Ambireのコミュニケーションマネージャー、IvanManchevによる
暗号通貨と DeFi が広く普及するまでの課題の 2 つは鍵管理です。 驚くべきことに、WebXNUMX の電子メール ログインの概念は、非保管的な方法であっても、この問題を解決できます。
シードフレーズについて
- アローン 2. グレア 3. 純粋さ 4. インナー 5. 嘘つき 6. ワイヤー。 …。 ???
初めてシードフレーズを書き留めるように頼まれたときのことを覚えていますか? おそらくあなたは混乱したでしょう:
- これを単にメモに貼り付けるのではなく、紙に書くのはなぜでしょうか?
- Web3 アプリに「ログイン」するために、毎回これだけのことを記述する必要がありますか?
- その言葉をもっと馴染みのある言葉に変えてもらえますか?
- うーん、パスワードか何かを尋ねることはできないのでしょうか?
シード フレーズはそれほど悪くありませんが、暗号化がどのように機能するかを知らないと非常に奇妙に見えます。 そして、ほとんどの人は暗号化がどのように機能するかを知りません。
現在、Web99 の初心者ユーザーの 3% は、アカウントやアプリの認証として電子メール/パスワードを長年使用してきたことから Web2 の経験を積んでいます。 そして、暗号通貨企業とウォレットはユーザーを教育するために最善を尽くしていますが、混乱は避けられないようで、常に潜んでいる詐欺師に無数の機会を与えています。
この実験を試してみてください。Google で「Curve」、「Aave」、または「Uniswap」と検索し、最初の広告結果にヒットします。 接続してみると、シード フレーズを伴う最も一般的なソーシャル エンジニアリング詐欺を経験することになります。Web サイトがメタマスクを模倣し、誤解を招くユーザーにシード フレーズを尋ねます。 (実際にはそんなことはしないでください。少なくともシードフレーズは書かないでください!)
これは常に起こっており、2021 年は未解決の問題の素晴らしい例でした。 NFTの人気の高まりに伴い、昨年は多くの新規ユーザーが暗号通貨パーティーに参加しました。 彼らの中には、幸運にもBored Ape Yacht Club NFTを購入し、価格が1000倍に値上がりするのを目にした人もいました…しかし、ウォレットのキー管理が不十分だったために盗まれました。
では、なぜ依然としてパスワードの代わりにシードフレーズを使用しているのでしょうか?
残念ながら、一般的なイーサリアム アドレスは秘密キー (長いテキスト文字列) でロック解除されます。 自分のキーを所有している場合は、自分のアドレスで好きなことを行うことができます。 キーをファイルに保存してインポートしてウォレットのロックを解除するか、シード フレーズ ニーモニックを使用します。 秘密キーの代わりにパスワードを導入する方法はありません…
…実は方法はありますが、その代償としてウォレットを完全に制御できなくなります。 一部のサービスでは、ユーザーの秘密キーを保持し、ウォレットのロックを解除するためにパスワードを使用できるようにしています。 これによりオンボーディングが可能になりますが、分散化の中心原則の XNUMX つが破られており、従来のサービスの仕組みとそれほど変わりません。 使用しているサービスにより、いつでもアクセスが遮断される可能性があります。
しかし、キーを保持したまま、電子メールとパスワードを使用してウォレットのロックを解除する方法が実際にあると言ったらどうなるでしょうか?
