Mga Kaibigan Huwag Hayaan ang Mga Kaibigan Gumawa ng Masamang Crypto | PH.democraziakmzero.org

Mga Kaibigan Huwag Hayaan ang Mga Kaibigan Gumawa ng Masamang Crypto

Mga Kaibigan Huwag Hayaan ang Mga Kaibigan Gumawa ng Masamang Crypto

Dan Elitzer ay ang blockchain at digital na pagkakakilanlan ng lead sa IDEO CoLab, isang R & D ng network na explores ang epekto ng mga umuusbong na tech sa pamamagitan ng pakikipagtulungan ay cross-industriya.

Sa ganitong piraso opinyon, Elitzer nagpapaliwanag kung bakit pagdidisenyo para sa seguridad ay nangangailangan iisip tungkol sa mga platform na lampas sa sarili.

Kamakailan ko pa nakikilala sa mga founding koponan ng isang grupo ng pagbuo ng isang proyekto sa cryptocurrency space. Sila ay lumakad ang aking mga IDEO CoLab mga kasamahan at sa akin sa pamamagitan ng kanilang mga web app, na nagpapakita kung paano ang mga gumagamit ay maaaring bumili at mag-imbak ng bitcoin o etherin isang custodial wallet, at pagkatapos ay gamitin ang mga pondo sa isang iba't ibang mga paraan. Napansin ko na nagkaroon din sila ng isang pagpipilian upang magpasok ng isang pribadong key direkta upang gumawa ng isang transaksyon.

RED ALERT!

Unang alituntunin ng crypto: hindi kailanman, kailanman, kailanman ibabahagi ang iyong pribadong key.

Corollary: Maging lubhang nag-aalinlangan, kung hindi labag sa batas ng kahina-hinalang, ng anumang serbisyo o komunikasyon na humihiling ng iyong pribadong key.

Ang pagkakaroon ng natutugunan sa koponan na ito dati at alam ang kanilang mga kahanga-hangang mga background, tinanong ko - medyo mahinahon - kung bakit sila ay humihingi para sa isang pribadong key. Ang chief technology officer ipinaliwanag na sila ay pagpapatupad ng isang MyEtherWallet-style na tool para sa pag-sign transaksyon sa browser, kaya ang pribadong key ay hindi kailanman ipapadala sa kanilang server.

Ang layunin ay upang payagan ang mga gumagamit upang madaling gamitin ang serbisyo nang hindi na kinakailangang upang ipaalam sa platform tumagal-iingat ng mga pondo, habang din eliminating ang mga alitan na nauugnay sa pagkakaroon upang buksan up ng isang hiwalay wallet application upang bumuo, mag-sign, at mag-broadcast ng isang transaksyon. Ito ay nag-aalis ng ilang hakbang - Yehey para sa karanasan ng gumagamit - ngunit ang shortcut talagang ginagarantiyahan ng trade-offs?

Ako masyadong nagkakasundo sa view na UX sa crypto mundo ay kalagim-lagim at mayroong isang pangangailangan upang makakuha ng creative sa exploring oportunidad para sa pagpapagaan. At bilang ang team tulis out, mula sa isang teknikal na pananaw, ay dising di dapat paglalantad sa mga gumagamit na anumang higit pa kaysa sa panganib kung ang mga gumagamit ay ipinasok ang kanilang mga pribadong key sa MyEtherWallet.

Iyan ay totoo - maaari nilang ipatupad ang eksaktong parehong open source code bilang MyEtherWallet. May tiwala ako na sila ay gawin ito nang maayos at inaasahan ko na ang ilang mga makabuluhang halaga ng kanilang mga gumagamit sa hinaharap ay magiging handa upang magtiwala sa kanila at huwag mag-secure ang pagpasok ng mga pribadong key sa website na ito.

Gayunman, ang aking pag-aalala ay hindi lalo na kung sila ay maaaring ligtas na ipatupad ang in-browser transaksyon sa pag-sign; tulad ng sinabi ko, pinagkakatiwalaan ko pareho ang kanilang mga kakayahan at ang kanilang mga intensyon.

Ano ang alalahanin akin ang higit pa ay na ito ay nagbibigay ng maling impression, lalo na sa mga bago sa cryptocurrencies, na ito ay ang OK upang ipasok ang iyong pribadong key sa isang website.

Pangunahing impormasyon kalinisan

Karamihan sa mga tao ay ginagamit upang operating sa konteksto kung saan kung ang isang password ay nakompromiso, kahit para sa isang account sa bangko, karaniwang ang pinsala ay hindi bababa sa medyo baligtaran. Crypto ay naiiba: kung ibahagi mo ang iyong mga pribadong mga susi, mawawala sa iyo ang lahat ng bagay. Walang hakbang para sa pagkuha ng pabalik ang iyong ninakaw bitcoin, eter, o iba pang mga token.

Ang isang ligtas, mapagkakatiwalaan serbisyo ng humihiling pribadong key normalizes ang konsepto ng mga gumagamit ng pagbabahagi ng mga pribadong key na may mga serbisyo na ginagamit nila. Masama ito.

