Sa pagtaas ng mga banta sa cyber, ang aming mga kasanayan sa seguridad ay dapat na umunlad. Kaya, bakit T namin tinanggap ang mas ligtas na mga solusyon? Sinabi ni Dr. Adam Lowe, "Ang pinakamahusay na seguridad ay ang ginagamit ng mga tao," na nagpapahiwatig ng kakayahang magamit ay susi.
Ang koponan ng CoinDesk ay nakipag-usap kay Dr. Lowe upang i-unpack ang ideyang ito.
Si Lowe ay ang Chief Product & Innovation Officer sa CompoSecure na gumawa ng kanyang karera sa pinakahuling pagbabago. Nag-akda siya ng ilang mga teknikal na kabanata ng libro, at nakalista bilang isang imbentor sa mahigit 500 patent at patent na nakabinbin, kabilang ang Arculus, isang susunod na henerasyong digital security platform na nagbibigay sa mga tao ng kakayahang i-secure ang kanilang mga digital asset at pagkakakilanlan.
Ang kadalubhasaan sa seguridad ni Lowe ay higit pa sa CompoSecure at Arculus. Dati siyang humawak ng R&D role sa isang nonprofit na sumusuporta sa pagtatanggol at katalinuhan ng US. Ang mga karanasan ni Lowe ay nagbibigay sa kanya ng malalim na pag-unawa sa web2 at web3 na seguridad para sa mga user mula sa mga indibidwal hanggang sa mga entity ng gobyerno.
Sa pag-uusap na ito, tuklasin natin ang kasalukuyan at hinaharap na estado ng cyber security at kung bakit naniniwala si Lowe sa isang walang password na hinaharap.
Sa palagay ko ang iyong background ay nagbibigay ng maraming konteksto kung paano ka nagtapos sa pagtatrabaho sa CompoSecure at pagbuo ng Arculus, ngunit ang isang bagay na gusto kong sumisid nang mas malalim ay kung paano ka dinala ng mga karanasang ito sa web3.
Oo naman, kaya, ito ay isang mahabang paglalakbay, simula noong ako ay nasa grad school, sa paligid ng 2011. Bitcoin ay rumbling sa pamamagitan ng Academia. T ako isang malaking mamimili ng Bitcoin sa oras na iyon, tiyak na gusto ko, ngunit doon ko unang nakuha ang aking panlasa nito.
Pagkatapos ay pumunta ako sa depensa kung saan nakakuha ako ng interes sa cryptography na nagpapanatili sa mga tao, warfighter, at buong intelligence community na secure. Ginawa ko iyon sa loob ng ilang taon at pagkatapos ay lumipat sa mga pagbabayad.
Nasa CompoSecure, ang aming pangunahing kumpanya, sa loob ng humigit-kumulang 10 taon na gumagawa ng premium metal payment card Technology. Habang tumatanda ang Crypto , sinimulan kong makita iyon bilang kinabukasan ng mga pagbabayad at digital na pagkakakilanlan, at kung paano pinagsama ang dalawa sa web3.
Mula sa pananaw ng mga pandaigdigang pagbabayad, medyo nakita ko kung saan nabuo ang nexus na ito at napunta sa posisyon namin nang maayos sa pamamagitan ng paglikha ng Arculus. Ang Arculus ay ang digital asset at digital identity na bahagi ng aming negosyo, kung saan kami kumukuha ng premium na metal Technology sa pagbabayad ng card , nagdaragdag ng isang elliptic curve para magawa ito ng maraming bagay. Maaari silang magbayad. Maaari nilang patotohanan ang mga mamimili. At isa rin itong ganap na Hardware signer para sa lahat ng nauugnay na modernong blockchain pati na rin.
Kaya iyon ang uri ng pananaw: kailangan ng mga tao na pamahalaan ang kanilang mga digital na pagkakakilanlan, at gusto naming bigyan sila ng seguridad sa kanilang bulsa upang magawa ito.
Nais naming lahat na bumili kami ng Bitcoin noong 2011, ngunit ang iyong paglalakbay sa Crypto ay talagang natatangi at nagbigay sa iyo ng mga insight sa personal, corporate, at seguridad ng gobyerno.
Tila ang mga kumpanya ay nawawalan ng data ng customer na kasingdali ng pagkalimot ng mga customer ng mga password. Bakit ito nangyayari?
