Arculus: Verso un Futuro Senza Password con il Dr. Adam Lowe

Con l’aumento delle minacce informatiche, le nostre pratiche di sicurezza devono evolversi. Allora, perché non abbiamo adottato soluzioni più sicure? Il Dr. Adam Lowe afferma: “La migliore sicurezza è quella che le persone utilizzano,” sottintendendo che l’usabilità è fondamentale.

Il team di CoinDesk ha parlato con il Dr. Lowe per approfondire questa idea.

Lowe è il Chief Product & Innovation Officer di CompoSecure, azienda presso la quale ha costruito la sua carriera all'avanguardia dell'innovazione. Ha scritto diversi capitoli tecnici per libri ed è accreditato come inventore di oltre 500 brevetti e domande di brevetto in corso, incluso Arculus, una piattaforma di sicurezza digitale di nuova generazione che consente alle persone di proteggere i propri asset digitali e le proprie identità.

L’esperienza di Lowe nella sicurezza va oltre CompoSecure e Arculus. In precedenza, ha ricoperto un ruolo di R&S presso un’organizzazione no profit a supporto della difesa e dell’intelligence degli Stati Uniti. Le esperienze di Lowe gli conferiscono una profonda conoscenza della sicurezza web2 e web3 per utenti che vanno da privati a enti governativi.

In questa conversazione, esploreremo lo stato attuale e futuro della sicurezza informatica e perché Lowe crede in un futuro senza password.

Ritengo che il tuo background offra un contesto significativo su come sei arrivato a lavorare presso CompoSecure e a sviluppare Arculus, ma un aspetto su cui mi piacerebbe approfondire maggiormente è come queste esperienze ti abbiano introdotto al web3.

Certo, è stato un lungo percorso, iniziato quando ero all'università per il dottorato, intorno al 2011. Bitcoin stava cominciando a farsi strada nel mondo accademico. All'epoca non ero un grande acquirente di Bitcoin, sicuramente avrei voluto esserlo, ma è lì che ho avuto il mio primo assaggio di questa tecnologia.

Successivamente sono entrato nel settore della difesa, dove ho sviluppato un interesse per la crittografia che garantiva la sicurezza delle persone, dei combattenti e dell'intera comunità di intelligence. Ho svolto questa attività per un paio d'anni, per poi passare al settore dei pagamenti.

Sono con CompoSecure, la nostra società madre, da circa 10 anni, occupandomi di tecnologia per carte di pagamento in metallo premium. Con la maturazione delle criptovalute, ho iniziato a percepirle realmente come il futuro dei pagamenti e dell'identità digitale, e il modo in cui questi due aspetti si fondono insieme nel web3.

Dal punto di vista dei pagamenti globali, in qualche modo ho visto dove si è formato questo nesso e sono intervenuto per posizionarci bene creando Arculus. Arculus è il lato degli asset digitali e dell'identità digitale della nostra attività, dove prendiamo la tecnologia delle carte di pagamento in metallo di alta qualità, aggiungiamo una curva ellittica per consentirle di fare molte cose. Possono effettuare pagamenti. Possono autenticare i consumatori. Inoltre, è anche un firmatario hardware completo per tutte le blockchain moderne rilevanti.

Questa è in sostanza la visione: le persone devono gestire le proprie identità digitali, e noi vogliamo offrire loro la sicurezza nel palmo della mano per farlo.

Tutti desideriamo di aver acquistato Bitcoin nel 2011, ma il vostro percorso nel mondo delle criptovalute è sicuramente unico e vi ha fornito approfondimenti sulla sicurezza personale, aziendale e governativa.

Sembra che le aziende stiano perdendo i dati dei clienti con la stessa facilità con cui i clienti dimenticano le password. Perché sta accadendo questo?

Sì, faccio conferenze su questo argomento tutto il tempo e uno dei titoli, un po' ironici, che ho usato di recente è stato "le password sono passate di moda". Perché in effetti lo sono davvero.

Quello che mi piace dire, e che è vero, è che si affida la chiave della porta d’ingresso di casa o del proprio appartamento. Si dovrebbe affidare una chiave digitale alla propria vita digitale. Non una password.

Il problema fondamentale della maggior parte di questi sistemi, indipendentemente dalla scala, è che si basano sulla conoscenza. Una password non è altro che un segreto condiviso e, per chiunque abbia frequentato la scuola media, i segreti condivisi non durano molto a lungo. Quindi si tratta intrinsecamente di una falla di progettazione.

E come avete accennato, spesso le persone lo dimenticano e deve essere reimpostato. Circa la metà di tutte le attività dei call center sono legate alle password. Per le aziende, questo può diventare molto costoso.