Kahit na ang kumpanya sa tanong ay mapagkakatiwalaan, ito ay isang virtual garantiya na ang lahat ng tao pagbili, paggamit, o paglahok sa cryptocurrency ecosystem sa anumang paraan ay sa ilang mga punto ay magkasalubong ng isang Hacker o scammer na sinusubukang nakawin ang kanilang pera. Pagsasanay mga gumagamit na ang isang hiling upang ipasok ang kanilang mga pribadong key ay maaaring maging lehitimong tataas ang posibilidad na ang mga gumagamit ay mahulog biktima sa isang scam sa hinaharap.

Isang analog na ito ay kapag ang isang tradisyunal na pinansiyal na mga serbisyo ng kumpanya ng mga tawag sa isang customer tungkol sa isang isyu at humihiling na ang mga customer ay nagbibigay ng data tulad ng kanilang mga numero ng account, address, o huling 4 na numero ng kanilang Social Security nunber bago magpatuloy.

HINDI!

Huwag sanayin ang iyong mga customer na ibahagi ang impormasyon o subukang upang magsagawa ng anumang mga pakikipag-ugnayan may kaugnayan sa account sa isang tawag sa telepono na ang customer ay hindi magpasimula kanya o sa sarili!

(Para sa sinuman kung kanino ito ay balita: mangyaring palaging, palaging, palaging magtapos tulad ng mga tawag agad at tumawag pabalik sa pamamagitan ng isang linya na nakalista sa website ng kumpanya na pinag-uusapan.)

Ang isang mataas na bar ng tiwala

Habang nasa isang malalim na pag-uusap na ipinahayag ang koponan ay bibigyan ng isang pulutong ng mga pagsasaalang-alang sa seguridad at usability tradeoffs, ang startup CEO nagtanong, "Bakit okay para MyEtherWallet upang hilingin sa mga gumagamit upang ipasok ang kanilang mga pribadong key o i-upload ang kanilang keystore file, ngunit hindi OK para sa sa amin na gawin ito? " Iyan ay isang makatarungang katanungan.

Una, Gusto ko ay ipinapalagay na ang karamihan ng mga tao ng pagpasok ng kanilang mga pribadong key upang gamitin MyEtherWallet orihinal na nabuo mga pribadong key sa MyEtherWallet may balak na ginagamit ang mga ito sa MyEtherWallet sa hinaharap. Kung mayroon ka nang pagkatiwalaan ang isang website o application upang bumuo ng iyong mga susi, hindi ka lubos na pagpapalawak ng iyong pag-atake ibabaw sa pamamagitan ng patuloy na tiwala sa kanila kapag pumunta sa iyo upang gamitin ang mga key.

Pangalawa, mayroong isang espesyal na papel na iyon wallet software at mga serbisyo-play sa ecosystem na ito. Ang mga ito ay ang ahente na mediates pakikipag-ugnayan ng user sa ang magpahinga ng ang cryptocurrency ecosystem at ito ay ganap na mahalaga na ang gumagamit ay Nagtitiwala na ang kanilang mga wallet ay nagtatanghal ng tumpak na impormasyon sa mga ito at ay behaving alinsunod sa mga layunin ng gumagamit. Gaya ng nabanggit, mayroong isang hindi kapani-paniwalang mataas na bar ng tiwala na ang wallet developer ay dapat makamit bago kaalaman cryptocurrency mga gumagamit ay isaalang-alang ang paggamit ng mga ito upang pamahalaan ang kanilang mga asset.

Kung ang cryptocurrency ecosystem ay kailanman pagpunta upang bumuo sa isang paraan na ang mga token ay kapaki-pakinabang para sa mga application lampas lamang investment o haka-haka, makikita natin ang daan-daang, libu-libong, marahil kahit na milyon-milyong, ng mga serbisyo na binuo na kasama ang mga pakikipag-ugnayan kung saan ang mga gumagamit na kailangan upang makabuo ng mga lagda sa kanilang mga pribadong key. Umaasa sa mga tao upang maging may kakayahang umunawa kung dapat silang magtiwala sa isang bagong serbisyo ay magkasalubong sila sa kanilang pribadong key ay hindi bagay.

Mag-ingat sa mga impostor

Isang suggestion ng isang kasamahan ng minahan ay nagkaroon ay para MyEtherWallet (o isa pang mataas na mapagkakatiwalaang serbisyo) upang lumikha ng isang transaksyon-sign widget na maaaring naka-embed sa iba pang mga site, upang ang mga gumagamit ay maaaring maging kumpyansa ng pagpasok ng kanilang mga pribadong key. Ang startup CEO kahit iminungkahing na ang kumpanya ay maaaring kahit na lumikha ng tulad ng isang tool mismo at i-publish ito para sa iba upang gamitin. Habang purihin ko ang damdamin ng pagbuo ng isang bagay na kapaki-pakinabang at pagbabahagi ng ito sa iba, ang problema ay hindi isa na maaaring lutasin sa ganitong paraan.

