Sõbrad Ärge lubage sõpradele teha halba krüpto | EE.democraziakmzero.org

Sõbrad Ärge lubage sõpradele teha halba krüpto

Sõbrad Ärge lubage sõpradele teha halba krüpto

Dan Elitzer on blockchain ja digitaalse identiteedi eduseisu IDEO CoLab, R & D võrgustik, mis uurib mõju areneva tech läbi eri valdkondade koostööd.

Käesolevas arvamuses tükk, Elitzer selgitab, miks projekteerimine turvalisuse nõuab mõtlema platvormid kaugemale enda.

Hiljuti kohtasin asutamisest meeskond rühma hoone projekti cryptocurrency ruumi. Nad kõndisid mu IDEO CoLab kolleegid ja mina läbi oma web app, mis näitab, kuidas kasutajad võivad osta ja salvestada Bitcoin või etherin vabadusekaotuslik rahakoti ja seejärel kasutada neid vahendeid erinevatel viisidel. Ma märkasin, et neil oli ka võimalus sisestada isikliku võtme otse tehingut teha.

RED ALERT!

Esimene reegel krüptokaartide: mitte kunagi, kunagi jagada oma privaatvõti.

Järeldus: Ole väga skeptiline, kui mitte lausa kahtlane, mis tahes teenuse või side, kus küsitakse teie privaatvõti.

Olles kohtunud selle meeskonna varem ja teades nende muljetavaldav taustaga, küsisin - suhteliselt rahulikult - miks nad küsisid privaatvõti. Peamine tehnoloogia ametnik selgitas, et nad olid ellu MyEtherWallet stiilis vahend allkirjastamisel tehingute brauseris, seega privaatvõti oleks kunagi saata oma server.

Kavatsus oli võimaldab kasutajatel hõlpsasti kasutada teenust, ilma et lasta platvormi võtta vahi raha, samas kaotades hõõrdumise seotud võttes avada eraldi rahakott, mis võimaldab luua, kirjutada, ja eetrisse tehingu. See eemaldab mõne sammu - Hurraa kasutaja kogemus - kuid ei otsetee tõesti õigustada kompromisse?

Ma olen väga mõistvalt, et UX krüptooperatsiooni maailm on jube ja seal on vaja saada loominguline uurida võimalusi lihtsustada. Ja kui meeskond märkis, alates tehnilisest seisukohast, nad ei oleks paljastamine kasutajatel enam ohtu võrreldes neid kasutajaid sisestatud nende salajased võtmed MyEtherWallet.

See on tõsi - nad võiksid rakendada täpselt sama avatud lähtekoodi MyEtherWallet. Ma usun, et nad teeksid seda korralikult ja ma eeldan, et mõned mõtestatud summa nende tulevaste kasutajate oleks valmis neid usaldada ja tunnevad end turvaliselt sisenemist isiklike võtmete sellel veebilehel.

Kuid minu mure ei ole peamiselt kas nad võiksid turvaliselt rakendada brauserisisest tehingu allkirjastamise; nagu ma ütlesin, ma usaldan nii nende pädevust ja kavatsused.

Mind ärritas rohkem on, et see annab vale mulje, eriti need uued cryptocurrencies, et see on OK, et sisestada oma privaatvõti veebilehel.

Üldinfo hügieeni

Enamik inimesi on harjunud tegutsema kontekstis, kus, kui parool on ohustatud, isegi pangakonto, tavaliselt kahju on vähemalt mõnevõrra pöörduv. Crypto on erinev: kui jagate oma isiklike võtmete, te kaotate kõik. Ei ole olemine saada tagasi oma varastatud Bitcoin, eeter või muud märgid.

Turvaline, usaldusväärne teenus taotleva privaatvõtmetest normaliseerib mõiste kasutajad jagavad privaatvõtmetest teenuseid, mida nad kasutavad. See on halb.

Isegi kui kõnealune ettevõte on usaldusväärne, see on virtuaalne garantii, et igaüks osta, kasutades või osalevad cryptocurrency ökosüsteemi kuidagi mingil hetkel tekib häkker või scammer üritavad varastada oma raha. Kasutajate koolitamine, et taotluse sisestada oma isiklikud võtmed saab õigustatud suureneb tõenäosus, et need kasutajad ohvriks pettus tulevikus.

Analoog on see, kui traditsiooniline finantsteenuste firma nõuab klient probleemi kohta ning palub, et klient annab andmed, nagu oma konto numbri, aadressi või viimase 4 numbrit oma Social Security tagasipeegeldavaid registreerimismärke enne jätkamist.

NO!

Ärge koolitada oma klientidele jagada teavet või üritada läbi ühtegi kontoga seotud interaktsioonide telefonikõne, et klient ei algatanud ennast!

(Kui keegi, kellele see on uudis: palun alati, alati, alati lõpuks selliseid kõnesid ja kutsuda tagasi läbi toetussüsteem liin loetletud veebilehel kõnealune ettevõte.)

Kõrge baar usalduse

Ajal sügav vestlusest selgus meeskond andis palju tähelepanu turvalisuse ja kasutatavuse kompromisse, käivitamisel tegevjuht küsis: "Miks on okei MyEtherWallet küsida kasutajatel sisestada isiklikud võtmed või laadida oma võtmehoidjafaile, kuid mitte OK meil seda teha? " See on õigustatud küsimus.

Esiteks, ma oletan, et enamus inimesi sisenevad nende isiklike võtmete kasutada MyEtherWallet algselt loodud nende salajased võtmed MyEtherWallet kavatsusega kasutada neid MyEtherWallet tulevikus. Kui sul on juba usaldab veebisait või rakendus genereerima oma võtmed, sa ei väga laiendada oma rünnaku pinna jätkates neid usaldada, kui lähete kasutada neid võtmeid.

