Tecnologia

O futuro dos logins da Web3 é… e-mail e senha?! 

02/04/2022
Notícias do Bitcoin Ethereum

Por Ivan Manchev, Gerente de Comunicação da Ambire

Um dos desafios antes da adoção mais ampla de criptografia e DeFi é o gerenciamento de chaves. Surpreendentemente, o conceito web2 de login por e-mail pode resolvê-lo – mesmo de forma não custodial.

Em frases de sementes

  1. Sozinho 2. Brilho 3. Pureza 4. Interior 5. Mentiroso 6. Fio. …. ???

Você se lembra da primeira vez que lhe pediram para escrever uma frase-semente? Talvez você tenha se confundido: 

  • Por que escrever isso no papel em vez de apenas colá-lo no Notes?
  • Você precisará escrever todas essas coisas para “fazer login” em aplicativos Web3 todas as vezes?
  • Você pode mudar essas palavras para outras mais familiares?
  • Ugh, eles não podem simplesmente pedir uma senha ou algo assim?

As frases iniciais não são tão ruins, mas parecem super estranhas se você não tem ideia de como a criptografia funciona. E a maioria das pessoas não tem ideia de como a criptografia funciona. 

No momento, 99% dos usuários iniciantes da Web3 vêm com experiência na Web2 decorrente de anos de uso de e-mail/senha como autenticação para contas e aplicativos. E enquanto as empresas e carteiras de criptomoedas estão fazendo o possível para educar os usuários, a confusão parece ser inevitável e abre inúmeras oportunidades para os golpistas sempre à espreita. 

Apenas experimente este experimento – pesquise no Google “Curve” ou “Aave” ou “Uniswap” e encontre o primeiro resultado do anúncio. Tente se conectar e você experimentará o golpe de engenharia social mais comum envolvendo frases iniciais – sites que imitam o Metamask e pedem aos usuários enganados suas frases iniciais. (Na verdade, não faça isso – pelo menos não escreva sua frase inicial, por favor!)

Isso está acontecendo o tempo todo e 2021 foi um exemplo incrível do problema pendente. Com a crescente popularidade dos NFTs, muitos novos usuários se juntaram à festa das criptomoedas no ano passado. Alguns deles tiveram a sorte de comprar um NFT Bored Ape Yacht Club e vê-lo subir 1000 vezes no preço…

Imagem

Então, por que ainda estamos usando frases iniciais em vez de senhas?

Infelizmente, os endereços Ethereum comuns são desbloqueados com uma chave privada – uma longa sequência de texto. Se você possui sua chave, pode fazer o que quiser com seu endereço. Você mantém sua chave em um arquivo e a importa para desbloquear uma carteira ou usa os mnemônicos da frase inicial. Não há como introduzir uma senha em vez da chave privada… 

…Ok, na verdade existe uma maneira, mas ao custo de controle total sobre sua carteira. Alguns serviços mantêm as chaves privadas para seus usuários e permitem que eles usem senhas para desbloquear suas carteiras. Isso permite a integração, mas quebra um dos princípios fundamentais da descentralização e não é muito diferente de como os serviços tradicionais funcionam. O serviço que você está usando pode cortar seu acesso a qualquer momento.

Mas e se eu te disser que na verdade existe uma maneira de desbloquear sua carteira com e-mail e senha, mantendo sua chave?

Aí vêm carteiras inteligentes

As carteiras inteligentes foram muito discutidas no passado: você pode ter ouvido falar de um conceito semelhante chamado “abstrações de contas”. 

Basicamente, a ideia é que cada conta Ethereum seja um contrato inteligente, o que abre muitas oportunidades para aprimorar o UX de criptografia. Para os propósitos deste artigo, vamos nos concentrar no gerenciamento de chaves. 

