Із зростанням кіберзагроз наші методи безпеки повинні розвиватися. Отже, чому ми T прийняли більш безпечні рішення? Доктор Адам Лоу каже: «Найкраща безпека – це та, ONE користуються люди», маючи на увазі, що зручність використання є ключовою.
Команда CoinDesk поговорила з доктором Лоу, щоб розкрити цю ідею.
Лоу є директором із продуктів та інновацій CompoSecure, який зробив свою кар’єру на передових інноваціях. Він є автором кількох розділів технічної книги та є винахідником у понад 500 патентах і патентах, які очікують на розгляд, у тому числі Arculus, платформі цифрової безпеки наступного покоління, яка дає людям можливість захистити свої цифрові активи та ідентифікацію.
Досвід Lowe у галузі безпеки виходить за межі CompoSecure та Arculus. Раніше він працював у некомерційній організації, яка займалася розвідкою та обороною США. Досвід Лоу дає йому глибоке розуміння безпеки web2 і web3 для користувачів від фізичних осіб до державних установ.
У цій розмові ми дослідимо поточний і майбутній стан кібербезпеки та чому Лоу вірить у майбутнє без пароля.
Я думаю, що ваше минуле дає багато контексту щодо того, як ви закінчили працювати в CompoSecure і розробляти Arculus, але я хотів би детальніше зануритися в те, як цей досвід привів вас у web3.
Звичайно, тож це була довга подорож, починаючи з того часу, коли я навчався в аспірантурі, десь у 2011 році. Bitcoin гуркотіли в Академії. У той час я T був великим покупцем Bitcoin , я, звичайно, хотів би бути, але саме там я вперше відчув цей смак.
Потім я пішов на захист, де зацікавився криптографією, яка захищала людей, бійців і всю розвідувальну спільноту. Я робив це протягом кількох років, а потім перейшов на виплати.
Я працюю в CompoSecure, нашій материнській компанії, близько 10 років над Технології металевих платіжних карток преміум-класу. Коли Крипто розвивалася, я справді почав бачити в цьому майбутнє платежів і цифрової ідентичності, а також те, як вони поєднуються в web3.
З огляду на глобальні платежі, я ніби побачив, де сформувався цей зв’язок, і пішов, щоб позиціонувати нас добре, створивши Arculus. Arculus — це частина нашого бізнесу, пов’язана з цифровими активами та цифровою ідентифікацією, де ми використовуємо Технології металевих платіжних карт преміум-класу, додаємо еліптичну криву, щоб вона могла виконувати багато речей. Вони можуть здійснювати платежі. Вони можуть автентифікувати споживачів. Крім того, це повний підпис апаратного забезпечення для всіх відповідних сучасних блокчейнів.
Таке бачення: людям потрібно керувати своїми цифровими ідентифікаторами, і ми хочемо забезпечити їм безпеку для цього в їхній кишені.
Ми всі хотіли б придбати Bitcoin у 2011 році, але ваша Крипто мандрівка безперечно унікальна і дала вам зрозуміти особисту, корпоративну та державну безпеку.
Здається, компанії втрачають дані клієнтів так само легко, як клієнти забувають паролі. Чому це відбувається?
Так, я весь час виступаю на цю тему, і ONE я промовив так, що паролі перестали. Бо вони справді є.
Я хочу сказати, і це правда, що ви довіряєте ключ від вхідних дверей свого будинку чи квартири. Ви повинні довіряти цифровому ключу свого цифрового життя. Не пароль.
Фундаментальна проблема більшості цих систем, незалежно від масштабу, полягає в тому, що вони базуються на знаннях. Пароль — це не що інше, як спільний Secret, і для будь-кого, хто коли-небудь проходив середню школу, спільні секрети T зберігаються дуже довго. Отже, це за своєю суттю недолік дизайну.
І, як ви згадали, люди часто забувають про це, і його потрібно скинути. Приблизно половина всієї діяльності кол-центру пов’язана з паролями. Для компаній це може коштувати дуже дорого.
Гаразд, паролі заблоковані, але що ще є?
Замість паролів, які базуються на знаннях, сучасні системи рухаються до рішень на основі ключів.
Можливо, ви вже бачили, як Facebook, Coinbase та інші вже використовують цифрові ключі для керування вашим цифровим життям. Це так само, як ви підписуєте транзакцію Ethereum за допомогою цифрового ключа, але натомість ви цифрово підписуєте завдання, яке підтверджує, що ви це ви.
Це величезний крок вперед у безпеці.