スマートウォレットの登場です
スマート ウォレットについては、これまで何度も議論されてきました。「アカウントの抽象化」と呼ばれる同様の概念について聞いたことがあるかもしれません。
基本的には、各イーサリアム アカウントがスマート コントラクトとなり、暗号通貨の UX を強化する多くの機会が開かれるという考えです。 この記事では、キー管理に焦点を当てます。
スマート ウォレットでは、アカウントを保護するために 2 つの暗号キーのみを使用するのではなく、特定のルールを使用して複数のキーを使用できます。 たとえば、XNUMX つのキーでアカウントを制御するように設定できます。そのうちの XNUMX つはモバイル デバイスで、もう XNUMX つは Trezor ハードウェア ウォレットです。モバイル デバイスの権限と毎日の支出は制限されていますが、Trezor の権限は無制限です。 または、最も親しい人が管理するマルチシグでアカウントを回復できるようにすることで、いわゆるソーシャル回復を設定することもできます。
簡単に言うと、スマート ウォレットは、複数の暗号キーで制御できるスマート コントラクトです。これにより、ウォレットへのアクセスが「分散」され、ログイン ユーザー エクスペリエンスを変更できるさまざまなセットアップが可能になります。
この時点でご想像のとおり、そのうちの XNUMX つは電子メールとパスワードを使用しています。
メールアドレスとパスワードを登録して非保管型スマートウォレットを構築する方法
スマート コントラクト ウォレットは XNUMX つ以上のキーで制御できることはすでにわかっています。 Ambire Wallet を作成するとき、私たちはこの機能を基にして、ユーザーのアカウント所有権を損なうことなくメール/パスワードの登録を有効にすることにしました。
Ambire は、Web2 アプリと同様に電子メールとパスワードを使用した従来の認証を実装します。 この認証モードは非管理型であり、オンチェーンの XNUMX キー マルチシグを介して機能します。 キーの XNUMX つはブラウザのストレージに保存され、ユーザーのパスワードで暗号化され、もう XNUMX つのキーはハードウェア セキュリティ モデル (HSM) を介してバックエンドに保存されます。
たとえば、ユーザー (マルウェアなどを介して) または HSM のいずれかを侵害することに成功した攻撃者の場合、XNUMX つのキーのうちの XNUMX つだけを使用して資金にアクセスすることはできません。
ただし、回復手順は XNUMX つのキーでのみ開始できます。 回復手順は、XNUMX つのキーのうちの XNUMX つをタイムロックして変更することです。 回復手順が意図していない場合 (攻撃者によって開始された場合など)、他のキー所有者はそれをキャンセルできます。 ただし、正当に開始された場合 (たとえば、XNUMX つのキーのうちの XNUMX つを紛失した場合、またはパスワードを忘れた場合)、タイムロックがかかるまで待つだけで、その後はアカウントにアクセスできるようになります。
要約すると、電子メール/パスワード アカウントはマルチシグネチャ ウォレットであり、以下のロックを解除します。
- 2 つの署名が提供された場合 – 通常の動作モードで使用されます。 または
- 1 つの署名が提供されますが、タイムロックが設定されている場合。 パスワードの回復、または Ambire バックエンドが使用できなくなった場合に使用されます。
2 番目のキーは通常、トランザクションに固有の (ハッシュから派生した) 確認コードによってロック解除されますが、OTP XNUMXFA や FaceID などの他の認証方法も使用できます。
このモデルの追加の利点は、XNUMX 番目のキーにより、支出制限や悪意のある契約や通話のチェック (EOA に対する無限の承認など) などの追加のセキュリティ ルールを強制できることです。 これらのルールは HSM によってオフチェーンでチェックされるため、簡単に変更または拡張できます。 さらに、追加のガスコストなしで高度なチェックを実行できるため、将来的には AI や ML の活用が可能になります。
これについて詳しく知りたい場合は、以下をチェックしてください。 Ambire Walletのセキュリティモデル.
どのようにそれが起こっている
45,000 か月間にわたってセキュリティ モデルを迅速にテストした後、3 月に Ambire Wallet をリリースしました。 それ以来 XNUMX 人を超えるユーザーが登録しましたが、アカウントの大部分は電子メールとパスワードで管理されています。 現在、iOS と Android 向けのウォレットのモバイル版を今年上半期にリリースすることに取り組んでいます。 WebXNUMX の経験のない人も参加すると予想されるため、これは電子メール + パスワード登録モデルの真のテストとなります。
Ambire Wallet を試すことに興味がある場合は、次のサイトにアクセスしてください。 https://www.ambire.com/ XNUMX 分以内にアカウントを作成してください。
出典: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password