Web3 Oturum Açmalarının Geleceği…E-posta ve Parola mı?! 

Yazan: Ivan Manchev, Ambire İletişim Müdürü

Kripto ve DeFi'nin daha geniş çapta benimsenmesinin önündeki zorluklardan biri anahtar yönetimidir. Şaşırtıcı bir şekilde, web2'nin e-postayla oturum açma konsepti, gözetimsiz bir şekilde bile bu sorunu çözebilir.

Tohum İfadeleri Üzerine

1. Yalnız 2. Parıltılı 3. Saflık 4. İçsel 5. Yalancı 6. Tel. …. ???

Sizden ilk kez bir tohum cümlesi yazmanızın istendiği zamanı hatırlıyor musunuz? Belki kafanız karıştı: 

• Bunu neden Notlar'a yapıştırmak yerine kağıda yazmalısınız?
• Her seferinde Web3 uygulamalarına "giriş yapmak" için tüm bunları yazmanız gerekecek mi?
• Bu kelimeleri daha tanıdık kelimelerle değiştirebilir misin?
• Ah, şifre falan isteyemezler mi?

Çekirdek ifadeler o kadar da kötü değil ama kriptografinin nasıl çalıştığı hakkında hiçbir fikriniz yoksa çok tuhaf görünüyorlar. Ve çoğu insanın kriptografinin nasıl çalıştığı hakkında hiçbir fikri yok. 

Şu anda, acemi Web99 kullanıcılarının %3'u, hesaplar ve uygulamalar için kimlik doğrulama olarak yıllarca e-posta/şifre kullanmaktan kaynaklanan Web2 deneyimine sahiptir. Kripto şirketleri ve cüzdanlar kullanıcıları eğitmek için ellerinden geleni yaparken kafa karışıklığı kaçınılmaz gibi görünüyor ve her zaman gizlenen dolandırıcılara sayısız fırsat açıyor. 

Sadece bu denemeyi deneyin – Google'da “Curve” veya “Aave” veya “Uniswap” yazın ve ilk Reklam sonucuna ulaşın. Bağlanmayı deneyin ve tohum ifadeleri içeren en yaygın sosyal mühendislik dolandırıcılığını, yani Metamask'ı taklit eden ve yanlış yönlendirilmiş kullanıcılardan tohum cümlelerini isteyen web sitelerini deneyimleyeceksiniz. (Aslında bunu yapmayın – en azından tohum cümlenizi yazmayın, lütfen!)

Bu her zaman oluyor ve 2021, olağanüstü sorunun harika bir örneğiydi. NFT'lerin popülaritesinin artmasıyla birlikte geçen yıl birçok yeni kullanıcı kripto partisine katıldı. Bazıları bir Bored Ape Yacht Club NFT satın alacak kadar şanslıydı ve fiyatının 1000 kat arttığını gördü… ancak zayıf cüzdan anahtarı yönetimi nedeniyle çalındı.

O halde neden hala şifreler yerine tohum ifadeleri kullanıyoruz?

Ne yazık ki, yaygın Ethereum adreslerinin kilidi özel bir anahtarla (uzun bir metin dizisi) açılır. Anahtarınız size aitse adresinizle dilediğinizi yapabilirsiniz. Ya anahtarınızı bir dosyada saklarsınız ve bir cüzdanın kilidini açmak için onu içe aktarırsınız ya da tohum cümlesi anımsatıcılarını kullanırsınız. Özel anahtar yerine şifre tanıtmanın bir yolu yok… 

…Tamam, aslında bir yol var ama bunun bedeli cüzdanınız üzerinde tam kontrol sahibi olmak. Bazı hizmetler, kullanıcılarının özel anahtarlarını saklar ve cüzdanlarının kilidini açmak için şifre kullanmalarına izin verir. Bu, katılımı mümkün kılar ancak merkezi olmayan yönetimin temel ilkelerinden birini ihlal eder ve geleneksel hizmetlerin işleyişinden çok da farklı değildir. Kullandığınız hizmet her an erişiminizi kesebilir.

Peki ya size anahtarınızı saklarken e-posta ve şifreyle cüzdanınızın kilidini açmanın bir yolu olduğunu söylesem?

İşte akıllı cüzdanlar geliyor

Akıllı cüzdanlar geçmişte çok tartışıldı; “hesap soyutlamaları” adı verilen benzer bir kavramı duymuş olabilirsiniz. 

Temel olarak fikir, her Ethereum hesabının akıllı bir sözleşme olacağı ve bu da kripto kullanıcı deneyimini geliştirmek için birçok fırsat yaratacağıdır. Bu makalenin amacı doğrultusunda kilit yönetime odaklanacağız. 