Потроху краще, ніж паролі, щось на зразок Google Authenticator, але це не дуже зручно для користувачів. Вам потрібно зробити табуляцію, отримати шість цифр, знову ввести табуляцію, змагатися з часом і сподіватися, що ви все зробите правильно. Це просто не чудово.
Цей підхід на основі нульової довіри, заснований на ключі, про який ми говоримо, є обов’язковим для всього Міністерства оборони цього року, а з часом буде обов’язковим для більшої кількості державних установ.
CISA назвав це золотим стандартом, і ви повинні вибрати золото. Ми справді вважаємо, що це найкращий підхід, і такі люди, як Apple, Google та інші, погоджуються з нами, тому кожен телефон Android і iPhone підтримує це.
Тож що ми зробили з ключем доступу та для роботи в системі доступу Fido WebAuth, ми розмістили їх на красивих зовнішніх металевих картках, які компанії можуть надати своїм клієнтам у своєму бренді.
Для речей із низьким і середнім ризиком у вашому телефоні є програма: ви збираєтеся подивитися на свій телефон, щоб розблокувати свій улюблений веб-сайт або програму.
Для речей середнього та високого ризику ви використовуєте свою картку, зовнішній ключ, що робить його ще більш безпечним. Ви торкаєтеся (паролем) ключа (картки) до свого телефону, він підписує завдання, і ви в ньому.
Раніше ви сказали, що «найкраща безпека — це та , якою користуються люди», і це нагадало мені про те, як мої батьки просто дотримувались того, що вони знають.
Який ваш погляд на впровадження вашої технології? Це захист, яким би користувалися мої батьки?
Ми в Arculus буквально маємо те, що називається «Тест мами Адамса», яке вимагає, щоб моя мама могла виконати його без будь-яких інструкцій. А якщо вона T може, і їй потрібен тренінг, то це не досить просто.
Три стовпи Arculus безпечні, прості та безпечні, і простота, безумовно, дуже важлива.
Звичайна транзакція, яку зробить ваша мама, потребує використання біометрії на своєму пристрої. Вона просто дивилася на свій телефон або користувалася відбитком великого пальця, і ніколи не згадувала пароль. Я вважаю, що це велика перевага цієї Технології.
ONE з причин, чому ми вважаємо, що смарт-карти є таким чудовим засобом для цього, є те, що вони є у всіх. У всьому світі смарт-карти в 20-25 разів більш поширені, ніж iPhone. Усі думають, що у всіх є iPhone. Ну, смарт-карт у 20 разів більше, ніж iPhone.
Повертаючись до Крипто, я регулярно чую про людей, які зберігають весь свій портфель в одному гаманці, який підключають до всього.
Враховуючи ідею, що найкраща безпека – це та , якою люди насправді користуються, як ви бачите це впровадження в web3 і як воно покращить захист користувачів, які взаємодіють із dApps?
Я думаю, ви скоро побачите зміни в порівнянні з HOT гаманцями. Проблема зі старими та попередніми методами холодного зберігання, прославленими USB-накопичувачами, полягає в тому, що вони були надто складними у використанні — незручними для користувачів, передбачають постійне завантаження та завантаження та не дуже життєздатні.
З Arculus ми зробили його зручнішим у використанні, ніж багато HOT гаманців.
Ви отримуєте простоту використання з максимальною безпекою на багатофункціональній платформі. Як я вже згадував раніше, ми можемо розмістити платіж на картці, ми можемо зробити її автентифікатором FIDO, про який ми говорили, який вводить вас на платформи web2.
Все ваше цифрове життя може бути на картці, яку ви регулярно носите з собою, і нею так само легко користуватися, як і вашим улюбленим HOT гаманцем, але ключі у вас у кишені. Його неможливо зламати, тому що ваші приватні ключі знаходяться лише на цій картці.
Крім того, це 3FA, але легкий 3FA:
- Щось у вас є: конкретна картка, яка синхронізована з вашим телефоном,
- Щось ви: біометрія на вашому пристрої та
- Те, що ви знаєте: ваша шпилька.
Ви маєте таку незалежну глибину захисту, яка забезпечує безпеку вашої Крипто та може повноцінно функціонувати в середовищі Web3. Ви можете використовувати WalletConnect для свого улюбленого DEX, ви робите будь-яку торгівлю, яку хочете робити, і ви гойдаєтеся.
Які нові кіберзагрози ви прогнозуєте в найближчі роки, і як Arculus вирішує їх?
Звичайно, тому всі посилаються на ШІ. Я вважаю, що на це розумно звернути увагу, оскільки це знижує планку для кібератак.