Oo, kaya nagbibigay ako ng mga pag-uusap tungkol dito sa lahat ng oras at ONE uri ng pamagat ng usapan sa dila na mayroon ako kamakailan ay ang mga password ay passe. Dahil sila talaga.
Ang gusto kong sabihin ay, at totoo, na pinagkakatiwalaan mo ang isang susi sa harap ng pintuan ng iyong bahay o apartment. Dapat kang magtiwala sa isang digital key sa iyong digital na buhay. Hindi isang password.
Ang pangunahing problema sa karamihan ng mga sistemang ito, kahit na ang sukat, ay ang mga ito ay nakabatay sa kaalaman. Ang password ay walang iba kundi isang nakabahaging Secret, at para sa sinumang dumaan sa Middle School, ang mga nakabahaging sikreto ay T nagtatagal. Kaya ito ay likas na isang depekto sa disenyo.
At tulad ng nabanggit mo ay madalas itong nakakalimutan ng mga tao at kailangan itong i-reset. Katulad ng kalahati ng lahat ng aktibidad ng call center ay nauugnay sa mga password. Para sa mga kumpanya, maaari itong maging napakamahal.
Ok, kaya ang mga password ay passe, ngunit ano pa ang mayroon?
Sa halip na mga password, na nakabatay sa kaalaman, lumilipat ang mga modernong sistema patungo sa mga solusyong nakabatay sa susi.
Maaaring nakita mo na ang Facebook, Coinbase, at iba pa na gumagamit na ng mga digital key upang pamahalaan ang iyong digital na buhay. Ito ay parehong paraan kung paano ka pumirma sa isang transaksyon sa Ethereum gamit ang isang digital key, ngunit sa halip, ikaw ay digital na pumipirma sa isang hamon na nagpapatunay na ikaw ay ikaw.
Ito ay isang napakalaking hakbang pasulong sa seguridad.
Ang mas mahusay kaysa sa mga password ay tulad ng Google Authenticator, ngunit hindi ito magandang karanasan ng user. Kailangan mong mag-tab out, kumuha ng anim na digit, mag-tab pabalik, makipaglaban sa orasan, at umaasa kang makuha mo ito ng tama. Ito ay hindi mahusay.
Ang zero trust, key-based na diskarte na pinag-uusapan natin ay ipinag-uutos para sa lahat ng DoD ngayong taon, at iuutos para sa mas maraming ahensya ng gobyerno habang tumatagal.
Tinawag ito ng CISA na pamantayang ginto at dapat kang pumunta para sa ginto. Talagang iniisip namin na ito ang pinakamahusay na diskarte, at ang mga taong tulad ng Apple, Google, at iba pa ay sumasang-ayon sa amin, kaya naman sinusuportahan ito ng bawat Android at iPhone na telepono.
Kaya ang ginawa namin sa passkey, at para magtrabaho sa loob ng Fido WebAuth passkey system, inilalagay namin sila sa maganda, panlabas na metal card na maibibigay ng mga negosyo sa kanilang mga customer, sa kanilang pagba-brand.
Para sa mga bagay na mababa hanggang katamtamang panganib, mayroong isang app sa iyong telepono: titingnan mo ang iyong telepono, upang i-unlock ang iyong paboritong website o app.
Para sa mga bagay na katamtaman hanggang mataas ang panganib, ginagamit mo ang iyong card, isang external na key, na ginagawa itong mas secure. I-tap mo ang (pass)key (card) sa iyong telepono, pumirma ito ng hamon, at pasok ka.
Sinabi mo kanina na "the best security is the ONE that people use" and it reminded me of how my parents just stick with what they know.
Ano ang iyong pananaw sa paggamit ng iyong teknolohiya? Ito ba ay seguridad na gagamitin ng aking mga magulang?
Kami sa Arculus ay literal na mayroong tinatawag na "Adams Mom's Test," na nangangailangan na magagawa ito ng aking ina nang walang anumang pagtuturo. At kung T niya kaya, at kailangan niya ng coaching, hindi ito sapat na simple.
Ang tatlong haligi ng Arculus ay ligtas, simple at ligtas, at ang simple ay talagang napakahalaga.
Ang karaniwang transaksyon na gagawin ng iyong ina ay kailangan lang gumamit ng biometrics sa kanyang device. Titingnan lang niya ang kanyang telepono o gagamitin ang kanyang thumbprint, at hindi na kailangang matandaan ang isang password. Sa tingin ko iyon ay isang malaking bentahe ng Technology ito.
