Com o aumento das ameaças cibernéticas, as nossas práticas de segurança devem evoluir. Então, por que T adotamos soluções mais seguras? Dr. Adam Lowe diz: “A melhor segurança é ONE que as pessoas usam”, o que implica que a usabilidade é fundamental.
A equipe CoinDesk conversou com o Dr. Lowe para desvendar essa ideia.
Lowe é o Diretor de Produto e Inovação da CompoSecure e fez sua carreira na vanguarda da inovação. Ele é autor de vários capítulos de livros técnicos e está listado como inventor em mais de 500 patentes e patentes pendentes, incluindo Arculus, uma plataforma de segurança digital de última geração que oferece às pessoas a capacidade de proteger seus ativos e identidades digitais.
A experiência em segurança da Lowe vai além do CompoSecure e do Arculus. Anteriormente, ele ocupou um cargo de P&D em uma organização sem fins lucrativos que apoiava a defesa e a inteligência dos EUA. As experiências de Lowe proporcionam a ele um conhecimento profundo da segurança web2 e web3 para usuários, desde indivíduos até entidades governamentais.
Nesta conversa, exploraremos o estado atual e futuro da segurança cibernética e por que Lowe acredita em um futuro sem senhas.
Acho que sua experiência fornece muito contexto sobre como você acabou trabalhando na CompoSecure e desenvolvendo o Arculus, mas algo que adoraria me aprofundar é como essas experiências trouxeram você para a web3.
Claro, tem sido uma longa jornada, desde quando eu estava na pós-graduação, por volta de 2011. O Bitcoin estava circulando pela Academia. Eu T era um grande comprador de Bitcoin na época, certamente gostaria de ser, mas foi aí que experimentei pela primeira vez.
Depois fui para a defesa, onde me interessei pela criptografia que mantinha as pessoas, os combatentes e toda a comunidade de inteligência seguras. Fiz isso por alguns anos e depois mudei para pagamentos.
Estou na CompoSecure, nossa empresa-mãe, há cerca de 10 anos desenvolvendo Tecnologia de cartão de pagamento de metal premium. À medida que a Cripto amadureceu, comecei realmente a ver isso como o futuro dos pagamentos e da identidade digital, e como os dois se fundem na web3.
Do ponto de vista dos pagamentos globais, eu meio que vi onde esse nexo se formou e nos posicionei bem criando o Arculus. Arculus é o lado do ativo digital e da identidade digital do nosso negócio, onde pegamos a Tecnologia de cartão de pagamento de metal premium e adicionamos uma curva elíptica para permitir que ela faça muitas coisas. Eles podem fazer pagamentos. Eles podem autenticar consumidores. E também é um assinante completo de hardware para todos os blockchains modernos relevantes.
Então essa é a visão: as pessoas precisam gerenciar suas identidades digitais, e queremos dar-lhes segurança no bolso para fazer isso.
Todos nós gostaríamos de ter comprado Bitcoin em 2011, mas sua jornada Cripto é definitivamente única e lhe deu insights sobre segurança pessoal, corporativa e governamental.
Parece que as empresas estão perdendo dados de clientes com a mesma facilidade com que os clientes esquecem as senhas. Por que isso está acontecendo?
Sim, então eu dou palestras sobre isso o tempo todo e um tipo de título irônico que tive recentemente foi que as senhas estão fora de moda. Porque eles realmente são.
O que gosto de dizer é, e é verdade, que você confia na chave da porta da sua casa ou apartamento. Você deve confiar em uma chave digital para sua vida digital. Não é uma senha.
O problema fundamental da maioria destes sistemas, independentemente da escala, é que são baseados no conhecimento. Uma senha nada mais é do que um Secret compartilhado e, para qualquer pessoa que já tenha cursado o ensino médio, os segredos compartilhados T duram muito. Portanto, é inerentemente uma falha de design.
E como você mencionou, muitas vezes as pessoas esquecem e precisam ser redefinidas. Cerca de metade de todas as atividades do call center estão relacionadas a senhas. Para as empresas, isso pode ficar muito caro.
Ok, então as senhas estão fora de uso, mas o que mais existe?
Em vez de senhas, que são baseadas em conhecimento, os sistemas modernos estão migrando para soluções baseadas em chaves.
Você já deve ter visto Facebook, Coinbase e outros que já usam chaves digitais para gerenciar sua vida digital. É da mesma forma que você assina uma transação Ethereum com uma chave digital, mas em vez disso, você assina digitalmente um desafio que prova que você é você.
