Amigos T deixam amigos fazerem Cripto ruim

Dan Elitzer é o líder de blockchain e identidade digital na IDEO CoLab, uma rede de P&D que explora o impacto de tecnologias emergentes por meio de colaborações entre setores.

Neste artigo de Opinião , Elitzer explica por que projetar para segurança exige pensar em plataformas além da sua.

Recentemente, me encontrei com a equipe fundadora de um grupo que está construindo um projeto no espaço de Criptomoeda . Eles me acompanharamIDEO CoLabcolegas e eu por meio de seu aplicativo da web, mostrando como os usuários poderiam comprar e armazenar Bitcoin ou ether em uma carteira custodial e, então, usar esses fundos de várias maneiras. Percebi que eles também tinham uma opção para inserir uma chave privada diretamente para fazer uma transação.

ALERTA VERMELHO!

Primeira regra da Cripto: nunca, jamais, JAMAIS compartilhe sua chave privada.

Corolário: Seja extremamente cético, se não totalmente desconfiado, de qualquer serviço ou comunicação que solicite sua chave privada.

Tendo me encontrado com essa equipe anteriormente e conhecendo seus históricos impressionantes, perguntei – relativamente calmamente – por que eles estavam pedindo uma chave privada. O diretor de Tecnologia explicou que eles estavam implementando uma ferramenta estilo MyEtherWallet para assinar transações no navegador, então a chave privada nunca seria enviada para o servidor deles.

A intenção era permitir que os usuários usassem o serviço facilmente sem ter que deixar a plataforma assumir a custódia dos fundos, ao mesmo tempo em que eliminava o atrito associado à necessidade de abrir um aplicativo de carteira separado para gerar, assinar e transmitir uma transação. Ele remove algumas etapas – viva a experiência do usuário – mas o atalho realmente justifica as compensações?

Sou muito simpático à visão de que a UX no mundo Cripto é horrível e há uma necessidade de ser criativo na exploração de oportunidades de simplificação. E como a equipe apontou, de uma perspectiva técnica, eles não estariam expondo os usuários a mais riscos do que se esses usuários inserissem suas chaves privadas no MyEtherWallet.

Isso é verdade – eles poderiam implementar exatamente o mesmo código-fonte aberto do MyEtherWallet. Eu confio que eles fariam isso corretamente e espero que uma quantidade significativa de seus futuros usuários estariam dispostos a confiar neles e se sentiriam seguros ao inserir chaves privadas neste site.

No entanto, minha preocupação não é principalmente se eles conseguiriam implementar com segurança a assinatura de transações no navegador; como eu disse, confio tanto na competência quanto nas intenções deles.

O que mais me preocupa é que isso dá a falsa impressão, especialmente para aqueles que são novos em criptomoedas, de que não há problema em inserir sua chave privada em um site.

Informações básicas sobre higiene

A maioria das pessoas está acostumada a operar no contexto em que, se uma senha for comprometida, mesmo para uma conta bancária, geralmente o dano é pelo menos um pouco reversível. A Cripto é diferente: se você compartilha suas chaves privadas, você perde tudo. Não há como recuperar seus Bitcoin, ethers ou outros tokens roubados.

Um serviço seguro e confiável solicitando chaves privadas normaliza o conceito de usuários compartilhando chaves privadas com serviços que eles usam. Isso é ruim.

Mesmo que a empresa em questão seja confiável, é uma garantia virtual de que todos que compram, usam ou participam do ecossistema de Criptomoeda de qualquer forma encontrarão em algum momento um hacker ou golpista tentando roubar seu dinheiro. Treinar os usuários de que uma Request para inserir suas chaves privadas pode ser legítima aumenta a probabilidade de que esses usuários sejam vítimas de um golpe no futuro.

Um exemplo disso é quando uma empresa tradicional de serviços financeiros liga para um cliente sobre um problema e solicita que ele forneça dados como número da conta, endereço ou os últimos 4 dígitos do seu número de Previdência Social antes de prosseguir.

NÃO!

Não treine seus clientes para compartilhar informações ou tentar conduzir qualquer interação relacionada à conta em uma chamada telefônica que o próprio cliente não iniciou!

(Para quem quer que tenha essa novidade: por favor, SEMPRE, SEMPRE, SEMPRE encerre essas ligações imediatamente e retorne a ligação por meio de uma linha de suporte listada no site da empresa em questão.)

