Prijatelji ne pustite prijateljem narediti slabega kripto | SI.democraziakmzero.org

Prijatelji ne pustite prijateljem narediti slabega kripto

Prijatelji ne pustite prijateljem narediti slabega kripto

Dan Elitzer je blockchain in digitalna identiteta svinca na Ideo CoLab, omrežje R & R, ki raziskuje vpliv nastajajoče tehnologije z industrijskimi sodelovanja.

V tem mnenju kos, Elitzer pojasnjuje, zakaj oblikovanje za varnost zahteva razmišljanje o platformah zunaj lastnega.

Pred kratkim sem se sestal z ustanovne ekipo skupine gradi projekt v prostor cryptocurrency. Hodili moje IDEO CoLab kolegom in me s svojo spletno aplikacijo, ki prikazuje, kako lahko uporabniki kupujejo in shranjevanje Bitcoin ali etherin zaporno denarnico, in nato ta sredstva na različne načine. Opazil sem, da so imeli tudi možnost, da vstopijo v zasebni ključ neposredno, da bi transakcijo.

RDEČI ALARM!

Prvo pravilo šifrirnih: nikoli, nikoli, nikoli deliti zasebni ključ.

Posledica: Bodite zelo skeptični, če ne celo sumljivo, za vsako storitev ali komunikacija zahteva svoj zasebni ključ.

Potem ko je srečal s to ekipo prej in vedo svojo impresivno ozadje, sem vprašal - relativno mirno - zakaj so se prosi za zasebni ključ. Glavni tehnološki direktor pojasnil, da so za izvajanje orodje MyEtherWallet slogu za prijavo transakcij v brskalniku, tako da zasebni ključ nikoli ne bo treba poslati na njihov strežnik.

Namen je bil, da uporabnikom omogočajo enostavno uporabo storitev, ne da bi kaj platformo prevzem skrbništva nad sredstvi, hkrati pa odpravlja trenje, povezane z morali odpreti poseben denarnice aplikacijo za ustvarjanje, se prijavite, in oddajanje transakcijo. To odstrani nekaj korakov - hura za uporabniško izkušnjo - toda ne bližnjica res jamči kompromise?

Zelo sem naklonjena meni, da v šifrirnega svetu je UX grozno in da je potrebno, da bi dobili ustvarjalni pri raziskovanju možnosti za poenostavitev. In kot ekipa poudaril, s tehničnega vidika, pa ne bi izpostavljal uporabnikov za vse večje tveganje, kot če ti uporabniki vnesejo svoje zasebnih ključev na MyEtherWallet.

To je res -, da bi lahko izvajala točno isto odprto kodo kot MyEtherWallet. Prepričan sem, da bodo to storili pravilno, in pričakujem, da bi se nekateri pomembni znesek njihovih bodočih uporabnikov, pripravljeni, da jim verjamejo in se počutijo varno vstopa zasebnih ključev na tej spletni strani.

Vendar pa je moja skrb ni predvsem, ali bi lahko varno izvajajo v-brskalnik podpis transakcij; kot sem rekel, verjamem, tako svoje sposobnosti in svoje namere.

Skrbi me več, da to daje napačen vtis, še posebej tiste nove cryptocurrencies, da je v redu, da vnesete vaš zasebni ključ na spletni strani.

Osnovna higiena informacije

Večina ljudi se uporabljajo za delujejo v kontekstu, v katerem, če je geslo ogrožena, tudi za bančni račun, običajno škoda je vsaj nekoliko reverzibilna. Crypto je drugačna: če si delite svoje zasebne ključe, izgubiš vse. Ni uporabi za pridobivanje nazaj svojo ukradeno Bitcoin, eter, ali drugih žetonov.

Varna, zanesljive storitve zahteva zasebnih ključev normalizira koncept uporabnikov, ki si delijo zasebnih ključev s storitvami, ki jih uporabljajo. To je slabo.

