Ambire의 커뮤니케이션 관리자 Ivan Manchev 작성
암호화 및 DeFi가 널리 채택되기 전에 해결해야 할 과제 중 하나는 키 관리입니다. 놀랍게도 이메일 로그인의 web2 개념은 양육권이 없는 경우에도 문제를 해결할 수 있습니다.
시드 문구
- 혼자 2. 눈부심 3. 순수함 4. 내면 5. 거짓말쟁이 6. 와이어. .... ???
시드 문구를 적어 달라는 요청을 처음 받았을 때를 기억하십니까? 아마도 당신은 혼란스러웠을 것입니다:
- 메모에 그냥 붙여넣는 대신 종이에 쓰는 이유는 무엇입니까?
- 매번 Web3 앱에 "로그인"하기 위해 이 모든 것을 작성해야 합니까?
- 그 단어들을 더 친숙한 단어로 바꿀 수 있나요?
- 어, 그냥 비밀번호 같은 걸 요구하면 안 되나요?
시드 문구는 그렇게 나쁘지는 않지만 암호화가 어떻게 작동하는지 모른다면 매우 이상하게 보입니다. 그리고 대부분의 사람들은 암호화가 어떻게 작동하는지 전혀 모릅니다.
현재 초보 Web99 사용자의 3%는 이메일/비밀번호를 계정 및 앱의 인증으로 수년 동안 사용한 Web2 경험을 가지고 있습니다. 그리고 암호화 회사와 지갑이 사용자를 교육하기 위해 최선을 다하고 있지만 혼란은 불가피하고 항상 숨어있는 사기꾼에게 무수한 기회를 열어주는 것 같습니다.
Google "Curve" 또는 "Aave" 또는 "Uniswap"과 같은 이 실험을 시도하고 첫 번째 광고 결과를 얻으십시오. 연결을 시도하면 시드 문구와 관련된 가장 일반적인 사회 공학 사기를 경험할 것입니다. 메타마스크를 모방하고 잘못된 사용자에게 시드 문구를 요청하는 웹사이트입니다. (실제로 그렇게 하지 마세요. 최소한 시드 문구는 쓰지 마세요!)
이것은 항상 일어나고 있으며 2021년은 이 뛰어난 문제의 멋진 예였습니다. NFT의 인기가 높아짐에 따라 작년에 많은 신규 사용자가 암호화 파티에 합류했습니다. 그들 중 일부는 Bored Ape Yacht Club NFT를 구매할 만큼 운이 좋았고 가격이 1000배나 상승한 것을 보았지만 지갑 키 관리가 제대로 이루어지지 않아 도난당했습니다.
그렇다면 비밀번호 대신 시드 문구를 계속 사용하는 이유는 무엇입니까?
안타깝게도 일반적인 이더리움 주소는 긴 텍스트 문자열인 개인 키로 잠금 해제됩니다. 키를 소유하고 있다면 주소로 원하는 모든 작업을 수행할 수 있습니다. 키를 파일에 보관하고 가져와서 지갑을 잠금 해제하거나 시드 문구 니모닉을 사용합니다. 개인 키 대신 암호를 도입할 방법이 없습니다…
...좋아요, 실제로 방법이 있지만 지갑을 완전히 통제해야 합니다. 일부 서비스는 사용자의 개인 키를 보관하고 사용자가 지갑 잠금을 해제하기 위해 암호를 사용하도록 합니다. 이것은 온보딩을 가능하게 하지만 탈중앙화의 핵심 원칙 중 하나를 깨고 기존 서비스가 작동하는 방식과 크게 다르지 않습니다. 사용 중인 서비스는 언제든지 액세스를 차단할 수 있습니다.
하지만 키를 유지하면서 이메일과 비밀번호로 지갑을 잠금 해제할 수 있는 방법이 실제로 있다고 말하면 어떻게 될까요?
스마트 지갑 등장
스마트 지갑은 과거에 많이 논의되었습니다. "계정 추상화"라는 유사한 개념에 대해 들어 보셨을 것입니다.
기본적으로 아이디어는 각 이더리움 계정이 암호화 UX를 향상시킬 수 있는 많은 기회를 열어주는 스마트 계약이 될 것이라는 것입니다. 이 문서의 목적을 위해 키 관리에 중점을 둘 것입니다.