Um alto padrão de confiança

Durante uma conversa profunda que revelou que a equipe havia considerado bastante as compensações entre segurança e usabilidade, o CEO da startup perguntou: "Por que é aceitável que a MyEtherWallet peça aos usuários que insiram suas chaves privadas ou carreguem seus arquivos de keystore, mas não é aceitável que façamos isso?" Essa é uma pergunta justa.

Primeiro, eu presumo que a maioria das pessoas que inserem suas chaves privadas para usar o MyEtherWallet originalmente geraram essas chaves privadas no MyEtherWallet com a intenção de usá-las no MyEtherWallet no futuro. Se você já confiava em um site ou aplicativo para gerar suas chaves, não está expandindo muito sua superfície de ataque ao continuar confiando neles quando for usar essas chaves.

Segundo, há um papel especial que o software e os serviços de carteira desempenham neste ecossistema. Eles são o agente que media a interação do usuário com o resto do ecossistema de Criptomoeda e é absolutamente imperativo que o usuário confie que sua carteira está apresentando informações precisas a ele e está se comportando de acordo com a intenção do usuário. Como tal, há um nível de confiança incrivelmente alto que os desenvolvedores de carteiras devem atingir antes que usuários experientes de Criptomoeda considerem usá-los para gerenciar seus ativos.

Se o ecossistema de Criptomoeda for se desenvolver de tal forma que os tokens sejam úteis para aplicações além de apenas investimento ou especulação, veremos centenas, milhares, possivelmente até milhões, de serviços construídos que incluem interações onde os usuários precisam gerar assinaturas com suas chaves privadas. Esperar que as pessoas sejam capazes de discernir se devem confiar em um novo serviço que encontram com suas chaves privadas é insustentável.

Cuidado com os impostores

Uma sugestão que um colega meu deu foi para o MyEtherWallet (ou outro serviço altamente confiável) criar um widget de assinatura de transações que pudesse ser incorporado em outros sites, para que os usuários pudessem ter confiança ao inserir suas chaves privadas. O CEO da startup até sugeriu que a empresa poderia até mesmo criar uma ferramenta dessas e publicá-la para outros usarem. Embora eu aplauda o sentimento de construir algo útil e compartilhá-lo com outros, o problema não é ONE que pode ser resolvido dessa forma.

Digamos que o MyEtherWallet criou um widget de assinatura de transação de marca. Como os visitantes de um site com o widget incorporado saberiam que era um widget MyEtherWallet genuíno em vez de um sósia que roubaria suas chaves privadas? "Eles podem simplesmente fazer uma soma de verificação." Bem, para confiar que uma soma de verificação é válida, o usuário precisaria primeiro sabero que é uma soma de verificação, então execute-o eles mesmos. Qualquer dica visual quanto à validade do widget ou checksum poderia ser facilmente falsificada.

A menos que seja razoável supor que a esmagadora maioria dos usuários tenha seu próprio software agente verificando assinaturas e executando funções de soma de verificação automaticamente, usar sinais visuais facilmente falsificados para indicar segurança só aumentará a vulnerabilidade dos seus usuários.

Estamos todos juntos nisso

Acontece que esse futuro maravilhoso e sem confiança que muitos de nós estamos nos esforçando para criar T é, na verdade, tão sem confiança assim.

Na verdade, nem sequer há minimização de confiança.

É especificado pela confiança: precisamos ser muito específicos sobreQuemestamos confiando emo que tarefas. É responsabilidade de todos os participantes do ecossistema de Criptomoeda ajudar os usuários a desenvolver uma compreensão e intuição para isso, pedindo aos usuários apenas a quantidade mínima de confiança e permissões que precisamos e apontando-os para serviços confiáveis ​​que Siga as melhores práticas em segurança e Aviso Importante para todas as outras funções.

Nossa responsabilidade com nossos usuários não termina quando eles saem do nosso site ou fecham nosso aplicativo. Os comportamentos que eles Aprenda conosco – ou que contribuímos para normalizar – orientarão se e como eles interagem com a miríade de outros serviços que encontrarão no futuro. Em um setor em que os erros do usuário são frequentemente irreversíveis, cabe a todos nós KEEP a abertura das expectativas do usuário o mais estreitamente focada possível nos comportamentos menos arriscados.

Podemos construir um futuro mais seguro e fácil de usar para todos, mas somente se permanecermos vigilantes quanto à segurança de nossos usuários em todos os serviços com os quais eles interagem, não apenas no nosso.

Se você tiver bons exemplos de como incentivar os usuários a adotar um comportamento mais seguro ou práticas recomendadas para design de UX seguro, compartilhe em um comentário abaixo.

Senha expostaimagem via Shutterstock