Teiseks, seal on eriline roll, et rahakoti tarkvara ja teenuste mängida selles ökosüsteemis. Nad on aine, mis vahendab kasutaja interaktsiooni ülejäänud cryptocurrency ökosüsteemi ning see on hädavajalik, et kasutaja loodab, et nende rahakoti esitleb täpset teavet neile ja käitub vastavalt kasutaja tahtlus. Nagu näiteks, on uskumatult suur baar usalduse, et rahakott arendajad peavad saavutama enne teadlike cryptocurrency kasutajad kaaluge neid hallata oma vara.

Kui cryptocurrency ökosüsteemi kunagi arendada nii, et märgid on kasulikud rakendused kaugemale lihtsalt investeeringute või spekulatsioone, me näeme sadu, tuhandeid, isegi miljoneid teenused ehitatud, mis sisaldavad koostoimeid, kus kasutajad on tarvis luua allkirjad isiklikuks võtmed. Oodati, et inimesed saaksid eristada, kas nad peaksid usaldama uus teenus nad kogevad oma isiklike võtmete ei pea paika.

Hoiduge petised

Üks soovitus minu kolleeg oli oli MyEtherWallet (või muu väga usaldusväärne teenus) luua tehingu allkirjastamist vidina, mida võiks manustada teistele saitidele, nii et kasutajad võivad olla kindlad, sisestades oma isiklike võtmete. Ühtede tegevjuht isegi ettepaneku, et äriühing võib isegi luua selline vahend ise ja avaldada teistele kasutamiseks. Kuigi ma kiidan sentiment hoone midagi kasulikku ja jagada seda teistega, et probleem ei ole üks, mida saab lahendada sel viisil.

Oletame MyEtherWallet ei luua kaubamärgiga tehingu allkirjastamist vidina. Kuidas külastajaid saidile vidina varjatud tean, et see oli tõeline MyEtherWallet vidina asemel lookalike, mis varastada oma isiklike võtmete? "Nad lihtsalt teha kontrollsumma." Noh, loodame, et kontrollsumma kehtib, kasutaja oleks vaja kõigepealt teada, mida kontrollsumma on siis seda ise juhtima. Iga visuaalne kii kehtivuse vidina või kontrollsumma võib kergesti võltsida.

Kui ja kuni see muutub mõistlik eeldada, et valdav enamus kasutajad on oma agent tarkvara automaatselt kontrollida allkirjade ja töötab kontrollsumma funktsioone, kasutades kergesti võltsida visuaalset tähendama turvalisust ainult suurendab haavatavust oma kasutajatele.

Oleme kõik seotud

Selgub, et see imeline, trustless tulevikus, et nii paljud meist püüavad luua ei ole tegelikult nii trustless.

Tegelikult, see ei ole isegi usaldusel minimeeritud.

See on usalduse määratud: peame olema äärmiselt täpne whowe usaldame jaoks whattasks. See on pandud kõik osalejad cryptocurrency ökosüsteemi aidata kasutajatel arendada mõistmist ja intuitsiooni selles vaid küsib kasutajate miinimumini summa usalduse ja load, et peame ja juhtides neid mainekas teenuste kes järgivad parimaid tavasid turvalisuse ja avalikustamine kõik muud funktsioonid.

Meie vastutus meie kasutajatele ei lõpe, kui nad lahkuvad meie saidi või sulgeda rakendus. Käitumist nad meilt õppida - või et me kaasa normaliseerimise - juhendab, kas ja kuidas nad suhelda hulgaliselt muid teenuseid, mida nad kohtavad tulevikus. Tööstuses, kus kasutaja vigu on sageli pöördumatu, see on pandud meie kõigi hoida ava kasutaja ootusi nii kitsalt keskendunud kui võimalik vähemalt riskikäitumine.

Me ei saa ehitada turvalisem ja kasutajasõbralikumaks tulevikus kõigile, kuid ainult siis, kui me jääda valvsaks turvalisus meie kasutajatele kõigis teenuseid nad suhelda, mitte ainult meie endi.

Kui teil on mingeid häid näiteid nudging kasutajad suunas turvalisemaks käitumine või parimate tavade turvaliseks UX disain, palun jagage oma kommentaar allpool.

SecurityWalletsprivate võtmed

Seotud uudised


Post Valuutavahetus

Kraken Exchange pärast Troublesome System Upgradei tagasi võrgus

Post Valuutavahetus

Miks Bitcoin Exchangei auditid ei lähe piisavalt kaugele

Post Valuutavahetus

Suurbritannias bikotiinide ostmine Bittyliciousi Marc Warneiga

Post Valuutavahetus

Milline Coinbase Kuuba probleem ütleb Bitcoin Business

Post Valuutavahetus

Mis monopol Blockchain startup Setl Komplektid Vaatamisväärsused Austraaliast kaugemale

Post Valuutavahetus

Kuidas Coinbase toob Bitcoini miljardi dollari kaupmehed

Post Valuutavahetus

Mis saab Bitcoini järgmise suur hinnaüritus?

Post Valuutavahetus

Facebooki integreeritud rahakott võimaldab bitcoini saatmist nii lihtsalt kui sõnumite saatmiseks

Post Valuutavahetus

Enamik Global Exchanges Now Testing Distributed Ledger Tech

Post Valuutavahetus

Bitcoini hind läheneb kõigi aegade tõusule, kuid turu usaldusväärsus ei ole

Post Valuutavahetus

Rahakotiteenus integreerib bikcoini makseid suhtlusvõrgustikega

Post Valuutavahetus

CFTC esimees: meil on järelevalvet bitcoini tuletistehingute üle