Завдяки штучному інтелекту ви можете бути менш спроможними, ніж раніше, здійснити обґрунтовану кібератаку, тому що ШІ допоможе вам написати код і допоможе вам виконати його з нижчим порогом знань. Тож від цього ми побачимо більший масштаб і кількість атак.
Ми повинні підготувати наші системи, щоб мати можливість захищатися від такої кількості атак. Ми захищаємось від майбутніх атак, усуваючи ту проблему з обліковими даними, які можна виловити під час заміни SIM-карти, про яку ми говорили, оскільки у вас або є ключ, або його T.
Зловмисник може стукати об цю стіну скільки завгодно. Якщо у них T криптографічного ключа, щоб розблокувати обліковий запис або розблокувати ці привілеї, вони не ввійдуть. Ось чому так важливо, щоб ми пішли від цієї системи, заснованої на знаннях, яка дозволяє зловмисникам.
А як щодо світу web3 і Крипто?
Я думаю, що ONE із загроз, особливо у web3, походить від цього великого руху, спрямованого на те, щоб спробувати залучити людей. Ми повинні залучити більше людей у космос і підключити їх. Хоча це правда, ви бачите, що багато платформ переходять на вхід із соціальних мереж, щоб спробувати полегшити процес адаптації.
Якщо ці облікові записи T захищені, то все, що ви зробили, це взяли проблеми web2 і перенесли їх у світ web3, тому що ви відразу повертаєтесь до паролів, електронної пошти та тих самих старих проблем.
Що відбувається, коли хакер каже: «Я забув свою 2FA?» і рішення полягає в тому, що ви отримуєте LINK електронною поштою? Все, що хакеру потрібно зробити, це поміняти вашу SIM-карту, і ми знову на тому, з чого почали.
Ми T можемо вставити незахищеність web2 у web3.
Ця дискусія повторила настрої «не ваші ключі, не ваша Крипто». Але як щодо зберігачів і DAO? Чи може Arculus підтримувати багатосторонні системи, такі як multi-sigs?
Ми співпрацюємо з кількома людьми та працюємо з кількома системами. Ми вважаємо себе найбезпечнішим і найпростішим у використанні механізмом криптографії, тож навіщо нам наказувати, як люди повинні його використовувати?
Ми могли б попрацювати, наприклад, над чимось на кшталт Gnosis Multi-Sig, де ми можемо підписати ONE із цих контрактів і бути підписувачем, підписантом M або M, у тій екосистемі кількох підписів, де ви можете використовувати цей логін Fido WebAuth для входу ви на платформу.
Ми справді вважаємо, що ми є простою у використанні, гнучкою системою криптографії, яка може так само легко працювати в корпоративному чи централізованому середовищі для споживача. Я думаю, що відповіді на ці різні проблеми різні. Ми швейцарський армійський ніж, де ми можемо витягнути відповідний інструмент і допомогти вирішити проблему.
Я помітив, що Arculus співпрацює як із традиційними платіжними рішеннями, так і з компаніями web3. Чи можете ви пояснити це?
звичайно Тому ми багато працюємо з такими компаніями, як Solana, Aptos і SUI та іншими, справді зосереджені на об’єднанні Web3 і платежів. Як я вже згадував раніше, ми можемо керувати ідентифікацією за допомогою стандарту веб-автентифікації Fido, який ці ланцюжки підбирають для свого роду легкого входу в ZK. Але ми також можемо допомогти підтримувати платежі за допомогою цих мереж.
Ми ONE з небагатьох людей у світі, які мають привілей випускати картки Visa, MasterCard, American Express. Під час останнього хакерського дому Solana ми провели розмову та показали, як ви можете натискати наші картки, і вони можуть проходити через рейки Visa, або натискати, щоб надсилати через Solana Pay через рейки Solana .
Це справді уніфікація цих платіжних систем і використання стейблкоїнів як платіжних і розрахункових інструментів, а також впровадження Web3 у реальні випадки щоденного використання, що, на мою думку, є просто фантастичним.
Щось ще до завершення?
Я хочу ще раз підкреслити, що легкість використання в поєднанні з безпекою та простотою дійсно позиціонує Arculus як лідера в світі. Кожного разу, коли хтось каже: ага, самоохорона чи холодне зберігання — це надто складно, і ви віддаєте Аркулус у їхні руки, у вас є навернений.
З нашою Технології ми дійсно маємо на увазі «використання» Web3, щоб зробити платежі простими та безпечними. Наша Технології тут, щоб захистити цифрові активи та особисті дані людей.