Правильный (и неправильный) способ внедрения Web3

На прошлой неделе былонебольшой переполохвВеб 3 мир, когда новый протокол DeSo объявил об обновлении своего FLOW входа пользователей. Ранее децентрализованный медиасервис просил пользователей вводить свою «семенную фразу» в веб-интерфейс проекта, бросая вызов всем общепринятым лучшим практикам безопасности и вызывая критику в отрасли.

«Расширения Chrome, такие как MetaMask, более безопасны, но большинство обычных пользователей никогда их не установят. Вместо того, чтобы кричать на наших пользователей о лучших методах безопасности, мы сделали нечто радикальное: мы встретили их там, где они находятся сегодня»,объяснил основатель DeSo, Надер Аль-Наджи. Однако команда обнаружила, что они на самом деле не встречались с пользователями, которым давали это «10% людейнемедленно потеряли свое семя».

Джилл Гантер, обозреватель CoinDesk , является венчурным партнером Slow Ventures, где она инвестирует в ранние стадии Криптo и Web3-проектов. Она также является соучредителем Open Money Initiative, некоммерческой исследовательской организации, работающей над тем, чтобы гарантировать право на свободную и открытую финансовую систему.

Чтобы решить эту проблему, DeSo теперь предлагает пользователям возможность автоматически создавать резервные копии своих seed-фраз на Google Drive из приложения. Если что, то это даже хуже с точки зрения безопасности, чем их первоначальный FLOW входа.

Что касается фраз-семян, общепринятой практикой является никогда не хранить их на любом устройстве, подключенном к Интернету (или подключенном к нему). Эти фразы из 12, 18 или 24 слов позволяют пользователям восстанавливать активы, хранящиеся в данном цифровом кошельке, в случае потери или замены устройства, которое они использовали для доступа к своим средствам. Фразы-семян настолько конфиденциальны, потому что они позволяют любому, кто знает их волшебные слова, получить доступ к связанным активам.

Читать дальше: DeSo хочет вашу фразу-семя. Пусть придут и возьмут ее

Большинство Криптo и Web 3 приложений поощряют пользователей записывать свои seed-фразы и хранить их в безопасном месте, например, в бункере или физическом сейфе. Никому не говорите. Не храните фразу в онлайн-менеджере паролей, гласит мудрость, не говоря уже о вашем Google Drive. И никогда не вводите свою seed-фразу в форму на веб-сайте, чтобы не стать жертвой фишинговой атаки.

И все же, мой опыт взаимодействия со всеми видами пользователей Криптo и Web 3 показывает, что немногие принимают эту мудрость на вооружение. Легко сопереживать затруднительному положению ДеСо.

Я получил много сообщений от друзей, которые лишь поверхностно разбираются в Криптo , с просьбой помочь мне вспомнить, «какое предложение из 12 слов» они могли использовать для резервного копирования Bitcoin кошелька, созданного ими в 2017 году. (Примечание: в отличие от пароля, пользователи не решают, какой должна быть их исходная фраза; вместо этого она генерируется за них. Это еще один момент, вызывающий затруднения и путаницу, который необходимо преодолеть пользователям.)

Я видел фразы-семя, нацарапанные в блокнотах, оставленных в рюкзаках под прилавками в барах во время Криптo . Я выступал в качестве службы поддержки клиентов на Криптo , и пользователи присылали мне сообщения со своими приватными ключами (несмотря на мои увещевания не делать этого) с просьбой о помощи. Я видел, как пользователи публиковали свои приватные ключи в каналах Discord. Я сам всего пару недель назад наткнулся на 24 слова, нацарапанные на заметке-стикере на дне кошелька, которым я часто пользовался несколько лет назад. Сомневаюсь, что когда-нибудь узнаю, с каким кошельком это связано.

В свете этих наблюдений и опыта возникает соблазн пожать плечами и сказать, что, возможно, ДеСо прав. Для обычного пользователя, впервые пробующего Web 3, возможно, это самый разумный подход — хранить начальные фразы где-то вроде Google Drive. Лучше там, чем в ящике для носков, верно?

Проблема в том, что даже если сегодня ставки для обычного пользователя будут низкими при хранении ключей в Google Drive, в конечном итоге последствия могут стать финансово значительными. Кажется, что каждый год СМИ зацикливаются на каком-нибудь очередном бедолаге, который купил Bitcoin в 2011 году, заработал сотни миллионов долларов, но потерял свою фразу-семя и больше не может получить доступ к средствам (парень, который потерял полмиллиарда на свалке в Уэльсеприходит на ум).