ONE dahilan kung bakit sa tingin namin ang mga smart card ay napakahusay na sasakyan para dito ay ang lahat ay mayroon nito. Ang mga smart card sa buong mundo ay 20 hanggang 25 beses na mas marami kaysa sa mga iPhone. Iniisip ng lahat na lahat ay may iPhone. Well, mayroong 20 beses na mas maraming smartcard kaysa sa mga iPhone.
Pagbabalik sa Crypto, regular kong naririnig ang mga taong nag-iimbak ng kanilang buong portfolio sa parehong wallet na ikinonekta nila sa lahat.
Dahil sa ideya na ang pinakamahusay na seguridad ay ONE na talagang ginagamit ng mga tao, paano mo nakikita ang pag-aampon na ito sa web3, at paano nito mapapahusay ang proteksyon para sa mga user na nakikipag-ugnayan sa dApps?
Sa tingin ko ay makikita mo ang pagbabago mula sa mga HOT wallet sa lalong madaling panahon. Ang hamon sa mga luma at dating cold storage na mga paraan, ang niluwalhati na USB sticks, ay masyado itong kumplikado sa paggamit—hindi user-friendly, nagsasangkot ng patuloy na pag-upload at pag-download, at hindi masyadong mabubuhay.
Sa Arculus, ginawa naming mas madaling gamitin kaysa sa maraming HOT na wallet.
Makukuha mo ang kadalian ng paggamit na may pinakamataas na seguridad sa isang multifunctional na platform. Tulad ng nabanggit ko dati, maaari tayong maglagay ng bayad sa card, maaari nating gawin itong FIDO authenticator na napag-usapan natin na nagla-log sa iyo sa mga web2 platform.
Ang iyong buong digital na buhay ay maaaring nasa isang card na palagi mong dinadala, at ito ay kasing dali ng iyong paboritong HOT wallet, ngunit ang mga susi ay nasa iyong bulsa. Walang paraan upang i-hack ito dahil ang tanging lugar na umiiral ang iyong mga pribadong key ay nasa card na iyon.
Gayundin, ito ay 3FA, ngunit madaling 3FA:
- Isang bagay na mayroon ka: ang partikular na card, na naka-sync sa iyong telepono,
- Isang bagay na ikaw ay: ang biometric sa iyong device, at
- Isang bagay na alam mo: ang iyong pin.
Mayroon kang independiyenteng lalim ng depensa na nagpapanatili sa iyong Crypto na ligtas at maaaring ganap na gumana sa loob ng kapaligiran ng Web3. Maaari mong gamitin ang WalletConnect sa iyong paboritong DEX, gagawin mo ang anumang kalakalan na gusto mong gawin, at ikaw ay tumba at gumulong.
Anong mga umuusbong na banta sa cyber ang nakikita mo sa mga darating na taon, at paano tinutugunan ni Arculus ang mga ito?
Oo naman, kaya lahat ay nagbabanggit ng AI. Sa tingin ko ito ay isang makatwirang bagay na bigyang-pansin dahil ito ay nagpapababa ng bar para sa cyber attacks.
Sa AI, maaari kang maging mas kaunti kaysa dati upang maglunsad ng isang makatwirang pag-atake sa cyber dahil tutulungan ka ng AI na mag-code at tutulungan kang isagawa ito sa mas mababang threshold ng kaalaman. Kaya makikita natin ang mas malaking sukat at dami ng mga pag-atake mula doon.
Kailangan nating ihanda ang ating mga system para makapagdepensa laban sa dami ng mga pag-atake. Pinoprotektahan namin laban sa mga pag-atake sa hinaharap sa pamamagitan ng pag-alis sa uri ng problema sa kredensyal na magagamit sa pagpapalit ng SIM na napag-usapan namin, dahil nasa iyo ang susi o T.
Ang isang umaatake ay maaaring kumatok sa pader na iyon sa lahat ng gusto nila. Kung T silang cryptographic key para i-unlock ang account o i-unlock ang mga pribilehiyong iyon, hindi sila papasok. Kaya naman napakahalaga ng misyon na lumayo tayo sa sistemang ito na nakabatay sa kaalaman na nagbibigay-daan sa mga umaatake.
Paano ang tungkol sa mundo ng web3 at Crypto?
