Друзья не позволяют друзьям делать плохие крипто | RU.democraziakmzero.org

Друзья не позволяют друзьям делать плохие крипто

Друзья не позволяют друзьям делать плохие крипто

Дэн Elitzer является blockchain и цифровой идентификации свинца в IDEO CoLab, в R & D сеть, которая исследует влияние возникающих технологий через межотраслевые сотрудничества.

В этой части мнения, Elitzer объясняет, почему проектирование для безопасности требует думать о платформах за пределами своей собственной.

Недавно я встретился с командой основателей группы строит проект в криптовалюта пространстве. Они шли мои коллега IDEO CoLab и меня через веб-приложение, показывая, как пользователи могут покупать и хранить Bitcoin или etherin в виде лишения бумажника, а затем использовать эти средства в различных формах. Я заметил, что они также имели возможность ввести секретный ключ непосредственно совершить сделку.

КРАСНАЯ ТРЕВОГА!

Первое правило крипто: никогда, никогда, никогда не разделяет ваш секретный ключ.

Следствие: Будьте крайне скептически, если не прямо с подозрением, из каких-либо услуг или связи с просьбой закрытого ключа.

Встретившись с этой командой ранее, и зная их впечатляющие фоны, я спросил - относительно спокойно - почему они просят закрытый ключ. Главный технический директор пояснил, что они реализовывали инструмент MyEtherWallet стиля для подписания сделок в браузере, так что секретный ключ никогда не будет отправлен на их сервер.

Намерение состояло в том, чтобы позволить пользователям легко пользоваться услугой без необходимости, чтобы позволить платформу взять под стражу средств, а также устраняя трение, связанное с необходимостью открыть отдельное приложение бумажника для создания, подписи и вещания сделки. Она удаляет несколько шагов - ура для пользовательского опыта - но ярлык действительно гарантирует компромиссы?

Я очень сочувствую мнение, что UX в мире криптографии является ужасным и есть потребность, чтобы получить творческий подход в изучении возможностей для упрощения. И как команда отметил, с технической точки зрения, они не будут подвергать пользователей к любому большему риску, чем если эти пользователи вошли в свои закрытые ключи на MyEtherWallet.

Это правда - они могли бы реализовать точно такой же открытый исходный код, как MyEtherWallet. Я уверен, что они будут делать это правильно, и я ожидаю, что некоторые значимые суммы своих будущих пользователей будут готовы доверять им и чувствовать себя в безопасности ввода частных ключей на этом сайте.

Однако, мое беспокойство не в первую очередь, могут ли они надежно осуществить подписание транзакций в браузере; как я уже сказал, я доверяю как их компетенции и их намерения.

Что беспокоит меня больше в том, что это дает ложное впечатление, особенно для тех, кто новичок в cryptocurrencies, что это нормально, чтобы ввести секретный ключ на веб-сайте.

Основные принципы гигиены информация

Большинство людей привыкли к работе в условиях, когда, если пароль скомпрометирован, даже для банковского счета, как правило, ущерб, по крайней мере до некоторой степени обратимый. Crypto отличается: если вы разделяете личные ключи, вы потеряете все. Там нет регресса для получения обратно украденных Bitcoin, эфира, или других маркеров.

Безопасный, надежный сервис с просьбой приватных ключей нормализует концепцию пользователей, совместно использующие закрытые ключи с услугами, которые они используют. Это плохо.

Даже если компания в вопросе заслуживает доверия, это виртуальная гарантия того, что все покупки, используя, или участие в криптовалюта экосистеме, в любом случае будет в какой-то момент столкнуться хакер или мошенника пытается украсть их деньги. Обучение пользователей, что запрос, чтобы ввести свои личные ключи могут быть законными увеличивается вероятность того, что эти пользователи становятся жертвами мошенничества в будущем.

Аналог это когда традиционные финансовые услуги компания называет клиента о проблеме и просит, чтобы клиент предоставлять данные, как номер счета, адрес, или последние 4 цифры их Nunber социального обеспечения, прежде чем продолжить.

НЕТ!

Не обучать своих клиентов, чтобы обмениваться информацией или пытаться проводить какие-либо счета, связанные с взаимодействиями по телефону, что клиент не инициирует его или себя!

(Для тех, кто к кому это новость: пожалуйста, всегда, всегда, всегда заканчиваются такие вызовы немедленно перезвонить через линию поддержки, указанную на сайте данной компании.)

Высокий бар доверия

Во время глубокого разговора, который показал команде дала много внимания к компромиссам безопасности и удобства, генеральный директор стартап спросил: «Почему это хорошо для MyEtherWallet попросить пользователь ввести свои ключи или загрузить свои файлы хранилища, но не КИ для нам сделать это?» Это справедливый вопрос.

Во-первых, я предположил бы, что большинство людей, вступающих свои ключи использовать MyEtherWallet первоначально генерироваться эти закрытые ключи на MyEtherWallet с целью использования их на MyEtherWallet в будущем. Если вы уже доверять веб-сайт или приложение для генерации ключей, вы не значительно расширяет вашу поверхность атаки, продолжая им доверять, когда вы идете использовать эти ключи.