Tudi če je zadevno podjetje zaupanja vreden, da je virtualni jamstvo, da vsi kupujejo, uporabljajo, ali sodelujejo v cryptocurrency ekosistemu na noben način se bo na neki točki naleteli hacker ali scammer poskuša ukrasti svoj denar. Usposabljanje uporabnikov, ki zahteva, da vpišete svoje zasebne ključe lahko legitimni poveča verjetnost, da bodo ti uporabniki žrtev prevare v prihodnosti.

Analogni za to je, ko tradicionalne finančne storitve podjetje pokliče stranko o tem vprašanju, in zahteva, da stranka predloži podatke, kot so njihovo številko računa, naslov, ali zadnje 4 številke njihovega socialno varnost nunber pred nadaljevanjem.

NE!

Ne vlak svoje stranke za izmenjavo informacij ali poskušajte izvajati vse v zvezi z računom interakcije na telefonski klic, da se stranka ne mu sama začne!

(Za vsakogar, ki mu je to novica: prosim, vedno, vedno, vedno takoj končati takšne klice in pokliče nazaj s podporo linije, navedene na spletni strani zadevnega podjetja.)

Visoka bar zaupanja

V globoki pogovor, ki je pokazala ekipa je dal veliko spoštovanja do varnosti in uporabnosti kompromisi, zagonski direktor vprašal, "zakaj je to v redu za MyEtherWallet, da zahtevajo od uporabnikov za vstop v svojih zasebnih ključev ali naložite svoje datoteke s shrambo, vendar ni v redu za nas, da to stori? " To je pošteno vprašanje.

Najprej bi domnevala, da je večina ljudi, ki vstopajo svoje zasebne ključe za uporabo MyEtherWallet prvotno ustvarila teh zasebnih ključev na MyEtherWallet z namenom, da jih uporabljajo na MyEtherWallet v prihodnosti. Če ste že zaupal spletno stran ali aplikacijo za ustvarjanje ključe, ne boste močno širi svoj napad površino z nadaljnjim jim zaupam, ko gre za uporabo teh ključev.

Po drugi strani pa je posebna vloga, ki denarnico programsko opremo in storitve imajo v tem ekosistemu. So sredstvo, ki posreduje interakcijo uporabnika s preostalim cryptocurrency ekosistema in da je nujno, da uporabnik zaupa, da je njihova denarnica predstavitev točne informacije do njih in se obnaša v skladu z uporabnikovim nameri. Kot taka, da je neverjetno visoka bar zaupanja, da morajo razvijalci denarnice dosegli preden bo usposobljeno uporabniki cryptocurrency menijo, ki jih uporabljajo za upravljanje svojih sredstev.

Če je cryptocurrency ekosistem kdaj razvijati na tak način, da so žetoni uporaben za aplikacije, ki presegajo zgolj naložbe ali špekulacije, bomo videli na stotine, na tisoče, morda celo milijone, storitev zgrajenih ki vključujejo interakcije, kjer uporabniki potrebujejo za ustvarjanje podpisovanje njihovih zasebnih ključev. Pričakujem ljudi, da se lahko ugotovi, ali bi morali zaupati novo storitev, s katerimi se srečujejo pri svojih zasebnih ključev je nevzdržno.

Pazite sleparji

Eden od predlogov moja kolegica imela je za MyEtherWallet (ali drugo zelo zaupa storitev), da ustvarite widget-transakcije podpisom, ki bi se lahko vgrajeni tudi v drugih mestih, tako da lahko uporabniki prepričani, da vnesete njihove zasebne ključe. Zagonski CEO celo predlagal, da bi lahko podjetje tudi ustvari takšno orodje sam in ga objavi na drugi za uporabo. Medtem Pozdravljam čustvo gradnjo kaj koristnega in ga delijo z drugimi, problem ni tista, ki jih je mogoče rešiti na ta način.

