С ростом киберугроз наши методы обеспечения безопасности должны развиваться. Так почему же мы T использовали более безопасные решения? Доктор Адам Лоу говорит: «Лучшая безопасность — это та , которую используют люди», подразумевая, что удобство использования является ключевым моментом.
Команда CoinDesk поговорила с доктором Лоу, чтобы раскрыть эту идею.
Лоу — директор по продуктам и инновациям в CompoSecure, сделавший свою карьеру на переднем крае инноваций. Он является автором нескольких глав технических книг и числится изобретателем более чем 500 патентов и ожидающих рассмотрения патентов, включая Arculus, платформу цифровой безопасности нового поколения, дающую людям возможность защитить свои цифровые активы и личные данные.
Опыт компании Lowe в области безопасности выходит за рамки CompoSecure и Arculus. Ранее он занимал должность научно-исследовательского отдела в некоммерческой организации, поддерживающей оборону и разведку США. Опыт Лоу дает ему глубокое понимание безопасности Web2 и Web3 для пользователей, от частных лиц до государственных организаций.
В этом разговоре мы рассмотрим текущее и будущее состояние кибербезопасности и почему Лоу верит в будущее без паролей.
Я думаю, что ваш опыт дает много информации о том, как вы оказались в CompoSecure и разработали Arculus, но я хотел бы углубиться в то, как этот опыт привел вас в web3.
Конечно, это был долгий путь, начиная с того времени, когда я учился в аспирантуре, примерно в 2011 году. Bitcoin грохотал в академических кругах. В то время я T был крупным покупателем Bitcoin , мне, конечно, хотелось бы им быть, но именно здесь я впервые почувствовал его вкус.
Затем я занялся обороной, где у меня появился интерес к криптографии, которая обеспечивает безопасность людей, военных и всего разведывательного сообщества. Я занимался этим пару лет, а затем перешел на платежи.
Я работаю в CompoSecure, нашей материнской компании, около 10 лет и занимаюсь Технологии металлических платежных карт премиум-класса. По мере развития Криптo я действительно начал видеть в ней будущее платежей и цифровой идентификации, а также то, как они сливаются воедино в web3.
С точки зрения глобальных платежей я как бы увидел, где сформировалась эта связь, и помог нам занять хорошую позицию, создав Arculus. Arculus — это часть нашего бизнеса, связанная с цифровыми активами и цифровой идентификацией, где мы берем Технологии металлических платежных карт премиум-класса и добавляем эллиптическую кривую, чтобы она могла выполнять множество задач. Они могут осуществлять платежи. Они могут аутентифицировать потребителей. Кроме того, он является полноценным подписантом оборудования для всех соответствующих современных блокчейнов.
Это своего рода видение: людям необходимо управлять своей цифровой идентификацией, и мы хотим предоставить им для этого безопасность в кармане.
Нам всем хотелось бы купить Bitcoin в 2011 году, но ваше путешествие в Криптo определенно уникально и дало вам представление о личной, корпоративной и государственной безопасности.
Кажется, компании теряют данные клиентов так же легко, как клиенты забывают пароли. Почему это происходит?
Да, я постоянно выступаю на эту тему, и недавно у меня было ONE из насмешливых названий: «Пароли устарели». Потому что они действительно есть.
Я люблю говорить, и это правда, что вы доверяете ключ от входной двери вашего дома или квартиры. Вы должны доверять цифровому ключу к своей цифровой жизни. Не пароль.
Фундаментальная проблема большинства этих систем, независимо от их масштаба, заключается в том, что они основаны на знаниях. Пароль — это не что иное, как общий Secret, и для любого, кто когда-либо учился в средней школе, общие секреты T живут очень долго. Так что это по сути конструктивный недостаток.
И, как вы упомянули, люди часто забывают его, и его приходится сбрасывать. Примерно половина всей деятельности колл-центров связана с паролями. Для компаний это может оказаться очень дорого.
Ладно, пароли устарели, но что еще?
Вместо паролей, которые основаны на знаниях, современные системы переходят к решениям на основе ключей.
Возможно, вы уже видели, что Facebook, Coinbase и другие уже используют цифровые ключи для управления вашей цифровой жизнью. Это похоже на то, как вы подписываете транзакцию Ethereum с помощью цифрового ключа, но вместо этого вы подписываете цифровой подписью вызов, который доказывает, что вы — это вы.
