Arculus: Auf dem Weg zu einer passwortlosen Zukunft mit Dr. Adam Lowe

Angesichts der zunehmenden Cyber-Bedrohungen müssen sich unsere Sicherheitspraktiken weiterentwickeln. Warum haben wir also nicht sicherere Lösungen angenommen? Dr. Adam Lowe sagt: „Die beste Sicherheit ist die, die die Menschen nutzen“, was darauf hinweist, dass Benutzerfreundlichkeit entscheidend ist.

Das CoinDesk-Team sprach mit Dr. Lowe, um diese Idee zu erläutern.

Lowe ist Chief Product & Innovation Officer bei CompoSecure und hat seine Karriere an der Spitze der Innovation aufgebaut. Er hat mehrere technische Buchkapitel verfasst und ist als Erfinder von über 500 Patenten und anhängigen Patenten gelistet, darunter Arculus, eine Next-Gen-Digitalsicherheitsplattform, die es den Menschen ermöglicht, ihre digitalen Vermögenswerte und Identitäten zu sichern.

Lowes Sicherheitsexpertise geht über CompoSecure und Arculus hinaus. Zuvor hatte er eine Forschungs- und Entwicklungsposition bei einer Non-Profit-Organisation inne, die die US-Verteidigungs- und Nachrichtendienste unterstützt. Lowes Erfahrungen verschaffen ihm ein tiefgehendes Verständnis für die Sicherheit im Web2 und Web3 sowohl für einzelne Nutzer als auch für staatliche Institutionen.

In diesem Gespräch werden wir den aktuellen und zukünftigen Stand der Cybersicherheit untersuchen und erläutern, warum Lowe an eine passwortlose Zukunft glaubt.

Ich denke, Ihr Hintergrund liefert viel Kontext dazu, wie Sie letztlich bei CompoSecure gelandet sind und Arculus entwickelt haben. Was mich jedoch besonders interessieren würde, ist, wie diese Erfahrungen Sie in die Web3-Welt geführt haben.

Natürlich, es war eine lange Reise, die begann, als ich um 2011 herum noch in der Graduiertenschule war. Bitcoin machte damals schon in der akademischen Welt Furore. Ich war zu diesem Zeitpunkt kein großer Bitcoin-Käufer, das wünsche ich mir heute sicherlich anders, aber genau dort habe ich zum ersten Mal davon Geschmack bekommen.

Dann wechselte ich in die Verteidigungsbranche, wo ich ein Interesse an Kryptografie entwickelte, die Menschen, Kriegsteilnehmer und die gesamte Nachrichtendienstgemeinschaft sichert. Ich war dort einige Jahre tätig und wechselte dann in den Zahlungsverkehr.

Ich bin seit etwa 10 Jahren bei CompoSecure, unserem Mutterunternehmen, tätig und beschäftige mich mit Premium-Metallzahlungskartentechnologie. Mit der Reifung von Krypto erkannte ich zunehmend, dass dies die Zukunft der Zahlungen und der digitalen Identität darstellt und wie sich beides im Web3 miteinander verbindet.

Aus der Sicht globaler Zahlungen konnte ich ungefähr erkennen, wo sich dieser Nexus bildete, und habe gehandelt, um uns durch die Gründung von Arculus gut zu positionieren. Arculus ist der Bereich digitaler Vermögenswerte und digitaler Identität unseres Unternehmens, in dem wir Premium-Metall-Zahlungskartentechnologie nutzen und eine elliptische Kurve hinzufügen, um viele Funktionen zu ermöglichen. Sie können Zahlungen durchführen. Sie können Verbraucher authentifizieren. Und es ist auch ein vollständiger Hardware-Signer für alle relevanten modernen Blockchains.

Das ist sozusagen die Vision: Menschen müssen ihre digitalen Identitäten verwalten, und wir möchten ihnen die Sicherheit in die Tasche geben, um dies zu tun.

Wir alle wünschen uns, wir hätten 2011 Bitcoin gekauft, doch Ihre Krypto-Reise ist zweifellos einzigartig und hat Ihnen Einblicke in die Sicherheit auf persönlicher, unternehmerischer und staatlicher Ebene verschafft.

Es scheint, dass Unternehmen Kundendaten ebenso leicht verlieren wie Kunden Passwörter vergessen. Warum geschieht das?

Ja, ich halte ständig Vorträge zu diesem Thema, und ein etwas ironischer Vortragstitel, den ich kürzlich hatte, lautete „Passwörter sind passé“. Denn das sind sie wirklich.

