Prijatelji ne dopustite prijateljima da izvrše loše kripto | HR.democraziakmzero.org

Prijatelji ne dopustite prijateljima da izvrše loše kripto

Prijatelji ne dopustite prijateljima da izvrše loše kripto

Dan Elitzer je blockchain i digitalni identitet dovesti na ideo CoLab, na mreži R & D koji istražuje utjecaj u nastajanju tehnologija putem cross-industrije suradnje.

U tom mišljenju komadu, Elitzer objašnjava zašto projektiranje za sigurnost zahtijeva razmišljanje o platformi izvan naše vlastite.

Nedavno sam se susreo sa osnivačkog tima grupe gradi projekt u cryptocurrency prostoru. Hodali su moje ideo CoLab kolege i mene kroz web aplikaciju koja pokazuje kako korisnici mogu kupiti i pohraniti Bitcoin ili etherin skrbničku novčanik, a zatim koristiti ta sredstva na razne načine. Primijetio sam da su imali mogućnost da uđe privatni ključ izravno napraviti transakciju.

CRVENA UZBUNA!

Prvo pravilo kripto: nikada, nikada dijeliti svoj privatni ključ.

Posljedica: Budite jako skeptičan, ako ne i izravno sumnjivo, bilo usluga ili komunikacija traži svoj privatni ključ.

Nakon što se susreo s ovim timom ranije i znajući njihove impresivne pozadine, pitao sam - relativno mirno - zašto su tražili privatnim ključem. Glavni tehnološki direktor objasnio da su provedbi alat MyEtherWallet stilu za potpisivanje transakcija u pregledniku, tako da privatni ključ nikada neće biti poslan na njihov server.

Namjera je bila omogućiti korisnicima da lako koristiti uslugu bez da neka platforma take pritvor sredstava, a također eliminira trenje povezan s vlasništvo otvoriti poseban lisnica za generiranje, znak, a emitira transakciju. To uklanja nekoliko koraka - hura za korisničko iskustvo - ali ne prečac zapravo jamči ustupke?

Ja sam vrlo suosjećajan stav da UX u kripto svijetu je strašno i postoji potreba da se kreativno u istraživanju mogućnosti za pojednostavljenje. I kao što je tim naglasio, iz tehničke perspektive, ne bi se izlažu korisnicima bilo više rizika nego ako ti korisnik upisuje svoje privatne ključeve na MyEtherWallet.

To je istina - oni mogli provoditi isti otvorenog koda kao MyEtherWallet. Vjerujem da će to učiniti ispravno, a ja očekujem da neki smisleni iznos njihovih budućih korisnika će biti spremni da im vjeruju i osjećaju sigurno ulaska privatnih ključeva na ovim stranicama.

Međutim, moja briga nije primarno li oni sigurno mogu implementirati u pregledniku potpisivanje transakcija; kao što sam rekao, vjerujem i njihovu stručnost i njihove namjere.

Ono što me zabrinjava više je da to daje lažni dojam, pogotovo za one koji su novi cryptocurrencies, da je u redu da unesete svoj privatni ključ na web stranici.

Osnovna higijena informacije

Većina ljudi se koriste za djeluju u kontekstu u kojem, ako je ugrožena lozinku, čak i za bankovni račun, obično je šteta barem donekle reverzibilna. Crypto je drugačija: ako podijeliti svoje privatne ključeve, gubite sve. Nema regres za dobivanje natrag svoj ukradeni Bitcoin, eter, ili druge znakove.

Siguran, pouzdan servis traži privatnih ključeva normalizira koncept korisnika koji dijele privatnih ključeva sa uslugama koje oni koriste. To je loše.

Čak i ako je tvrtka u pitanju je pouzdan, to je virtualni garancija da svatko kupuju, koriste, ili sudjelovanje u cryptocurrency ekosustava na bilo koji način će se u nekom trenutku naići haker ili hahar pokušava ukrasti novac. Obuka korisnika da se zahtjev za upisivanje svoje privatne ključeve može biti legitimna povećava vjerojatnost da će oni korisnici postati žrtva prijevare u budućnosti.

Analogni to je kada tradicionalna tvrtka za financijske usluge poziva kupca o nekom pitanju i traži da kupac dati podatke kao što je njihov broj računa, adresu ili posljednje 4 znamenke njihove socijalne sigurnosti nunber prije nastavljanja.

NE!

Ne treniraju svoje klijente da dijele informacije ili pokušati provesti bilo kakve interakcije s korisničkim računom na telefonski poziv da kupac nije njega ili sebe pokrenuti!

(Za bilo tko kome je ovo vijest: molimo uvijek, uvijek, uvijek na kraju takve pozive i odmah nazove kroz linije podršku naveden na web stranici tvrtke u pitanje.)

Visok bar povjerenja

U dubokom razgovoru koji je otkrio tim je dao puno razmatranja sigurnosti i upotrebljivosti tradeoffs, početak predsjednik upitao: „Zašto je to u redu za MyEtherWallet pitati korisnika da unesete svoje privatne ključeve ili prenijeti svoje spremnika ključeva, ali nije u redu za da to možemo učiniti?” To je fer pitanje.

Prvo, ja bi se pretpostaviti da je većina ljudi koji ulaze u svoje privatne ključeve za korištenje MyEtherWallet izvorno generirane one privatnih ključeva na MyEtherWallet s namjerom da ih koristite na MyEtherWallet u budućnosti. Ako već pouzdanih web stranicu ili program za generiranje svoje ključeve, niste uvelike širi svoj napad površinu i dalje povjerenja u njih kad idete koristiti one tipke.