하나의 암호화 키만 사용하여 계정을 보호하는 대신 스마트 지갑을 사용하면 특정 규칙을 사용하여 여러 키를 사용할 수 있습니다. 예를 들어, 계정을 2개의 키로 제어하도록 설정할 수 있습니다. 그 중 하나는 모바일 장치이고 다른 하나는 Trezor 하드웨어 지갑입니다. 모바일 장치에서는 권한과 일일 지출이 제한되지만 Trezor는 무제한입니다. 또는 가장 가까운 사람들이 제어하는 다중 서명이 귀하의 계정을 복구하도록 허용하여 소위 사회적 복구를 설정할 수 있습니다.
간단히 말해 스마트 지갑은 하나 이상의 암호화 키로 제어할 수 있는 스마트 계약입니다. 이는 지갑에 대한 액세스를 "분산"하고 로그인 사용자 경험을 변경할 수 있는 다양한 설정을 가능하게 합니다.
이 시점에서 짐작하셨겠지만 그 중 하나는 이메일과 비밀번호를 사용하는 것입니다.
이메일과 비밀번호 등록으로 비수탁형 스마트 지갑을 구축하는 방법
우리는 스마트 계약 지갑이 두 개 이상의 키로 제어될 수 있다는 것을 이미 알고 있습니다. Ambire Wallet을 만들 때 우리는 이 기능을 기반으로 사용자의 계정 소유권을 손상시키지 않으면서 이메일/비밀번호 등록을 활성화하기로 결정했습니다.
Ambire는 Web2 앱과 같은 이메일 및 비밀번호로 기존 인증을 구현합니다. 이 인증 모드는 비수탁적이며 온체인 XNUMX키 다중서명을 통해 작동합니다. 키 중 하나는 브라우저 저장소에 저장되고 사용자 암호로 암호화되며 다른 키는 HSM(하드웨어 보안 모델)을 통해 백엔드에 저장됩니다.
예를 들어 사용자(예: 맬웨어를 통해) 또는 HSM을 성공적으로 손상시킨 공격자인 경우 두 키 중 하나만 사용하여 자금에 액세스할 수 없습니다.
그러나 복구 절차는 하나의 키로 시작할 수 있습니다. 복구 절차는 두 키 중 하나의 시간 잠금 변경입니다. 복구 절차가 의도하지 않은 경우(예: 공격자에 의해 시작된 경우) 다른 키 보유자가 이를 취소할 수 있습니다. 그러나 합법적으로 시작된 경우(예: 두 개의 키 중 하나를 분실했거나 비밀번호를 잊어버린 경우) 타임록을 기다리면 됩니다. 그러면 이후에 계정에 다시 액세스할 수 있습니다.
요약하면 이메일/비밀번호 계정은 다음과 같은 잠금을 해제하는 다중 서명 지갑입니다.
- 2개의 서명이 제공되는 경우 – 정상 작동 모드에서 사용됩니다. 또는
- 1개의 서명이 제공되었지만 타임록이 있는 경우; 암호 복구 또는 Ambire 백엔드를 사용할 수 없게 된 경우에 사용됩니다.
두 번째 키는 일반적으로 트랜잭션의 해시에서 파생된 특정 확인 코드에 의해 잠금 해제되지만 OTP 2FA 또는 FaceID와 같은 다른 인증 방법을 사용할 수 있습니다.
이 모델의 또 다른 이점은 두 번째 키가 지출 한도 및 악의적인 계약 또는 호출 확인과 같은 추가 보안 규칙을 시행할 수 있다는 것입니다(예: EOA에 대한 무한 승인). 이러한 규칙은 HSM에서 오프체인으로 확인하므로 쉽게 수정하거나 향상할 수 있습니다. 또한 추가 가스 비용 없이 정교한 검사를 수행할 수 있어 향후 AI 또는 ML을 사용할 수 있습니다.
이에 대해 더 자세히 알고 싶다면 다음을 확인해야 합니다. Ambire Wallet의 보안 모델.
어떻게 지내요
우리는 45,000개월 간의 보안 모델을 빠르게 테스트한 끝에 3월에 Ambire Wallet을 출시했습니다. XNUMX명 이상의 사용자가 지금까지 등록했으며 대부분의 계정이 이메일과 비밀번호로 제어됩니다. 현재 우리는 올해 상반기에 iOS 및 Android용 지갑의 모바일 버전을 출시하기 위해 노력하고 있습니다. 이것은 이전 WebXNUMX 경험이 없는 사람들의 관심을 끌 것으로 예상되는 이메일+비밀번호 등록 모델의 진정한 테스트가 될 것입니다.
Ambire Wallet을 사용해 보고 싶다면, https://www.ambire.com/ XNUMX분 안에 계정을 생성하세요.
출처: https://cryptdaily.co.uk/2022/02/future-web3-logins-email-password