Sa tingin ko, ang ONE sa mga banta, lalo na sa web3, ay nagmumula sa malaking kilusang ito upang subukang i-onboard ang mga tao. Kailangan nating makakuha ng mas maraming tao sa espasyo at kailangan nating sumakay sa kanila. Bagama't totoo iyon, nakakakita ka ng maraming platform na lumilipat sa social login upang subukang gawing mas madali ang onboarding.
Kung T secure ang mga account na iyon, ang ginawa mo lang ay kumuha ng mga problema sa web2 at dalhin ang mga ito sa isang web3 world dahil babalik ka kaagad sa mga password, email, at sa parehong mga lumang problema.
Ano ang mangyayari kapag sinabi ng hacker na 'Nakalimutan ko ang aking 2FA?' at ang solusyon ay nakakakuha ka ng email LINK? Ang kailangan lang gawin ng hacker ay SIM swap ka at bumalik kami kung saan kami nagsimula.
T namin maitulak ang web2 insecurity sa web3.
Ang talakayang ito ay nag-echoed sa "hindi ang iyong mga susi, hindi ang iyong Crypto" na damdamin. Ngunit ano ang tungkol sa mga tagapag-alaga at DAO? Maaari bang suportahan ng Arculus ang mga multi-party system tulad ng multi-sigs?
Nakikipagsosyo kami sa maraming tao at nagtatrabaho sa maraming system. Pakiramdam namin kami ang pinaka-secure, pinakamadaling gumamit ng cryptography engine, kaya bakit kami magiging prescriptive tungkol sa kung paano ito dapat gamitin ng mga tao?
Maaari naming gawin, halimbawa, ang isang bagay tulad ng Gnosis Multi-Sig, kung saan maaari kaming pumirma para sa ONE sa mga kontratang iyon at maging isang signer, M of M signer, sa multi-sig ecosystem na iyon kung saan maaari mong gamitin ang Fido WebAuth login na iyon para mag-log. ikaw sa isang plataporma.
Talagang iniisip namin na kami ay isang madaling gamitin, nababaluktot na cryptography system na maaaring gumana sa corporate o centrally-held environment na kasing dali para sa isang consumer. Sa tingin ko, iba ang mga sagot sa iba't ibang problemang iyon. Kami ay isang Swiss Army Knife kung saan maaari naming ilabas ang naaangkop na tool at tumulong sa paglutas ng problema.
Napansin kong nakikipagsosyo si Arculus sa mga tradisyunal na solusyon sa pagbabayad at mga kumpanya ng web3. Maaari mo bang ipaliwanag ito?
Oo naman. Kaya marami kaming ginagawa sa mga tulad nina Solana, Aptos at SUI at iba pa, talagang nakatuon sa pagsasama-sama ng Web3 at mga pagbabayad. Gaya ng nabanggit ko kanina, maaari nating pamahalaan ang pagkakakilanlan gamit ang pamantayan ng Fido web auth, na kinukuha ng mga chain na ito para sa isang uri ng madaling pag-login sa ZK. Ngunit nakakatulong din kami sa pagsuporta sa mga pagbabayad gamit ang mga network na ito.
ONE kami sa iilang tao sa mundo na may pribilehiyong gumawa ng mga Visa, MasterCard, American Express card. Noong nakaraang Solana Hacker House, nag-usap kami at ipinakita kung paano mo maaaring i-tap ang aming mga card at maaari itong tumakbo sa mga riles ng Visa o mag-tap para magpadala ng Solana Pay sa mga riles ng Solana .
Talagang pinag-iisa nito ang mga sistema ng pagbabayad at paggamit ng mga stablecoin bilang mga instrumento sa pagbabayad at pag-aayos at dinadala ang web3 na iyon sa mga tunay na pang-araw-araw na kaso ng paggamit na sa tingin ko ay kahanga-hanga lamang.
May iba pa ba bago tayo magtapos?
Gusto kong ulitin na ang kadalian ng paggamit na sinamahan ng seguridad at pagiging simple ay talagang naglalagay kay Arculus na maging isang pinuno sa espasyo. Sa tuwing may magsasabi, ah, napakahirap ng self custody o cold storage at inilagay mo si Arculus sa kanilang mga kamay, mayroon kang isang convert.
Sa aming Technology, ang ibig naming sabihin ay "mag-tap" sa Web3 upang gawing simple at secure ang mga pagbabayad. Narito ang aming Technology upang protektahan ang mga digital na asset at pagkakakilanlan ng mga tao.