Con l’aumento delle minacce informatiche, le nostre pratiche di sicurezza devono evolversi. Allora perché T abbiamo adottato soluzioni più sicure? Il dottor Adam Lowe afferma: "La migliore sicurezza è ONE utilizzata dalle persone", il che implica che l'usabilità è la chiave.
Il team CoinDesk ha parlato con il Dr. Lowe per svelare questa idea.
Lowe è Chief Product & Innovation Officer presso CompoSecure e ha costruito la sua carriera all'avanguardia nell'innovazione. È autore di numerosi capitoli di libri tecnici ed è elencato come inventore in oltre 500 brevetti e brevetti in attesa di registrazione, tra cui Arculus, una piattaforma di sicurezza digitale di nuova generazione che offre alle persone la possibilità di proteggere le proprie risorse e identità digitali.
L'esperienza di Lowe in materia di sicurezza va oltre CompoSecure e Arculus. In precedenza ha ricoperto un ruolo di ricerca e sviluppo presso un'organizzazione no-profit a supporto della difesa e dell'intelligence statunitense. Le esperienze di Lowe gli forniscono una profonda conoscenza della sicurezza web2 e web3 per gli utenti, dai privati agli enti governativi.
In questa conversazione esploreremo lo stato attuale e futuro della sicurezza informatica e perché Lowe crede in un futuro senza password.
Penso che il tuo background fornisca molto contesto su come sei finito a lavorare presso CompoSecure e a sviluppare Arculus, ma qualcosa su cui mi piacerebbe approfondire è il modo in cui queste esperienze ti hanno portato nel web3.
Certo, quindi, è stato un lungo viaggio, iniziato da quando ero alla scuola di specializzazione, intorno al 2011. Bitcoin rimbombava nel mondo accademico. All'epoca T ero un grande acquirente Bitcoin , sicuramente vorrei esserlo, ma è lì che ne ho avuto il primo assaggio.
Poi sono passato alla difesa, dove ho sviluppato un interesse per la crittografia che proteggeva le persone, i combattenti e l'intera comunità dell'intelligence. L'ho fatto per un paio d'anni e poi sono passato ai pagamenti.
Lavoro con CompoSecure, la nostra società madre, da circa 10 anni sviluppando la Tecnologie premium per carte di pagamento in metallo. Man mano che le Cripto maturavano, ho iniziato davvero a vederle come il futuro dei pagamenti e dell’identità digitale e come i due si fondono insieme nel web3.
Dal punto di vista dei pagamenti globali, ho visto dove si è formato questo nesso e ci ha posizionato bene creando Arculus. Arculus è il lato delle risorse digitali e dell'identità digitale della nostra attività, in cui prendiamo la Tecnologie premium delle carte di pagamento in metallo e aggiungiamo una curva ellittica per consentirle di fare molte cose. Possono effettuare pagamenti. Possono autenticare i consumatori. Ed è anche un firmatario hardware completo per tutte le blockchain moderne rilevanti.
La visione è questa: le persone hanno bisogno di gestire la propria identità digitale e noi vogliamo dare loro la sicurezza in tasca per farlo.
Tutti vorremmo aver acquistato Bitcoin nel 2011, ma il tuo viaggio nel mondo Cripto è sicuramente unico e ti ha dato informazioni sulla sicurezza personale, aziendale e governativa.
Sembra che le aziende stiano perdendo i dati dei clienti con la stessa facilità con cui i clienti dimenticano le password. Perché sta succedendo?
Sì, quindi ne parlo continuamente e ONE tipo di titolo ironico che ho avuto di recente era che le password sono superate. Perché lo sono davvero.
Quello che mi piace dire è, ed è vero, che ti fidi della chiave della porta d'ingresso della tua casa o del tuo appartamento. Dovresti fidarti di una chiave digitale per la tua vita digitale. Non una password.
Il problema fondamentale con la maggior parte di questi sistemi, indipendentemente dalla loro portata, è che sono basati sulla conoscenza. Una password non è altro che un Secret condiviso e, per chiunque abbia frequentato la scuola media, i segreti condivisi T durano molto a lungo. Quindi è intrinsecamente un difetto di progettazione.
E come hai detto, le persone spesso lo dimenticano e devono essere ripristinate. Qualcosa come la metà di tutte le attività dei call center sono legate alle password. Per le aziende, questo può diventare molto costoso.
Ok, quindi le password sono obsolete, ma cos'altro c'è?
Invece delle password, che sono basate sulla conoscenza, i sistemi moderni si stanno muovendo verso soluzioni basate su chiavi.