Это огромный шаг вперед в области безопасности.
Что-то вроде Google Authenticator немного лучше паролей, но это не очень удобно для пользователя. Вам нужно выйти из игры, набрать шесть цифр, снова войти в нее, мчаться на время и надеяться, что вы все сделаете правильно. Это просто не здорово.
Этот подход с нулевым доверием и использованием ключей, о котором мы говорим, обязателен для всего Министерства обороны в этом году и со временем будет обязательным для большего числа правительственных учреждений.
CISA назвало это золотым стандартом, и вам следует стремиться к золоту. Мы действительно считаем, что это лучший подход, и такие люди, как Apple, Google и другие, с нами согласны, поэтому каждый телефон Android и iPhone поддерживает его.
Итак, что мы сделали с ключами доступа и для работы в системе ключей доступа Fido WebAuth, мы поместили их на красивые внешние металлические карты, которые предприятия могут предоставлять своим клиентам под своим брендом.
Для вещей с низким и средним риском на вашем телефоне есть приложение: вы посмотрите на свой телефон, чтобы разблокировать свой любимый веб-сайт или приложение.
Для операций со средним и высоким риском вы используете свою карту — внешний ключ, что делает ее еще более безопасной. Вы прижимаете (пароль)ключ (карту) к своему телефону, он подписывает вызов, и вы в игре.
Ранее вы сказали, что «лучшая защита — это та , которую используют люди», и это напомнило мне, как мои родители придерживаются того, что знают.
Как вы оцениваете внедрение вашей технологии? Это безопасность, которой воспользуются мои родители?
У нас в Arculus буквально есть нечто под названием «Тест мамы Адамса», который требует, чтобы моя мама могла пройти его без какого-либо обучения. А если она T и ей нужен тренинг, значит, это недостаточно просто.
Три столпа Arculus безопасны, просты и надежны, а простота определенно очень важна.
Средняя транзакция, которую совершит ваша мама, просто требует использования биометрических данных на ее устройстве. Она просто смотрела в свой телефон или использовала отпечаток большого пальца, и ей никогда не приходилось запоминать пароль. Я думаю, что это большое преимущество этой Технологии.
ONE из причин, по которой мы считаем, что смарт-карты являются отличным средством для этого, заключается в том, что они есть у каждого. Смарт-карты во всем мире в 20–25 раз более распространены, чем iPhone. Все думают, что у каждого есть iPhone. Ну, смарт-карт в 20 раз больше, чем айфонов.
Возвращаясь к Криптo, я регулярно слышу о людях, которые хранят весь свой портфель в одном кошельке, к которому они подключаются ко всему.
Учитывая идею о том, что лучшая безопасность — это та , которую люди действительно используют, как вы видите развитие этого внедрения в web3 и как оно улучшит защиту пользователей, использующих децентрализованные приложения?
Я думаю, вы скоро увидите изменения в использовании HOT кошельков. Проблема со старыми и предыдущими методами холодного хранения, прославленными USB-накопителями, заключается в том, что они были слишком сложны в использовании, неудобны для пользователя, требуют постоянной загрузки и скачивания и не очень жизнеспособны.
С помощью Arculus мы сделали его проще в использовании, чем многие HOT кошельки.
Вы получаете простоту использования и максимальную безопасность на многофункциональной платформе. Как я упоминал ранее, мы можем перевести оплату на карту, мы можем сделать ее аутентификатором FIDO, о котором мы говорили, который регистрирует вас на платформах web2.
Вся ваша цифровая жизнь может заключаться в карте, которую вы регулярно носите с собой, и ею так же легко пользоваться, как и вашим любимым HOT кошельком, но ключи у вас в кармане. Взломать его невозможно, потому что ваши личные ключи хранятся только на этой карте.
Кроме того, это 3FA, но простой 3FA:
- Что-то, что у вас есть: конкретная карта, синхронизированная с вашим телефоном,
- Что-то, чем вы являетесь: биометрические данные на вашем устройстве и
- Что-то, что вы знаете: ваш значок.
У вас есть независимая глубина защиты, которая обеспечивает безопасность вашей Криптo и может полностью функционировать в среде Web3. Вы можете использовать WalletConnect для своей любимой DEX, совершать любые сделки, которые захотите, и вы в восторге.
Какие новые киберугрозы вы предвидите в ближайшие годы и как Arculus борется с ними?