É um enorme avanço em segurança.
Incrementalmente melhor do que senhas é algo como o Google Authenticator, mas não é uma ótima experiência para o usuário. Você tem que tabular, obter seis dígitos, tabular novamente, correr contra o relógio e esperar que acerte. Simplesmente não é ótimo.
Esta abordagem de confiança zero e baseada em chaves de que estamos falando é obrigatória para todo o DoD este ano e será obrigatória para mais agências governamentais com o passar do tempo.
A CISA chamou isso de padrão ouro e você deveria optar pelo ouro. Nós realmente achamos que é a melhor abordagem, e pessoas como Apple, Google e outros concordam conosco, e é por isso que todos os telefones Android e iPhone suportam isso.
Então, o que fizemos com a chave de acesso, e para funcionar dentro do sistema de senha Fido WebAuth, foi colocá-la em lindos cartões de metal externos que as empresas podem fornecer aos seus clientes, em sua marca.
Para coisas de baixo a médio risco, existe um aplicativo no seu telefone: você vai olhar para o seu telefone para desbloquear seu site ou aplicativo favorito.
Para coisas de médio a alto risco, você utiliza seu cartão, uma chave externa, tornando-o ainda mais seguro. Você toca na chave (senha) (cartão) do seu telefone, ele assina um desafio e você entra.
Você disse anteriormente que “a melhor segurança é ONE que as pessoas usam” e isso me lembrou de como meus pais se limitam ao que sabem.
Qual é a sua perspectiva sobre a adoção da sua tecnologia? É segurança que meus pais usariam?
Nós da Arculus temos literalmente algo chamado “Teste da Mãe de Adams”, que exige que minha mãe consiga fazer isso sem qualquer treinamento. E se ela T e precisa de treinamento, então não é simples o suficiente.
Os três pilares do Arculus são seguros, simples e protegidos, e simples é definitivamente muito importante.
Uma transação média que sua mãe fará só precisa usar a biometria em seu dispositivo. Ela apenas olhava para o telefone ou usava a impressão digital e nunca precisava se lembrar de uma senha. Acho que é uma grande vantagem desta Tecnologia.
Uma razão pela qual pensamos que os cartões inteligentes são um excelente veículo para isso é que todos os possuem. Os cartões inteligentes em todo o mundo são 20 a 25 vezes mais onipresentes que os iPhones. Todo mundo pensa que todo mundo tem um iPhone. Bem, existem 20 vezes mais cartões inteligentes do que iPhones.
Voltando à Cripto, ouço regularmente falar de pessoas que armazenam todo o seu portfólio na mesma carteira com a qual se conectam a tudo.
Dada a ideia de que a melhor segurança é ONE que as pessoas realmente usam, como você vê essa adoção se desdobrando na web3 e como ela aumentará a proteção dos usuários que interagem com dApps?
Acho que você verá uma mudança nas carteiras HOT em breve. O desafio dos métodos antigos e anteriores de armazenamento a frio, os glorificados pendrives USB, é que eles eram muito complicados de usar – não eram fáceis de usar, envolviam uploads e downloads constantes e não eram muito viáveis.
Com Arculus, tornamos seu uso mais fácil do que muitas carteiras HOT .
Você obtém essa facilidade de uso com segurança máxima em uma plataforma multifuncional. Como mencionei antes, podemos fazer o pagamento no cartão, podemos torná-lo o autenticador FIDO de que falamos que faz o login nas plataformas web2.
Toda a sua vida digital pode estar em um cartão que você carrega regularmente e é tão fácil de usar quanto sua HOT favorita, mas as chaves estão no seu bolso. Não há como hackear porque o único lugar onde suas chaves privadas existem é nesse cartão.
Além disso, é 3FA, mas 3FA fácil:
- Algo que você tem: aquele cartão específico, que está sincronizado com o seu telefone,
- Algo que você é: a biometria do seu dispositivo e
- Algo que você conhece: seu distintivo.
Você tem aquela profundidade de defesa independente que mantém sua Cripto segura e pode funcionar totalmente no ambiente Web3. Você pode usar o WalletConnect para seu DEX favorito, fazer qualquer negociação que quiser e estar arrasando e rolando.
Quais ameaças cibernéticas emergentes você prevê nos próximos anos e como a Arculus as aborda?