Drugo, tu je posebna uloga koju novčanik softver i usluge igrati u tom ekosustavu. Oni su sredstvo koje posreduje interakciju korisnika s ostatkom cryptocurrency ekosustava i to je apsolutno neophodno da korisnik vjeruje da je njihov novčanik predstavljanja točne informacije da ih i ponaša se u skladu s korisnikovom namjere. Kao takav, ima nevjerojatno visok bar povjerenja koje novčanik programeri mora postići prije nego što će obrazovan cryptocurrency korisnici smatraju ih koristi za upravljanje svojom imovinom.

Ako cryptocurrency ekosustav ikada idući u izraditi na način da se tokeni su korisni za aplikacije koji nisu samo ulaganja ili nagađanja, vidjet ćemo stotine, tisuće, možda čak i milijune, usluga izgrađenih koje uključuju interakcije gdje korisnici trebaju generirati potpisa njihovi privatni ključevi. Očekujući ljude da budu u stanju raspoznati da li bi trebali vjerovati nova usluga susreću sa svojim privatnim ključevima je neodrživ.

Čuvajte varalice

Jedan prijedlog moj kolega imao je za MyEtherWallet (ili drugi visoko pouzdanih usluga) za stvaranje widget transakciju prijave koja bi mogla biti ugrađen u drugim mjestima, tako da korisnici mogu biti sigurni ulazak svoje privatne ključeve. Pokretanje CEO čak predložio da se tvrtka može čak i stvoriti takav sam alat i objavite da se drugi koriste. Dok sam ja aplaudirati osjećaj izgradnje nešto korisno i dijeljenje s drugima, problem nije onaj koji se može riješiti na taj način.

Recimo MyEtherWallet je stvaranje marke transakciju potpisivanja widget. Kako bi se posjetitelji na stranicu sa widget ugrađenim znaju da je to bio pravi MyEtherWallet dodatak, a ne lookalike da će ukrasti njihove privatne ključeve? „Oni samo mogu učiniti ček.” Pa, da vjeruju da je checksum vrijedi, korisnik će morati prvo znati što je checksum je, zatim ga pokrenuti sami. Svaki vizualni znak da valjanosti widgeta ili checksum lako mogao odglumiti.

Osim ako i dok ne postane razumno pretpostaviti da velika većina korisnika ima vlastitu zastupnik softver automatski provjeru potpisa i trčanje checksum funkcija, pomoću lako odglumiti vizualne znakove za označavanje sigurnost će samo povećati ranjivost svojih korisnika.

Svi smo zajedno u ovome

Ispada da je to divno, nepouzdan budući da su mnogi od nas nastoji stvoriti zapravo nije toliko nepouzdan.

U stvari, to nije ni povjerenja na minimum.

To je povjerenje koje odredi: moramo vrlo precizno whowe su vjerujući za whattasks. To leži na svim sudionicima u cryptocurrency ekosustava kako bi se korisnicima razviti razumijevanje i intuiciju za to za samo pita korisnika za goli minimalni iznos od povjerenja i dozvole koje trebamo te ih upućuju na renomiranim usluge koji slijede najbolje prakse u sigurnosti i objavljivanja za Sve ostale funkcije.

Naša je odgovornost da naši korisnici ne završava kad napuste našu stranicu ili zatvorite našu aplikaciju. Ponašanje koje se uče od nas - ili da doprinose normaliziranja - vodit će hoće li se i kako su u interakciji s bezbroj drugih usluga s kojima se susreću u budućnosti. U industriji gdje korisnik pogreške su često nepovratan, to je aktualni na sve nas da otvor korisničkih očekivanja kao usko fokusiranih moguće na najmanje rizičnih ponašanja.

Možemo izgraditi sigurniji i više user-friendly budućnost za sve, ali samo ako ostanemo budni o sigurnosti za naše korisnike u svim uslugama koje su u interakciji s, a ne samo naš vlastiti.

Ako imate bilo kakvih dobre primjere pomicanjem korisnicima prema sigurnijem ponašanju ili najbolje prakse za sigurnu UX dizajna, molimo podijelite u komentaru ispod.

SecurityWalletsprivate ključevi

Povezane vijesti


Post Razmjena valute

Bitcoin Exchange Cavirtex u zatvoru usred sigurnosti, bankarske zabrinutosti

Post Razmjena valute

9 tvrtki koje bi trebale početi prihvatiti Bitcoin

Post Razmjena valute

Coinbase dodaje protokol Bitcoin plaćanja za sigurnije transakcije

Post Razmjena valute

Coinbase pokreće iOS aplikaciju za kupnju, prodaju i slanje bitcoina

Post Razmjena valute

Bitcoin Exchange Gemini odobren za pokretanje u New Yorku

Post Razmjena valute

Kongres traži odgovore od IRS o poreznoj istrazi Bitcoina

Post Razmjena valute

Online nakit Trgovacke krivotvorene veze s Bitcoin zajednicom

Post Razmjena valute

Hive pokreće Wallet Android Bitcoin s ugrađenim App Storeom

Post Razmjena valute

Voditeljica usklađenosti s bazi Coinbase: Osnovna pitanja i dalje zadržati Bitcoin

Post Razmjena valute

Coinbase CEO: Temeljni programeri mogu biti Bitcoinov najveći sustavni rizik

Post Razmjena valute

Japanski Exchange BitFlyer podiže 236 tisuća dolara za financiranje rasta

Post Razmjena valute

Fiat novčanici: ključ za Bitcoin Going mainstream?