Конечно, поэтому все ссылаются на ИИ. Я считаю, что на это стоит обратить внимание, поскольку это снижает планку кибератак.
С ИИ вы можете быть менее способны, чем раньше, начать разумную кибератаку, потому что ИИ поможет вам написать код и выполнить его с более низким порогом знаний. Таким образом, мы увидим больший масштаб и объем атак.
Наши системы должны быть готовы к защите от такого количества атак. Мы защищаемся от будущих атак, устраняя проблему с подменой учетных данных SIM-карты, о которой мы говорили, потому что у вас либо есть ключ, либо T.
Злоумышленник может биться об эту стену сколько угодно. Если у них T криптографического ключа для разблокировки учетной записи или разблокировки этих привилегий, они не смогут войти. Вот почему так важно, чтобы мы ушли от этой основанной на знаниях системы, которая позволяет злоумышленникам войти.
А как насчет мира web3 и Криптo?
Я думаю, что ONE из угроз, особенно в Web3, исходит от этого большого движения, направленного на привлечение людей. Нам нужно привлечь больше людей в космос и привлечь их на борт. Хотя это правда, вы видите, что многие платформы переходят на вход через социальные сети, чтобы упростить регистрацию.
Если эти учетные записи T защищены, то все, что вам нужно сделать, это взять проблемы Web2 и перенести их в мир Web3, потому что вы сразу же вернетесь к паролям, электронной почте и тем же старым проблемам.
Что происходит, когда хакер говорит: «Я забыл свой 2FA?» и решение в том, что вы получите LINK по электронной почте? Все, что хакеру нужно сделать, это поменять вашу SIM-карту, и мы вернемся к тому, с чего начали.
Мы T можем перенести небезопасность Web2 в Web3.
Эта дискуссия повторила мнение «не ваши ключи, не ваша Криптo». А как насчет хранителей и DAO? Может ли Arculus поддерживать многосторонние системы, такие как мультиподписи?
Мы сотрудничаем с множеством людей и работаем с несколькими системами. Мы считаем, что являемся самой безопасной и простой в использовании криптографической системой, так зачем же нам давать указания относительно того, как люди должны ее использовать?
Мы могли бы работать, например, над чем-то вроде Gnosis Multi-Sig, где мы можем подписать ONE из этих контрактов и быть подписывающим лицом, подписывающим лицом M of M, в этой экосистеме с несколькими подписями, где вы можете использовать этот логин Fido WebAuth для входа в систему. вы на платформу.
Мы действительно думаем, что представляем собой простую в использовании и гибкую криптографическую систему, которая может работать в корпоративной или централизованной среде так же легко для потребителя. Я думаю, что ответы на эти разные проблемы разные. Мы — швейцарский армейский нож, способный вытащить подходящий инструмент и помочь решить проблему.
Я заметил, что Arculus сотрудничает как с традиционными платежными решениями, так и с компаниями, работающими в сфере Web3. Вы можете остановиться на этом?
Конечно. Поэтому мы много работаем с такими компаниями, как Solana, Aptos , SUI и другими, действительно сосредоточенными на объединении Web3 и платежей. Как я упоминал ранее, мы можем управлять идентификацией, используя стандарт веб-аутентификации Fido, который эти сети используют для своего рода простого входа в систему ZK. Но мы также можем помочь поддерживать платежи с использованием этих сетей.
Мы ONE из немногих компаний в мире, удостоенных чести выпускать карты Visa, MasterCard, American Express. Во время последнего мероприятия Solana Hacker House мы выступили с докладом и показали, как вы можете использовать наши карты, и они могут проходить через рельсы Visa или использовать для отправки через Solana Pay через рельсы Solana .
Я считаю, что это действительно унификация этих платежных систем и использование стейблкоинов в качестве платежных и расчетных инструментов, а также внедрение Web3 в реальные повседневные случаи использования.
Что-нибудь еще, прежде чем мы закончим?
Я хочу еще раз подчеркнуть, что простота использования в сочетании с безопасностью и простотой действительно позволяет Arculus стать лидером в этой области. Каждый раз, когда кто-то говорит: «Ах, самостоятельная охрана или холодное хранение — это слишком сложно», и вы передаете Arculus в их руки, вы получаете новообращенного.
Говоря о нашей Технологии, мы на самом деле подразумеваем «подключение» к Web3, чтобы сделать платежи простыми и безопасными. Наша Технологии призвана защищать цифровые активы и личные данные людей.