Akıllı cüzdanlar, bir hesabın güvenliğini sağlamak için tek bir kriptografik anahtar kullanmak yerine, belirli kurallar kullanılarak birden fazla anahtarın kullanılmasına olanak tanır. Örneğin, biri mobil cihazınız, diğeri Trezor donanım cüzdanınız olmak üzere 2 anahtarla kontrol edilecek bir hesap oluşturabilirsiniz; mobil cihazın izinleri ve günlük harcamaları sınırlı, Trezor ise sınırsızdır. Veya en yakınlarınız tarafından kontrol edilen bir çoklu imzanın hesabınızı kurtarmasına izin vererek sözde sosyal kurtarmayı ayarlayabilirsiniz. 

Basit bir ifadeyle, akıllı cüzdanlar birden fazla kriptografik anahtar tarafından kontrol edilebilen akıllı sözleşmelerdir; bu, cüzdana erişimi "merkezden dağıtır" ve oturum açma kullanıcı deneyimini değiştirebileceğiniz farklı kurulumlara olanak tanır.

Bu noktada tahmin edebileceğiniz gibi bunlardan biri e-posta ve şifre kullanıyor. 

E-posta ve şifre kaydıyla gözetimsiz bir akıllı cüzdan nasıl oluşturulur?

Akıllı sözleşme cüzdanının iki veya daha fazla anahtarla kontrol edilebileceğini zaten biliyoruz. Ambire Cüzdan'ı oluştururken, bu özelliği geliştirmeye ve kullanıcının hesap sahipliğinden ödün vermeden e-posta/şifre kaydını etkinleştirmeye karar verdik. 

Ambire, Web2 uygulamaları gibi bir e-posta ve parolayla geleneksel kimlik doğrulamayı uygular. Bu kimlik doğrulama modu gözetime dayalı değildir: zincir üzerinde iki anahtarlı çoklu imza aracılığıyla çalışır. Anahtarlardan biri tarayıcı deposunda saklanır ve kullanıcının şifresi ile şifrelenir, diğer anahtar ise bir donanım güvenlik modeli (HSM) aracılığıyla arka uçta saklanır.

İki anahtardan yalnızca birini kullanarak fonlara erişemezsiniz; örneğin, bir kullanıcıyı (örn. kötü amaçlı yazılım yoluyla) veya HSM'yi başarıyla ele geçiren bir saldırgansanız. 

Ancak kurtarma işlemi yalnızca tek bir anahtarla başlatılabilir. Kurtarma prosedürü, iki anahtardan birinin zaman kilitli olarak değiştirilmesidir. Kurtarma prosedürü istenmeden gerçekleşmişse (örn. bir saldırgan tarafından başlatılmışsa), diğer herhangi bir anahtar sahibi bunu iptal edebilir. Ancak yasal olarak başlatıldıysa (örneğin, iki anahtardan birini kaybettiyseniz veya şifrenizi unuttuysanız), zaman kilidinin gelmesini bekleyebilirsiniz ve bundan sonra hesabınıza tekrar erişebilirsiniz.

Özetlemek gerekirse, e-posta/şifre hesapları aşağıdakilerin kilidini açan çoklu imzalı cüzdanlardır:

• 2 imza sağlandığında – normal çalışma modunda kullanılır; veya
• 1 imza sağlandığında ancak zaman kilidiyle; şifre kurtarma için veya Ambire arka ucunun kullanılamaması durumunda kullanılır.

İkinci anahtarın kilidi normalde işleme özel (karma değerden türetilen) bir onay koduyla açılır, ancak OTP 2FA veya FaceID gibi diğer kimlik doğrulama yöntemleri de kullanılabilir.

Bu modelin ek bir yararı, ikinci anahtarın harcama limitleri ve kötü amaçlı sözleşmeleri veya çağrıları kontrol etme (örneğin, EOA'lara sonsuz onay) gibi ekstra güvenlik kurallarını uygulayabilmesidir. Bu kurallar HSM tarafından zincir dışı olarak kontrol edildiğinden kolaylıkla değiştirilebilir veya geliştirilebilir. Ayrıca, gelecekte AI veya ML'nin kullanılmasına olanak sağlayacak şekilde, hiçbir ekstra gas maliyeti olmaksızın karmaşık kontroller gerçekleştirilebilir.

Bu konuda daha fazla bilgi edinmek istiyorsanız, şuraya göz atmalısınız: Ambire Wallet'ın güvenlik modeli.

Nasıl gidiyor

Güvenlik modelimizi iki ay boyunca hızlı bir şekilde test ettikten sonra Aralık ayında Ambire Wallet'ı piyasaya sürdük. O zamandan beri 45,000'den fazla kullanıcı kaydoldu ve tahmin edin ne oldu; hesapların çoğu e-posta ve şifreyle kontrol ediliyor. Şu anda bu yılın ilk yarısında iOS ve Android için cüzdanın mobil versiyonunu yayınlamak için çalışıyoruz. Bu, daha önce Web3 deneyimi olmayan kişilerin ilgisini çekmeyi umduğumuz için, e-posta+şifre kayıt modelinin gerçek testi olacaktır. 

Ambire Wallet'ı denemek ilginizi çekiyorsa şu adrese gidin: https://www.ambire.com/ ve bir dakikadan kısa sürede hesabınızı oluşturun.