Potresti aver già visto Facebook, Coinbase e altri utilizzare già le chiavi digitali per gestire la tua vita digitale. È lo stesso modo in cui firmi una transazione Ethereum con una chiave digitale, ma invece stai firmando digitalmente una sfida che dimostra che sei tu.
È un enorme passo avanti in termini di sicurezza.
Incrementalmente migliore delle password è qualcosa come Google Authenticator, ma non è un'esperienza utente eccezionale. Devi uscire, andare a prendere sei cifre, rientrare, correre contro il tempo e sperare di farlo bene. Non è semplicemente eccezionale.
Questo approccio zero trust e basato su chiavi di cui stiamo parlando è obbligatorio per tutto il Dipartimento della Difesa quest'anno e lo sarà per più agenzie governative col passare del tempo.
CISA lo ha definito il gold standard e dovresti optare per l'oro. Pensiamo davvero che sia l'approccio migliore e persone come Apple, Google e altri sono d'accordo con noi, motivo per cui ogni telefono Android e iPhone lo supporta.
Quindi quello che abbiamo fatto con la passkey e per lavorare all'interno del sistema di passkey Fido WebAuth, è stato inserirli su bellissime carte metalliche esterne che le aziende possono fornire ai propri clienti, nel loro marchio.
Per le cose a rischio medio-basso, c'è un'app sul tuo telefono: guarderai il tuo telefono per sbloccare il tuo sito Web o la tua app preferita.
Per cose a rischio medio-alto, usi la tua carta, una chiave esterna, rendendola ancora più sicura. Tocchi la chiave (pass) (carta) sul tuo telefono, firma una sfida e sei dentro.
Prima hai detto che "la migliore sicurezza è ONE che le persone usano" e questo mi ha ricordato come i miei genitori si attengono a ciò che sanno.
Qual è il tuo punto di vista sull'adozione della tua tecnologia? È la sicurezza che i miei genitori userebbero?
Noi di Arculus abbiamo letteralmente qualcosa chiamato "Adams Mom's Test", che richiede che mia madre possa farlo senza alcun coaching. E se T, e ha bisogno di coaching, allora non è abbastanza semplice.
I tre pilastri di Arculus sono sicuri, semplici e protetti, e la semplicità è sicuramente molto importante.
Una transazione media che tua madre eseguirà richiede solo l'utilizzo dei dati biometrici sul suo dispositivo. Si limitava a guardare il telefono o a usare l'impronta digitale e non avrebbe mai dovuto ricordare la password. Penso che sia un grande vantaggio di questa Tecnologie.
ONE dei motivi per cui riteniamo che le smart card siano un ottimo veicolo a questo scopo è che tutti le hanno. Le smart card a livello globale sono da 20 a 25 volte più diffuse degli iPhone. Tutti pensano che tutti abbiano un iPhone. Bene, ci sono 20 volte più smartcard che iPhone.
Tornando alle Cripto, sento regolarmente di persone che conservano il loro intero portafoglio nello stesso portafoglio a cui si collegano a tutto.
Considerando l'idea che la migliore sicurezza è ONE che le persone effettivamente utilizzano, come vedi questa adozione si svolgerà nel web3 e come migliorerà la protezione per gli utenti che interagiscono con le dApp?
Penso che presto vedrai un cambiamento rispetto HOT wallet. La sfida con i vecchi e precedenti metodi di conservazione a freddo, le glorificate chiavette USB, è che erano semplicemente troppo complicati da usare: non facili da usare, comportano caricamenti e download costanti e non molto praticabili.
Con Arculus, lo abbiamo reso più semplice da usare rispetto a molti HOT wallet.
Ottieni quella facilità d'uso con la massima sicurezza su una piattaforma multifunzionale. Come ho detto prima, possiamo effettuare il pagamento sulla carta, possiamo renderlo l'autenticatore FIDO di cui abbiamo parlato che ti accede alle piattaforme web2.
Tutta la tua vita digitale può essere racchiusa in una carta che porti regolarmente con te ed è facile da usare quanto il tuo HOT preferito, ma le chiavi sono nella tua tasca. Non c'è modo di hackerarlo perché l'unico posto in cui esistono le tue chiavi private è su quella carta.
Inoltre, è 3FA, ma 3FA facile:
- Qualcosa che hai: quella carta specifica, che è sincronizzata con il tuo telefono,
- Qualcosa che sei: i dati biometrici sul tuo dispositivo, e
- Qualcosa che conosci: la tua spilla.
Hai quella profondità di difesa indipendente che mantiene la tua Cripto al sicuro e può funzionare pienamente all'interno dell'ambiente Web3. Puoi usare WalletConnect per il tuo DEX preferito, fare qualunque scambio tu voglia fare e andare avanti e indietro.
Quali minacce informatiche emergenti prevedete nei prossimi anni e in che modo Arculus le affronta?
