtatapos kapag umalis sila sa aming site o isinara ang aming app. Ang mga pag-uugali Learn nila mula sa amin - o na nag-aambag kami sa pag-normalize - ay gagabay sa kung at paano sila nakikipag-ugnayan sa napakaraming iba pang mga serbisyong makakaharap nila sa hinaharap. Sa isang industriya kung saan ang mga pagkakamali ng user ay madalas na hindi na mababawi, tungkulin nating lahat na KEEP ang siwang ng mga inaasahan ng user bilang makitid na nakatutok hangga't maaari sa pinakamaliit na peligrosong gawi.

Makakagawa tayo ng mas secure at mas madaling gamitin na kinabukasan para sa lahat, ngunit kung mananatili tayong mapagbantay tungkol sa seguridad para sa ating mga user sa lahat ng mga serbisyong nakikipag-ugnayan sila, hindi lang sa atin.

Kung mayroon kang anumang magagandang halimbawa ng pag-uudyok sa mga user patungo sa mas secure na gawi o pinakamahuhusay na kagawian para sa secure na disenyo ng UX, mangyaring ibahagi sa isang komento sa ibaba.

Nakalantad na password larawan sa pamamagitan ng Shutterstock