Die Zukunft der Web3-Anmeldungen ist … E-Mail und Passwort?! 

Von Ivan Manchev, Kommunikationsmanager bei Ambire

Eine der Herausforderungen vor einer breiteren Einführung von Krypto und DeFi ist die Schlüsselverwaltung. Überraschenderweise kann das web2-Konzept der E-Mail-Anmeldung dieses Problem lösen – sogar auf nicht verwahrungspflichtige Weise.

Über Saatphrasen

1. Allein 2. Blendung 3. Reinheit 4. Innerlich 5. Lügner 6. Draht. …. ???

Erinnern Sie sich an das erste Mal, als Sie gebeten wurden, eine Startphrase aufzuschreiben? Vielleicht waren Sie verwirrt: 

• Warum dies auf Papier schreiben, anstatt es einfach in Notizen einzufügen?
• Müssen Sie all diese Dinge schreiben, um sich jedes Mal bei Web3-Apps anzumelden?
• Können Sie diese Wörter durch bekanntere ersetzen?
• Ugh, können sie nicht einfach nach einem Passwort oder so etwas fragen?

Seed-Phrasen sind nicht so schlecht, aber sie sehen super seltsam aus, wenn man keine Ahnung hat, wie Kryptographie funktioniert. Und die meisten Menschen haben keine Ahnung, wie Kryptographie funktioniert. 

Derzeit verfügen 99 % der unerfahrenen Web3-Benutzer über Web2-Erfahrung, die auf jahrelanger Verwendung von E-Mail/Passwort zur Authentifizierung für Konten und Apps beruht. Und während Krypto-Unternehmen und Wallets ihr Bestes tun, um die Benutzer aufzuklären, scheint Verwirrung unvermeidlich zu sein und den immer lauernden Betrügern unzählige Möglichkeiten zu eröffnen. 

Probieren Sie einfach dieses Experiment aus – googeln Sie „Curve“, „Aave“ oder „Uniswap“ und klicken Sie auf das erste Anzeigenergebnis. Versuchen Sie, eine Verbindung herzustellen, und Sie werden den häufigsten Social-Engineering-Betrug mit Seed-Phrasen erleben – Websites, die Metamask nachahmen und irregeführte Benutzer nach ihren Seed-Phrasen fragen. (Tun Sie das eigentlich nicht – schreiben Sie zumindest bitte nicht Ihre Startphrase!)

Das passiert ständig und 2021 war ein großartiges Beispiel für das herausragende Problem. Mit der steigenden Beliebtheit von NFTs haben sich letztes Jahr viele neue Benutzer der Krypto-Party angeschlossen. Einige von ihnen hatten das Glück, einen Bored Ape Yacht Club NFT zu kaufen und zu sehen, wie sein Preis um das 1000-fache stieg … nur um ihn dann wegen schlechter Schlüsselverwaltung in der Brieftasche zu stehlen.

Warum verwenden wir dann immer noch Seed-Phrasen anstelle von Passwörtern?

Leider werden gängige Ethereum-Adressen mit einem privaten Schlüssel – einer langen Textfolge – entsperrt. Wenn Sie Ihren Schlüssel besitzen, können Sie mit Ihrer Adresse machen, was Sie wollen. Sie bewahren Ihren Schlüssel entweder in einer Datei auf und importieren ihn, um eine Brieftasche zu entsperren, oder Sie verwenden die Seed-Phrase-Mnemonik. Es gibt keine Möglichkeit, anstelle des privaten Schlüssels ein Passwort einzugeben … 

…Okay, es gibt tatsächlich einen Weg, aber auf Kosten der vollen Kontrolle über Ihren Geldbeutel. Einige Dienste behalten die privaten Schlüssel für ihre Benutzer und erlauben ihnen, Passwörter zum Entsperren ihrer Wallets zu verwenden. Dies ermöglicht das Onboarding, verstößt jedoch gegen eines der Grundprinzipien der Dezentralisierung und unterscheidet sich nicht wesentlich von der Funktionsweise traditioneller Dienste. Der von Ihnen genutzte Dienst kann Ihren Zugriff jederzeit sperren.

Aber was wäre, wenn ich Ihnen sagen würde, dass es tatsächlich eine Möglichkeit gibt, Ihre Brieftasche mit E-Mail und Passwort zu entsperren und dabei Ihren Schlüssel zu behalten?

Hier kommen intelligente Geldbörsen

Smart Wallets wurden in der Vergangenheit viel diskutiert: Möglicherweise haben Sie von einem ähnlichen Konzept namens „Kontoabstraktionen“ gehört. 

Grundsätzlich besteht die Idee darin, dass jedes Ethereum-Konto ein Smart Contract sein wird, der viele Möglichkeiten zur Verbesserung der Krypto-UX eröffnet. In diesem Artikel konzentrieren wir uns auf die Schlüsselverwaltung. 