Em vez de usar apenas uma chave criptográfica para proteger uma conta, as carteiras inteligentes permitem que várias chaves sejam utilizadas usando certas regras. Por exemplo, você pode configurar uma conta para ser controlada por 2 chaves, sendo uma delas seu dispositivo móvel e a outra sua carteira de hardware Trezor, com o dispositivo móvel tendo permissões e gastos diários limitados, enquanto o Trezor é ilimitado. Ou você pode configurar a chamada recuperação social, permitindo que um multisig controlado por suas pessoas mais próximas recupere sua conta. 

Em palavras simples, as carteiras inteligentes são contratos inteligentes que podem ser controlados por mais de uma chave criptográfica – isso “descentraliza” o acesso à carteira e permite diferentes configurações nas quais você pode alterar a experiência do usuário de login.

Como você deve ter adivinhado neste momento, um deles está usando e-mail e senha. 

Como construir uma carteira inteligente sem custódia com registro de e-mail e senha

Já sabemos que uma carteira de contrato inteligente pode ser controlada por duas ou mais chaves. Ao criar a Ambire Wallet, decidimos desenvolver esse recurso e habilitar o registro de e-mail/senha sem comprometer a propriedade da conta do usuário. 

Ambire implementa a autenticação tradicional com um e-mail e uma senha como aplicativos Web2. Este modo de autenticação não é custodial: funciona através de um multisig de duas chaves na cadeia. Uma das chaves é armazenada no armazenamento do navegador e é criptografada com a senha do usuário, e a outra chave é armazenada em nosso back-end por meio de um modelo de segurança de hardware (HSM).

Você não pode acessar os fundos usando apenas uma das duas chaves, por exemplo, se você for um invasor que comprometeu com sucesso um usuário (por exemplo, via malware) ou o HSM. 

No entanto, um procedimento de recuperação pode ser iniciado com apenas uma chave. O procedimento de recuperação é uma mudança em timelock de uma das duas chaves. Se o procedimento de recuperação não foi intencional (por exemplo, iniciado por um invasor), qualquer outro detentor de chave pode cancelá-lo. Mas se foi iniciado legitimamente (por exemplo, se você perdeu uma das duas chaves ou esqueceu sua senha), você pode apenas esperar pelo timelock, e você terá acesso à sua conta novamente depois disso.

Para resumir, as contas de e-mail/senha são carteiras com várias assinaturas, que desbloqueiam:

  • Quando são fornecidas 2 assinaturas – usadas no modo normal de operação; ou
  • Quando é fornecida 1 assinatura, mas com timelock; usado para recuperação de senha ou caso o backend Ambire fique indisponível.

A segunda chave é normalmente desbloqueada por um código de confirmação específico (derivado de um hash da) transação, mas outros métodos de autenticação, como OTP 2FA ou FaceID, podem ser usados.

Um benefício adicional desse modelo é que a segunda chave pode impor regras de segurança extras, como limites de gastos e verificação de contratos ou chamadas maliciosas (por exemplo, aprovações infinitas para EOAs). Como essas regras são verificadas fora da cadeia pelo HSM, elas podem ser facilmente modificadas ou aprimoradas. Além disso, verificações sofisticadas podem ser realizadas sem custo extra de gás, permitindo o uso de IA ou ML no futuro.

Se você está curioso para saber mais sobre isso, você deve conferir o Modelo de segurança da Ambire Wallet.

Como está indo

Lançamos a Ambire Wallet em dezembro, após dois meses de testes rápidos de nosso modelo de segurança. Mais de 45,000 usuários registrados desde então e adivinhe – a maioria das contas são controladas por e-mail e senha. No momento, estamos trabalhando no lançamento de uma versão móvel da carteira para iOS e Android no primeiro semestre deste ano. Este será o verdadeiro teste do modelo de registro de e-mail+senha, pois esperamos atrair pessoas que não têm experiência anterior em Web3. 

Se você estiver interessado em experimentar a Ambire Wallet, vá para https://www.ambire.com/ e crie sua conta em menos de um minuto.

Fonte: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password