Was ich gerne sage, und es ist wahr, ist, dass man einem Schlüssel zur Haustür seines Hauses oder seiner Wohnung vertraut. Man sollte einem digitalen Schlüssel zu seinem digitalen Leben vertrauen. Nicht einem Passwort.

Das grundlegende Problem bei den meisten dieser Systeme, unabhängig von der Größenordnung, besteht darin, dass sie wissensbasiert sind. Ein Passwort ist nichts anderes als ein geteiltes Geheimnis, und für jeden, der jemals die Mittelstufe durchlaufen hat, halten geteilte Geheimnisse nicht sehr lange. Es handelt sich also von Natur aus um einen Designfehler.

Und wie Sie bereits erwähnt haben, wird dies häufig vergessen und muss zurückgesetzt werden. Ungefähr die Hälfte aller Callcenter-Aktivitäten steht im Zusammenhang mit Passwörtern. Für Unternehmen kann dies sehr kostspielig werden.

Okay, Passwörter sind out, aber was gibt es sonst noch?

Anstelle von Passwörtern, die wissensbasiert sind, bewegen sich moderne Systeme hin zu schlüsselbasierten Lösungen.

Sie haben möglicherweise bereits gesehen, wie Facebook, Coinbase und andere digitale Schlüssel verwenden, um Ihr digitales Leben zu verwalten. Es ist dieselbe Methode, mit der Sie eine Ethereum-Transaktion mit einem digitalen Schlüssel signieren, nur dass Sie stattdessen eine Herausforderung digital signieren, die beweist, dass Sie wirklich Sie sind.

Es ist ein gewaltiger Fortschritt in der Sicherheit.

Schrittweise besser als Passwörter ist etwas wie der Google Authenticator, aber es ist keine optimale Benutzererfahrung. Man muss herauswechseln, die sechs Ziffern abrufen, wieder zurückwechseln, gegen die Zeit antreten und hoffen, dass man es richtig eingibt. Das ist einfach nicht ideal.

Dieser Zero-Trust-Ansatz auf Schlüsselbasis, über den wir sprechen, wird in diesem Jahr für das gesamte Verteidigungsministerium vorgeschrieben und wird mit der Zeit für weitere Regierungsbehörden verpflichtend sein.

Die CISA bezeichnete es als den Goldstandard, und Sie sollten nach Gold streben. Wir sind fest davon überzeugt, dass es der beste Ansatz ist, und Unternehmen wie Apple, Google und andere stimmen uns zu, weshalb jedes Android- und iPhone-Gerät dies unterstützt.

Was wir mit dem Passkey gemacht haben, und um innerhalb des Fido WebAuth Passkey-Systems zu arbeiten, ist, dass wir sie auf wunderschönen, externen Metallkarten angebracht haben, die Unternehmen ihren Kunden in ihrem Branding zur Verfügung stellen können.

Für niedriges bis mittleres Risiko gibt es eine App auf Ihrem Telefon: Sie werden auf Ihr Telefon schauen, um Ihre Lieblingswebsite oder -app zu entsperren.

Für mittlere bis hohe Risiken verwenden Sie Ihre Karte, einen externen Schlüssel, um die Sicherheit noch weiter zu erhöhen. Sie tippen den (Pass-)Schlüssel (Karte) an Ihr Telefon, es signiert eine Herausforderung, und Sie sind drin.

Sie haben zuvor gesagt, dass „die beste Sicherheit die ist, die die Menschen nutzen“, und das erinnerte mich daran, wie meine Eltern einfach bei dem bleiben, was sie kennen.

Wie ist Ihre Einschätzung zur Adoption Ihrer Technologie? Ist es eine Sicherheit, die meine Eltern nutzen würden?

Wir bei Arculus haben buchstäblich etwas, das wir den „Adams-Mom-Test“ nennen, der erfordert, dass meine Mutter es ohne jegliche Anleitung durchführen kann. Und wenn sie es nicht kann und Anleitung benötigt, dann ist es nicht einfach genug.

Die drei Säulen von Arculus sind sicher, einfach und geschützt, wobei Einfachheit definitiv sehr wichtig ist.

Eine durchschnittliche Transaktion, die Ihre Mutter durchführen wird, erfordert lediglich die Nutzung biometrischer Daten auf ihrem Gerät. Sie muss einfach nur auf ihr Telefon schauen oder ihren Daumenabdruck verwenden und sich nie ein Passwort merken. Ich denke, das ist ein großer Vorteil dieser Technologie.