Во-вторых, есть специальная роль, которую бумажник программного обеспечения и услуг играют в этой экосистеме. Они агент, который опосредует взаимодействие пользователя с остальной частью криптовалюты экосистемы, и это абсолютно необходимо, чтобы пользователь доверяет, что их кошелек представляет точную информацию к ним и ведет себя в соответствии с намерением пользователя. Таким образом, есть невероятно высокая планка доверия, что разработчики бумажник должны достичь, прежде чем осведомленные пользователи криптовалюты будут пытаться использовать их, чтобы управлять своими активами.

Если криптовалюта экосистема когда-либо будет развиваться таким образом, что маркеры полезны для применений, помимо всего инвестиций или спекуляции, мы видим сотни, тысячи, возможно даже миллионы, услуг, построенных, которые включают взаимодействия, где пользователи должны создавать подписи с их частные ключи. Ожидая людей, чтобы быть в состоянии различить, должны ли они доверять новая услуга, они сталкиваются со своими секретными ключами несостоятельна.

Остерегайтесь самозванцев

Одно из предложений моего коллега имел, были для MyEtherWallet (или другая высокого уровень доверия службы) для создания виджета транзакций подписи, которые могут быть внедрены в других местах, так что пользователи могут быть уверены, введя свои ключи. Генеральный директор стартап даже предположил, что компания может даже создать такой сам инструмент и опубликовать его для использования других. В то время как я аплодирую настроение построить что-то полезное и делиться ею с другими, проблема не одна, которая может быть решена таким образом.

Скажем MyEtherWallet сделал создать фирменные транзакции подписи виджета. Как бы посетители сайта с виджетом вложенным знают, что это был настоящий MyEtherWallet виджет, а не двойник, что бы украсть их личные ключи? «Они могут просто сделать контрольную сумму.» Ну, надеюсь, что контрольная сумма верна, пользователю необходимо сначала знать, что контрольная сумма, а затем запустить его самостоятельно. Любой визуальный сигнал в действительности виджета или контрольная сумма может быть легко подделать.

До тех пор, пока он не станет разумно предположить, что подавляющее большинство пользователей имеет свой собственный программный агент автоматически проверки подписей и запуск функции контрольной суммы, используя легко подделать визуальные сигналы для обозначения безопасности только увеличит уязвимость пользователей.

Мы все в этом вместе

Оказывается, что это замечательно, ненадежное будущее, что многие из нас стремятся создать на самом деле не так ненадежный.

На самом деле, это даже не доверие к минимуму.

Это доверительное указано: мы должны быть очень конкретными о whowe доверчивы для whattasks. Это действующее на все участник криптовалюты экосистемы, чтобы помочь пользователям развить понимание и интуицию для этого, только просим пользователь для голого минимального количества доверия и разрешений, которые нам нужны, и указывая на них авторитетные услуги, которые следуют наилучшей практике в области безопасности и раскрытии информации для все остальные функции.

Наша ответственность перед нашими пользователями не заканчивается, когда они покидают наш сайт или закрыть наше приложение. Поведения они учатся у нас - или что мы вносим свой вклад в нормализацию - помогут ли и как взаимодействуют они с множеством других услуг, с которыми они сталкиваются в будущем. В отрасли, где ошибка пользователя часто необратима, это возложено на все нас, чтобы сохранить апертуру ожиданий пользователей в узконаправленных, насколько это возможно на наименее рискованных формах поведения.

Мы можем построить более безопасное и более удобное будущее для всех, но только если мы останемся бдительными о безопасности для наших пользователей во всех услугах, которые они взаимодействуют, не только наш собственной.

Если у вас есть хорошие примеры подталкивая пользователь к более безопасному поведению или наилучшей практике для безопасного дизайна UX, пожалуйста, поделитесь в комментариях ниже.

SecurityWalletsprivate ключи

Похожие новости


Post Обмен валют

Overstock для введения бонусной схемы биткойнов для персонала

Post Обмен валют

Самый большой программный кошелек Bitcoin Blockchain добавляет Ethereum

Post Обмен валют

KnCMiner становится последней компанией биткойнов, чтобы выпустить бит

Post Обмен валют

Битфинекс Хакеру: можем ли мы вернуть биткойну?

Post Обмен валют

Встречайте человека, который взломает ваш длинный биткойн-кошелек за деньги

Post Обмен валют

Экс-комиссар CFTC присоединяется к Crypto Exchange в качестве советника

Post Обмен валют

Coinbase Приобретает Block Explorer Service Blockr.io

Post Обмен валют

Coinbase Halts Litecoin, Ether торгует как спайк цен

Post Обмен валют

Бесконечный биткойн-кошелек Airbitz нацелен на новичков, евангелистов

Post Обмен валют

Facebook Бен Дэвенпорт выходит за биткойн-запуск BitGo

Post Обмен валют

Budweiser, партнер Coinbase, предоставляющий бесплатные биткойны для участников концертов

Post Обмен валют

Coinffeine для вызова централизованных обменов биткойнов с распределенной альтернативой