Recimo MyEtherWallet je ustvariti blagovno znamko widget-transakcij podpisom. Kako bi obiskovalci na spletno stran z widget vgrajeni vedeli, da je pravi MyEtherWallet pripomoček in ne kot dvojnik, ki bi ukradel svoje zasebne ključe? "Lahko samo narediti kontrolno vsoto." No, verjamem, da je kontrolna veljavna, bi moral uporabnik najprej vedeti, kaj je kontrolna, nato ga vodijo sami. Vsak vizualno iztočnico glede veljavnosti widget ali vsoto in se lahko enostavno ponarediti.

Če in dokler ne postane smiselno domnevati, da velika večina uporabnikov svoje sredstvo programska oprema samodejno preverjanje podpisov in teče o kontrolni funkcij, z uporabo enostavno Lažne vizualne pokazatelje, da se označi varnosti se bo le povečala ranljivost svojih uporabnikov.

Vsi smo v tem skupaj

Izkazalo se je, da je to čudovito, trustless prihodnost, da tako mnogi od nas si prizadevamo ustvariti dejansko ni tako trustless.

Dejstvo je, da je sploh ne-zaupanje zmanjša.

To je monopolov določeno: moramo biti zelo specifično o whowe so zaupanje za whattasks. To je dolžnost vseh udeležencev v cryptocurrency ekosistemu za pomoč uporabnikom razviti razumevanje in intuicijo za to, ki ga le prosi uporabnike, za golo minimalno količino zaupanja in dovoljenj, ki jih potrebujemo in jih kaže na uglednih storitve, ki sledijo najboljše prakse na področju varnosti in razkritja za vse druge funkcije.

Naša odgovornost je, da našim uporabnikom se ne konča, ko zapustite našo spletno stran ali zaprete našo aplikacijo. Vedenja se učijo od nas - ali pa, da smo prispevali k normalizaciji - bo vodil, ali in kako med seboj sodelujejo z nešteto drugih storitev, s katerimi se srečujejo v prihodnosti. V industriji, kjer se uporabnik napake pogosto nepopravljive, da je dolžnost vseh nas, da zaslonko pričakovanja uporabnikov, kot ozko osredotočeni, kot je mogoče v manj tveganih vedenj.

Lahko gradimo varnejšo in bolj prijazno prihodnost za vsakogar, vendar le, če bomo ostali pozorni na varnost naših uporabnikov v vseh storitev, ki jih v interakciji, ne samo naše lastne.

Če imate kakšne dobre primere nudging uporabnikov k bolj varnega vedenja ali najboljših praks za varno oblikovanje UX, se delijo v komentarju spodaj.

SecurityWalletsprivate ključi

Sorodne novice


Post Menjalnica

Kid, 9, prodaja delnice Apple za nakup Bitcoin

Post Menjalnica

Atlas ATS se pridružuje ameriškim borzam, da bi se izognili regulativnim oviram

Post Menjalnica

Coinbase pogovori 1 milijon denarnica Milestone, Mt. Gox in Kaj je naslednje?

Post Menjalnica

CoinJar Preoblikuje aplikacijo za Google Denarnico za več socialnih izkušenj

Post Menjalnica

Kaj Centralna banka? Kitajski Big Bitcoin trgovci so All-In na Bitcoin

Post Menjalnica

KnCMiner postane najnovejša družba Bitcoin za embriranje bitov

Post Menjalnica

Coinbase pridobi Block Explorer Service Blockr.io

Post Menjalnica

Mystery Scavenger Hunt dobi Bitcoin v San Franciscu

Post Menjalnica

Bitfinex Hack še vedno bori trgovce Bitcoin

Post Menjalnica

Bitcoin kaplja skoraj 20%, saj Exchange Hack povečuje padec cen

Post Menjalnica

Kako izbrati izmenjavo bitkoinov

Post Menjalnica

CFTC komisar poziva k prilagodljivi ureditvi digitalnih valut