Certo, quindi tutti citano l'intelligenza artificiale. Penso che sia una cosa ragionevole a cui prestare attenzione poiché abbassa il livello degli attacchi informatici.
Con l'intelligenza artificiale, puoi essere meno capace di prima di lanciare un attacco informatico ragionevole perché l'intelligenza artificiale ti aiuterà a programmare e ti aiuterà a eseguirlo a una soglia di conoscenza inferiore. Quindi vedremo una scala e un volume maggiori di attacchi da questo.
Dobbiamo avere i nostri sistemi pronti per essere in grado di difenderci da questo volume di attacchi. Ci stiamo proteggendo da attacchi futuri rimuovendo il tipo di problema di credenziali pescabili di scambio SIM di cui abbiamo parlato, perché o hai la chiave o non ce l' T.
Un aggressore può sbattere contro quel muro quanto vuole. Se T hanno la chiave crittografica per sbloccare l'account o sbloccare quei privilegi, non entreranno. Ecco perché è così fondamentale allontanarci da questo sistema basato sulla conoscenza che consente agli aggressori di entrare.
Che dire del mondo del web3 e Cripto?
Penso che ONE delle minacce, soprattutto nel web3, provenga da questo grande movimento che cerca di coinvolgere le persone. Dobbiamo portare più persone nello spazio e dobbiamo coinvolgerle. Anche se questo è vero, vedi molte piattaforme passare all'accesso social per cercare di rendere più semplice l'onboarding.
Se questi account T sono sicuri, tutto ciò che hai fatto è prendere i problemi web2 e portarli nel mondo web3 perché torni alle password, alla posta elettronica e agli stessi vecchi problemi.
Cosa succede quando l'hacker dice "Ho dimenticato il mio 2FA?" e la soluzione è ricevere un LINK e-mail? Tutto ciò che l'hacker dovrebbe fare è scambiarti la SIM e torniamo al punto di partenza.
T possiamo spingere l'insicurezza del web2 nel web3.
Questa discussione ha fatto eco al sentimento “non le tue chiavi, non la tua Cripto”. Ma che dire dei custodi e dei DAO? Arculus può supportare sistemi multi-party come multi-sig?
Collaboriamo con numerose persone e lavoriamo con più sistemi. Riteniamo di essere il motore di crittografia più sicuro e più facile da usare, quindi perché dovremmo essere prescrittivi su come le persone dovrebbero usarlo?
Potremmo lavorare, ad esempio, su qualcosa come Gnosis Multi-Sig, dove possiamo firmare ONE di quei contratti ed essere un firmatario, M of M signer, in quell'ecosistema multi-sig in cui potresti usare il login Fido WebAuth per accedere in una piattaforma.
Pensiamo davvero di essere un sistema di crittografia flessibile e facile da usare che può funzionare in un ambiente aziendale o centralizzato altrettanto facilmente per un consumatore. Penso che le risposte a questi diversi problemi siano diverse. Siamo un coltellino svizzero in cui possiamo tirare fuori lo strumento appropriato e aiutare a risolvere il problema.
Ho notato che Arculus collabora sia con soluzioni di pagamento tradizionali che con società web3. Puoi approfondire questo?
Sicuro. Quindi facciamo molto con aziende del calibro di Solana, Aptos e SUI e altri, davvero concentrati sull'unione di Web3 e pagamenti. Come accennato in precedenza, possiamo gestire l'identità utilizzando lo standard di autenticazione web Fido, che queste catene stanno adottando per una sorta di facile accesso ZK. Ma siamo anche in grado di supportare i pagamenti utilizzando queste reti.
Siamo ONE delle poche persone al mondo ad avere il privilegio di emettere carte Visa, MasterCard e American Express. Durante l'ultima Solana Hacker House, abbiamo tenuto un discorso e mostrato come è possibile toccare le nostre carte e farle funzionare sui binari Visa o toccare per inviare Solana Pay attraverso i binari Solana .
Penso che sia semplicemente fantastico unificare questi sistemi di pagamento e utilizzare le stablecoin come strumenti di pagamento e regolamento e portare quel web3 in casi di utilizzo quotidiano reali.
Qualcos'altro prima di concludere?
Voglio ribadire che la facilità d'uso combinata con la sicurezza e la semplicità posiziona davvero Arculus come leader nel settore. Ogni volta che qualcuno dice, ah, l'autocustodia o la cella frigorifera sono troppo difficili e metti Arculus nelle loro mani, hai un convertito.
Con la nostra Tecnologie intendiamo davvero "entrare" in Web3 per rendere i pagamenti semplici e sicuri. La nostra Tecnologie è qui per proteggere le risorse e le identità digitali delle persone.