Ein Grund, warum wir denken, dass Smartcards ein so hervorragendes Medium dafür sind, ist, dass sie jeder besitzt. Smartcards sind weltweit 20 bis 25 Mal verbreiteter als iPhones. Jeder denkt, dass jeder ein iPhone besitzt. Nun, es gibt 20 Mal mehr Smartcards als iPhones.

Zurück zum Thema Krypto höre ich regelmäßig von Personen, die ihr gesamtes Portfolio in derselben Wallet aufbewahren, die sie mit allem verbinden.

Ausgehend von der Idee, dass die beste Sicherheit jene ist, die von den Menschen tatsächlich genutzt wird, wie sehen Sie die Entwicklung dieser Akzeptanz im Web3 und wie wird sie den Schutz für Nutzer verbessern, die mit dApps interagieren?

Ich denke, Sie werden bald eine Veränderung bei den Hot Wallets beobachten. Die Herausforderung bei den alten und bisherigen Cold-Storage-Methoden, verklärte USB-Sticks, besteht darin, dass sie einfach zu kompliziert in der Anwendung waren – nicht benutzerfreundlich, erfordern ständige Uploads und Downloads und sind nicht besonders praktikabel.

Mit Arculus haben wir die Nutzung einfacher gestaltet als bei vielen Hot Wallets.

Sie erhalten diese Benutzerfreundlichkeit mit maximaler Sicherheit auf einer multifunktionalen Plattform. Wie bereits erwähnt, können wir Zahlungen auf die Karte laden und sie zu dem FIDO-Authenticator machen, über den wir gesprochen haben, der Sie bei Web2-Plattformen anmeldet.

Ihr gesamtes digitales Leben kann auf einer Karte gespeichert sein, die Sie regelmäßig bei sich tragen, und sie ist genauso einfach zu verwenden wie Ihre bevorzugte Hot Wallet, aber die Schlüssel befinden sich in Ihrer Tasche. Ein Hack ist ausgeschlossen, da Ihre privaten Schlüssel einzig auf dieser Karte existieren.

Außerdem handelt es sich um 3FA, jedoch um ein einfaches 3FA:

• Etwas, das Sie besitzen: jene bestimmte Karte, die mit Ihrem Telefon synchronisiert ist,
• Etwas, das Sie sind: die biometrischen Daten auf Ihrem Gerät, und
• Etwas, das Sie kennen: Ihre PIN.

Sie verfügen über diese unabhängige Sicherheitsebene, die Ihre Kryptowährungen schützt und vollständig innerhalb der Web3-Umgebung funktioniert. Sie können WalletConnect zu Ihrer bevorzugten DEX verwenden, jeden Trade durchführen, den Sie möchten, und sind voll im Geschäft.

Welche aufkommenden Cyber-Bedrohungen sehen Sie in den kommenden Jahren, und wie geht Arculus damit um?

Natürlich, alle sprechen über KI. Ich denke, es ist vernünftig, dem Aufmerksamkeit zu schenken, da sie die Hürden für Cyberangriffe senkt.

Mit KI können Sie weniger fähig sein als früher, um einen angemessenen Cyberangriff zu starten, da die KI Ihnen beim Coden hilft und die Ausführung bei einer geringeren Wissensbasis ermöglicht. Daher werden wir eine größere Anzahl und ein höheres Ausmaß von Angriffen sehen.

Wir müssen unsere Systeme bereit haben, um in der Lage zu sein, gegen dieses Angriffvolumen zu verteidigen. Wir schützen uns vor zukünftigen Angriffen, indem wir das SIM-Swap-Problem mit fischbaren Zugangsdaten eliminieren, über das wir gesprochen haben, denn entweder besitzt man den Schlüssel oder eben nicht.

Ein Angreifer kann so oft gegen diese Mauer schlagen, wie er will. Wenn er nicht über den kryptographischen Schlüssel verfügt, um das Konto oder die entsprechenden Privilegien zu entsperren, wird er nicht hineingelangen. Deshalb ist es so entscheidend, dass wir uns von diesem wissensbasierten System entfernen, das Angreifern Zugang ermöglicht.

Wie sieht es in der Welt von Web3 und Crypto aus?