Хотя пользователи DeSo, которые хранят свои seed-фразы в Google Drive, не будут беспокоиться о потере следа seed-фразы, им придется беспокоиться о том, что их учетная запись Google станет целью для хакеров. Если многие ранние последователи протокола действительно станут миллионерами за счет активов, которые они хранили в системе DeSo, то Google Drive внезапно станет огромной приманкой для всех них. Это опасно для пользователей — и, по-видимому, это ситуация, которую DeSo хотел бы избежать.

Для отрасли есть еще большая проблема с подходом DeSo. Он учит пользователей делать то, что опасно, не объясняя им должным образом, какие риски существуют. DeSo не обучает пользователей и не снижает риски, которые они просят их принять. DeSo просто срезает углы и создает проблемные привычки, которые пользователи возьмут с собой, когда будут использовать другие приложения Web 3.

Пользовательский опыт доступа и взаимодействия с Криптo остается нерешенной проблемой. Web 3 и Криптo почти по определению требуют от пользователей брать на себя больше ответственности при взаимодействии с Интернетом. Ответственность и проблемы выходят далеко за рамки проблемы хранения исходной фразы. Многие ярые сторонники Криптo выступают за то, чтобы пользователи запускали собственные узлы для протоколов, с которыми они взаимодействуют. Пользователям регулярно приходится перемещаться по обозревателям блоков, чтобы просматривать сведения о транзакциях, упаковывать и распаковывать активы в различные стандарты токенов и, конечно же, иметь дело с дорогими, непрозрачными и непредсказуемыми сборами.

Большая часть Криптo переворачивает то, что Web 2 приучил пользователей ожидать и чувствовать себя комфортно. С надежными, бесплатными, бесшовными приложениями Web 2 пользователи могут переносить данные между устройствами, которые открываются и разворачиваются одним взглядом или нажатием на наручные часы, часто даже без ввода пароля. Это резко контрастирует с Web 3 и его изолированным от устройств, интенсивным в плане безопасности опытом, который требует от пользователей перемещаться по непостижимым потокам, часто с небольшим обучением или инструкциями, встроенными в продукт.

И в этом заключается ключевая часть решения для пользовательского опыта: образование. Мы не должны думать о пользователях так низко, чтобы нам пришлось экономить на них, как это делает ДеСо. В конце концов, CORE принцип Криптo заключается в расширении прав и возможностей личности. Расскажите пользователям об их возможностях и связанных с ними рисках (включая, конечно, возможности хранения сид-фразы в Google Drive) и позвольте им выбирать.

Когда я думаю о пользовательском опыте Web 3 сегодня, я часто возвращаюсь к своему самому раннему опыту использования компьютера и Интернета. Я вспоминаю, как в возрасте 5 или 6 лет я наблюдал, как мой дядя настраивал компьютер Gateway для моих родителей в нашей гостиной и впервые подключал нас к коммутируемому Интернету. Он использовал всевозможные жаргонизмы, которые стали родными для нас всех в течение следующих 10 лет, но для моих родителей были явно чуждыми и неудобными.

«Операционная система», «модем», «IP-адрес». Я до сих пор помню ауру скептицизма и истощения, которая, казалось, окружала моих родителей, когда дядя ушел в тот день. Как будто они думали: «Мы никогда не поймем, как этим пользоваться».

Читать дальше: DeSo запускает фонд в размере 50 млн долларов для децентрализованной социальной экосистемы

Но мы все это поняли! Средний пользователь компьютера, возможно, не сможет дать вам точное, технически верное объяснение роли операционной системы на его компьютере, или почему нужен модем, или как выводится IP-адрес. Но миллиарды из нас поняли, как обновить операционную систему, подключить модем и подключиться к сетям Wi-Fi. Отчасти это свелось к инновациям в пользовательском опыте, но большая часть этого просто стала результатом обучения пользователей в сочетании, что важно, с сильными стимулами для пользователей, чтобы они быстрее входили в курс дела. Как только я мельком увидел, что может предложить мне этот старый настольный компьютер, подключенный к Интернету, я поставил себе задачу понять, что мне нужно, чтобы иметь возможность им пользоваться. Neopets и America Online были достаточно мотивированы, чтобы разобраться во всей его сложности.

То же самое относится и будет относиться к Криптo и Web 3. При достаточно сильном ценностном предложении опасения по поводу того, что пользователи откажутся и откажутся от перспективы загрузки плагина Chrome или необходимости безопасно хранить фразу из 12 слов, уменьшатся у разработчиков продуктов. Это не значит, что мы не должны продолжать работать над улучшением этих впечатлений. Это лишь означает, что мы не должны предполагать, что нам придется идти на крайние меры, экономя на пользователях, которые уже есть. Мы должны отдать им больше должного. И если экономия на углах — это то, что нужно пользователям, чтобы выбрать ваш продукт, то, возможно, вам следует пересмотреть, действительно ли ваш продукт предоставляет достаточную ценность.