Sabihin nating MyEtherWallet ay lumikha ng isang branded na transaksyon-sign widget. Paano bisita sa isang site na may mga widget na naka-embed malaman na ito ay isang tunay na MyEtherWallet widget sa halip na isang lookalike na nakawin ang kanilang mga pribadong mga susi? "Maaari silang lamang gawin ang isang checksum." Well, magtiwala na ang isang checksum ay may-bisa, ang gumagamit ay kailangang munang malaman kung ano ang isang checksum ay, at pagkatapos ay patakbuhin ito sa kanilang sarili. Anumang visual cue paraan para sa pagpapatibay ng widget o checksum ay madaling pineke.

Maliban kung at hanggang sa ito ay nagiging makatwirang upang ipalagay na ang isang napakalaki karamihan ng mga gumagamit ay may kanilang sariling mga ahente ng software awtomatikong pag-verify ng signature at tumatakbo checksum function, gamit ang madaling pineke visual na mga pahiwatig upang magpahiwatig ng seguridad ay lamang taasan ang kahinaan ng iyong mga gumagamit.

Humihingi kami ng lahat sa ito magkasama

Ito ay lumiliko out na ito kahanga-hangang, hindi panatag sa hinaharap na kaya marami sa amin ay nagsusumikap upang lumikha ng ay hindi tunay kaya hindi panatag.

Sa katunayan, ito ay hindi kahit na ang tiwala-minimize.

Walang tiwala na tinukoy: kailangan namin upang maging napaka-partikular tungkol sa whowe ay nagtitiwala sa whattasks. Ito ay kasalukuyang nanunungkulan sa lahat ng mga kalahok sa cryptocurrency ecosystem upang makatulong sa mga gumagamit na bumuo ng pang-unawa at intuwisyon para sa ito sa pamamagitan lamang ng pagtatanong user para sa mga hubad minimum na halaga ng tiwala at mga pahintulot na kailangan namin at pagturo sa kanila na kagalang-galang na serbisyo na sundin ang mga pinakamahusay na kasanayan sa seguridad at pagsisiwalat para sa lahat ng iba pang mga pag-andar.

Ang aming mga responsibilidad sa aming mga gumagamit ay hindi nagtatapos kapag sila ay umalis sa aming site o isara ang aming mga app. Mga Pag-uugali matuto sila mula sa amin - o na-ambag kami sa normalizing - ay gagabay sa kung at kung paano sila makipag-ugnayan sa napakaraming bilang ng iba pang mga serbisyo sila ay nakatagpo sa hinaharap. Sa isang industriya kung saan ang pagkakamali ng user ay madalas na maibabalik, ito ay kasalukuyang nanunungkulan sa lahat ng sa amin upang panatilihin ang mga siwang ng mga inaasahan ng user tulad makitid na nakatutok hangga't maaari sa hindi bababa sa mapanganib na pag-uugali.

Maaari naming bumuo ng isang mas ligtas at mas user-friendly na hinaharap para sa lahat, ngunit lamang kung manatili namin mapagbantay tungkol sa seguridad para sa aming mga gumagamit sa lahat ng serbisyo sila nakikipag-ugnayan sa, hindi lamang ang ating mga sarili.

Kung mayroon kang anumang mga mabuting halimbawa ng nudging mga gumagamit patungo sa mas ligtas na pag-uugali o mga pinakamahuhusay na gawi para sa mga secure UX disenyo, mangyaring ibahagi sa isang komento sa ibaba.

SecurityWalletsprivate keys

Kaugnay na Balita


Post Palitan ng pera

Ang Coinbase ay nagpahayag ng High-Security Vault Bitcoin Accounts

Post Palitan ng pera

Ulat: Ang mga Tagapagbigay ng Bitcoin Wallet na Hindi Ginagawang Mahalaga ang Pribado

Post Palitan ng pera

China upang Paghigpitan ang Bitcoin Marketing, Ngunit Blockchain Firms ay hindi naiinip

Post Palitan ng pera

Bitcoin ID Verification Streamlined With Jumios BISON

Post Palitan ng pera

Cryptsy CEO Stole Millions Mula sa Exchange, Alleges Receiver ng Korte

Post Palitan ng pera

Bitnet Lands $ 14.5 Million Series Ang pagpopondo sa Rival BitPay

Post Palitan ng pera

Nagbebenta ang Moolah ng Dogecoin Balance Audit, Nagpapakita ng $ 9m DOGE

Post Palitan ng pera

Pre-funded Bitcoin Wallet

Post Palitan ng pera

Coinbase mamumuhunan: Bitcoin ay ang pera ng hinaharap

Post Palitan ng pera

Ang BTC-e ay nagpapalakas ng mga beterang mamumuhunan na may Advanced na PAMM trading Account

Post Palitan ng pera

Nagbibigay ang Coinbase ng $ 10k Prize sa Kumpetisyon ng Bagong Hackathon

Post Palitan ng pera

Bakit ang ilang Bitcoin Exchange ay maaaring mamatay sa 2018