Claro, então todo mundo cita a IA. Acho que é algo razoável para se prestar atenção, pois diminui o nível de ataques cibernéticos.
Com a IA, você pode ser menos capaz do que costumava ser para lançar um ataque cibernético razoável, porque a IA o ajudará a codificar e a executá-lo com um limite de conhecimento mais baixo. Portanto, veremos uma escala e um volume maiores de ataques a partir disso.
Temos que ter nossos sistemas prontos para podermos nos defender contra esse volume de ataques. Estamos nos protegendo contra ataques futuros, removendo o tipo de problema de credencial pescável de troca de SIM de que falamos, porque ou você tem a chave ou T.
Um invasor pode bater contra a parede o quanto quiser. Se eles T tiverem a chave criptográfica para desbloquear a conta ou desbloquear esses privilégios, eles não entrarão. É por isso que é tão crítico que nos afastemos desse sistema baseado em conhecimento que permite a entrada de invasores.
E no mundo da web3 e da Cripto?
Acho que uma das ameaças, principalmente na web3, vem desse grande movimento de tentar integrar as pessoas. Precisamos trazer mais pessoas para o espaço e integrá-las. Embora isso seja verdade, você vê muitas plataformas migrando para o login social para tentar facilitar a integração.
Se essas contas T forem seguras, tudo o que você fez foi pegar os problemas da web2 e trazê-los para o mundo da web3, porque você está de volta às senhas, ao e-mail e aos mesmos velhos problemas.
O que acontece quando o hacker diz 'Esqueci meu 2FA?' e a solução é que você receba um LINK de e-mail? Tudo o que o hacker teria que fazer é trocar o seu SIM e voltaríamos ao ponto de partida.
T podemos empurrar a insegurança da web2 para a web3.
Esta discussão ecoou o sentimento “não são suas chaves, não é sua Cripto”. Mas e quanto aos custodiantes e DAOs? O Arculus pode oferecer suporte a sistemas multipartidários, como multi-sigs?
Fazemos parceria com várias pessoas e trabalhamos com vários sistemas. Sentimos que somos o mecanismo de criptografia mais seguro e fácil de usar, então por que seríamos prescritivos sobre como as pessoas deveriam usá-lo?
Poderíamos trabalhar, por exemplo, em algo como Gnosis Multi-Sig, onde podemos assinar um desses contratos e ser um assinante, assinante M de M, naquele ecossistema multi-sig onde você poderia usar aquele login do Fido WebAuth para registrar você em uma plataforma.
Nós realmente acreditamos que somos um sistema de criptografia flexível e fácil de usar que pode funcionar naquele ambiente corporativo ou centralizado com a mesma facilidade para um consumidor. Acho que as respostas para esses diferentes problemas são diferentes. Somos um canivete suíço onde podemos retirar a ferramenta apropriada e ajudar a resolver o problema.
Percebi que a Arculus tem parceria com soluções de pagamento tradicionais e empresas web3. Você pode elaborar sobre isso?
Claro. Então fazemos muito com Solana, Aptos e SUI e outros, realmente focados em unir Web3 e pagamentos. Como mencionei anteriormente, podemos gerenciar a identidade usando o padrão de autenticação da web Fido, que essas cadeias estão adotando para uma espécie de login ZK fácil. Mas também podemos ajudar a apoiar pagamentos através destas redes.
Somos uma das poucas pessoas no mundo com o privilégio de fabricar cartões Visa, MasterCard, American Express. Durante a última Solana Hacker House, fizemos uma palestra e mostramos como você pode grampear nossos cartões e eles podem passar pelos trilhos Visa ou tocar para enviar Solana Pay pelos trilhos Solana .
É realmente unificar esses sistemas de pagamento e usar stablecoins como instrumentos de pagamento e liquidação e trazer esse web3 para casos reais de uso diário que eu acho simplesmente fantástico.
Mais alguma coisa antes de encerrarmos?
Quero reiterar que a facilidade de uso combinada com segurança e simplicidade realmente posiciona bem a Arculus para ser líder no setor. Cada vez que alguém diz, ah, autocustódia ou armazenamento refrigerado é muito difícil e você coloca o Arculus nas mãos deles, você se converte.
Com nossa Tecnologia, realmente queremos dizer “acessar” o Web3 para tornar os pagamentos simples e seguros. Nossa Tecnologia existe para proteger os ativos e identidades digitais das pessoas.