Ich denke, dass eine der Bedrohungen, insbesondere im Web3-Bereich, von dieser großen Bewegung ausgeht, Menschen an Bord zu holen. Wir müssen mehr Menschen in den Raum bringen und sie an Bord nehmen. Während das wahr ist, sieht man viele Plattformen, die auf Social Login umstellen, um das Onboarding zu erleichtern.

Wenn diese Konten nicht sicher sind, dann haben Sie im Grunde genommen nur Web2-Probleme in eine Web3-Welt übertragen, da Sie wieder bei Passwörtern, E-Mails und denselben alten Problemen angekommen sind.

Was passiert, wenn der Hacker sagt ‚Ich habe meine 2FA vergessen‘ und die Lösung darin besteht, dass Sie einen E-Mail-Link erhalten? Alles, was der Hacker tun müsste, wäre ein SIM-Swap, und wir wären wieder am Anfang.

Wir können die Unsicherheit von Web2 nicht in Web3 übertragen.

Diese Diskussion hat das Motto „Nicht deine Schlüssel, nicht deine Kryptowährung“ widergespiegelt. Aber wie verhält es sich mit Verwahrstellen und DAOs? Kann Arculus Mehrparteien-Systeme wie Multi-Signaturen unterstützen?

Wir arbeiten mit einer Vielzahl von Partnern zusammen und nutzen mehrere Systeme. Wir sind der Ansicht, dass wir die sicherste und benutzerfreundlichste Kryptographie-Engine sind, weshalb wir nicht vorschreiben, wie Menschen sie verwenden sollten.

Wir könnten beispielsweise an etwas wie Gnosis Multi-Sig arbeiten, bei dem wir für einen dieser Verträge unterschreiben und als Unterzeichner, M von M Unterzeichner, in diesem Multi-Sig-Ökosystem fungieren könnten, wo Sie diesen Fido WebAuth-Login verwenden könnten, um sich bei einer Plattform anzumelden.

Wir sind fest davon überzeugt, dass wir ein benutzerfreundliches, flexibles Kryptographiesystem sind, das sowohl in einem unternehmerischen oder zentral verwalteten Umfeld als auch für den Endverbraucher gleichermaßen einsatzfähig ist. Ich denke, die Lösungen für diese unterschiedlichen Herausforderungen sind verschieden. Wir sind ein Schweizer Taschenmesser, mit dem wir das passende Werkzeug hervorholen und bei der Problemlösung unterstützen können.

Mir ist aufgefallen, dass Arculus sowohl mit traditionellen Zahlungslösungen als auch mit Web3-Unternehmen zusammenarbeitet. Können Sie dies näher erläutern?

Natürlich. Wir arbeiten viel mit Solana, Aptos, Sui und anderen zusammen, wobei unser Schwerpunkt darauf liegt, Web3 und Zahlungsverkehr zu verbinden. Wie ich bereits erwähnt habe, können wir Identitäten mithilfe des Fido Web-Auth-Standards verwalten, den diese Netzwerke für eine einfache ZK-Authentifizierung übernehmen. Außerdem sind wir in der Lage, Zahlungen über diese Netzwerke zu unterstützen.

Wir gehören zu den wenigen weltweit Privilegierten, die Visa-, MasterCard- und American Express-Karten herstellen dürfen. Während des letzten Solana Hacker House hielten wir einen Vortrag und zeigten, wie man unsere Karten kontaktlos nutzen kann – entweder über die Visa-Netzwerke oder per Tap-to-Send über Solana Pay über die Solana-Netzwerke.

Es ist wirklich die Vereinigung dieser Zahlungssysteme und die Nutzung von Stablecoins als Zahlungs- und Abwicklungsinstrumente sowie die Einbindung von Web3 in reale, tägliche Anwendungsfälle, was ich für einfach fantastisch halte.

Gibt es noch etwas, bevor wir abschließen?

Ich möchte noch einmal betonen, dass die Benutzerfreundlichkeit in Kombination mit Sicherheit und Einfachheit Arculus wirklich gut positioniert, um eine führende Rolle im Bereich einzunehmen. Jedes Mal, wenn jemand sagt, dass Selbstverwahrung oder Cold Storage zu schwierig seien, und man Arculus in seine Hände legt, gewinnt man einen neuen Anhänger.

Mit unserer Technologie meinen wir wirklich, in Web3 „einzutauchen“, um Zahlungen einfach und sicher zu gestalten. Unsere Technologie schützt die digitalen Vermögenswerte und Identitäten der Menschen.