Anstatt nur einen kryptografischen Schlüssel zum Sichern eines Kontos zu verwenden, ermöglichen Smart Wallets die Verwendung mehrerer Schlüssel nach bestimmten Regeln. Sie können beispielsweise ein Konto einrichten, das von zwei Schlüsseln gesteuert wird, von denen einer Ihr Mobilgerät und der andere Ihr Trezor-Hardware-Wallet ist, wobei das Mobilgerät über begrenzte Berechtigungen und tägliche Ausgaben verfügt, während der Trezor unbegrenzt ist. Oder Sie richten eine sogenannte soziale Wiederherstellung ein, indem Sie einem von Ihren engsten Personen kontrollierten Multisig erlauben, Ihr Konto wiederherzustellen. 

Einfach ausgedrückt handelt es sich bei Smart Wallets um Smart Contracts, die durch mehr als einen kryptografischen Schlüssel gesteuert werden können – dies „dezentralisiert“ den Zugriff auf das Wallet und ermöglicht verschiedene Setups, in denen Sie das Login-Benutzererlebnis ändern können.

Wie Sie an dieser Stelle vielleicht schon erraten haben, verwendet einer davon E-Mail und Passwort. 

So erstellen Sie eine nicht verwahrte Smart Wallet mit E-Mail- und Passwort-Registrierung

Wir wissen bereits, dass ein Smart Contract Wallet durch zwei oder mehr Schlüssel gesteuert werden kann. Bei der Erstellung von Ambire Wallet haben wir beschlossen, auf dieser Funktion aufzubauen und die E-Mail-/Passwort-Registrierung zu ermöglichen, ohne die Inhaberschaft des Benutzers am Konto zu gefährden. 

Ambire implementiert die traditionelle Authentifizierung mit einer E-Mail-Adresse und einem Passwort wie Web2-Apps. Dieser Authentifizierungsmodus ist nicht verwahrungspflichtig: Er funktioniert über ein On-Chain-Zwei-Schlüssel-Multisig. Einer der Schlüssel wird im Browserspeicher gespeichert und mit dem Passwort des Benutzers verschlüsselt, und der andere Schlüssel wird über ein Hardware-Sicherheitsmodell (HSM) in unserem Backend gespeichert.

Sie können nicht mit nur einem der beiden Schlüssel auf die Gelder zugreifen, wenn Sie beispielsweise ein Angreifer sind, der erfolgreich entweder einen Benutzer (z. B. durch Malware) oder das HSM kompromittiert hat. 

Ein Wiederherstellungsvorgang kann jedoch nur mit einem Schlüssel gestartet werden. Der Wiederherstellungsvorgang ist eine zeitgesteuerte Änderung eines der beiden Schlüssel. Wenn der Wiederherstellungsvorgang unbeabsichtigt war (z. B. durch einen Angreifer initiiert), kann jeder andere Schlüsselinhaber ihn abbrechen. Wenn es jedoch rechtmäßig initiiert wurde (z. B. wenn Sie einen der beiden Schlüssel verloren haben oder Ihr Passwort vergessen haben), können Sie einfach auf die Zeitsperre warten und haben danach wieder Zugriff auf Ihr Konto.

Zusammenfassend lässt sich sagen, dass E-Mail-/Passwortkonten Multi-Signatur-Wallets sind, die Folgendes freischalten:

• Bei Lieferung von 2 Signaturen – Nutzung im Normalbetrieb; oder
• Wenn 1 Signatur geliefert wird, jedoch mit Zeitsperre; Wird zur Passwortwiederherstellung verwendet oder für den Fall, dass das Ambire-Backend nicht verfügbar ist.

Der zweite Schlüssel wird normalerweise durch einen Bestätigungscode freigeschaltet, der für die Transaktion spezifisch ist (abgeleitet von einem Hash der Transaktion), es können jedoch auch andere Authentifizierungsmethoden wie OTP 2FA oder FaceID verwendet werden.

Ein zusätzlicher Vorteil dieses Modells besteht darin, dass der zweite Schlüssel zusätzliche Sicherheitsregeln wie Ausgabenlimits und die Prüfung auf böswillige Verträge oder Anrufe (z. B. unbegrenzte Genehmigungen für EOAs) durchsetzen kann. Da diese Regeln vom HSM außerhalb der Kette überprüft werden, können sie leicht geändert oder erweitert werden. Darüber hinaus können anspruchsvolle Prüfungen ohne zusätzliche Gaskosten durchgeführt werden, was den Einsatz von KI oder ML in der Zukunft ermöglicht.

Wenn Sie neugierig sind und mehr darüber erfahren möchten, sollten Sie sich die Seite ansehen Das Sicherheitsmodell von Ambire Wallet.

Wie es geht

Wir haben Ambire Wallet im Dezember veröffentlicht, nachdem wir unser Sicherheitsmodell zwei Monate lang schnell getestet hatten. Mehr als 45,000 Benutzer haben sich seitdem registriert und wissen Sie was – die meisten Konten werden per E-Mail und Passwort gesteuert. Derzeit arbeiten wir daran, im ersten Halbjahr dieses Jahres eine mobile Version des Wallets für iOS und Android zu veröffentlichen. Dies wird der wahre Test für das E-Mail-Passwort-Registrierungsmodell sein, da wir davon ausgehen, dass wir auch Menschen anziehen, die noch keine Web3-Erfahrung haben. 

Wenn Sie Ambire Wallet ausprobieren möchten, besuchen Sie https://www.ambire.com/ und erstellen Sie Ihr Konto in weniger als einer Minute.