Ok, quindi le password sono superate, ma cos'altro c'è?

Invece delle password, che sono basate sulla conoscenza, i sistemi moderni si stanno orientando verso soluzioni basate su chiavi.

Potresti aver già visto Facebook, Coinbase e altri utilizzare chiavi digitali per gestire la tua vita digitale. È lo stesso modo in cui firmi una transazione Ethereum con una chiave digitale, ma invece stai firmando digitalmente una sfida che dimostra che sei tu.

È un enorme progresso nella sicurezza.

Incrementalmente migliore delle password è qualcosa come Google Authenticator, ma non è una grande esperienza utente. Devi uscire dalla finestra, prendere sei cifre, rientrare, correre contro il tempo e sperare di farcela. Semplicemente non è ottimo.

Questo approccio zero trust basato sulle chiavi di cui stiamo parlando è obbligatorio per l'intero Dipartimento della Difesa (DoD) quest'anno, e sarà imposto a un numero crescente di agenzie governative con il passare del tempo.

CISA l'ha definito il riferimento d'eccellenza e voi dovreste puntare all'oro. Riteniamo davvero che sia l'approccio migliore, e realtà come Apple, Google e altri sono d'accordo con noi, motivo per cui ogni telefono Android e iPhone lo supporta.

Quindi, ciò che abbiamo fatto con la passkey, e per lavorare all'interno del sistema Fido WebAuth passkey, è stato inserirle su bellissime carte metalliche esterne che le aziende possono fornire ai propri clienti, con il loro brand.

Per attività a basso o medio rischio, c’è un’app sul tuo telefono: guarderai il tuo telefono, per sbloccare il tuo sito web o app preferito.

Per operazioni a rischio medio-alto, si utilizza la propria carta, una chiave esterna, rendendo il tutto ancora più sicuro. Si avvicina la (pass)key (carta) al telefono, che firma una sfida, e si accede.

Ha detto prima che “la migliore sicurezza è quella che le persone utilizzano” e questo mi ha ricordato come i miei genitori si attengano semplicemente a ciò che conoscono.

Qual è la sua opinione sull'adozione della sua tecnologia? È una sicurezza che i miei genitori utilizzerebbero?

Noi di Arculus abbiamo letteralmente qualcosa chiamato “il Test della Mamma di Adams,” che richiede che mia madre possa farlo senza alcun coaching. E se non riesce, e ha bisogno di coaching, allora non è abbastanza semplice.

I tre pilastri di Arculus sono sicuro, semplice e protetto, e la semplicità è sicuramente molto importante.

Una transazione media che tua madre effettuerà necessita solo dell’utilizzo della biometria sul suo dispositivo. Le basterà guardare il telefono o utilizzare l’impronta digitale, senza mai dover ricordare una password. Ritengo che questo rappresenti un grande vantaggio di questa tecnologia.

Una delle ragioni per cui riteniamo che le smart card siano un veicolo così efficace per questo è che tutti le possiedono. Le smart card a livello globale sono da 20 a 25 volte più diffuse degli iPhone. Tutti pensano che tutti abbiano un iPhone. Bene, ci sono 20 volte più smart card che iPhone.

Tornando alle criptovalute, sento regolarmente persone che conservano l'intero portafoglio nello stesso wallet che collegano a tutto.

Dato che la migliore sicurezza è quella effettivamente utilizzata dalle persone, come vede questa adozione nel web3 e in che modo migliorerà la protezione per gli utenti che interagiscono con le dApp?

Penso che presto assisteremo a un cambiamento riguardo ai portafogli hot. La sfida con i metodi di cold storage vecchi e precedenti, glorificati come chiavette USB, è che erano semplicemente troppo complicati da usare—non user-friendly, richiedono continui caricamenti e scaricamenti, e non sono molto pratici.

Con Arculus, abbiamo reso l'utilizzo più semplice rispetto a molti wallet hot.

Ottieni quella semplicità d’uso con la massima sicurezza su una piattaforma multifunzionale. Come ho detto prima, possiamo caricare pagamenti sulla carta, possiamo trasformarla nell’autenticatore FIDO di cui abbiamo parlato, che ti consente di accedere alle piattaforme web2.

Tutta la tua vita digitale può essere contenuta in una carta che porti regolarmente con te, ed è altrettanto facile da usare quanto il tuo hot wallet preferito, ma le chiavi sono nella tua tasca. Non c'è modo di hackerarla perché l'unico posto in cui esistono le tue chiavi private è proprio su quella carta.

Inoltre, si tratta di 3FA, ma di un 3FA semplice:

• Qualcosa che possiedi: quella specifica carta, che è sincronizzata con il tuo telefono,
• Qualcosa che sei: il dato biometrico sul tuo dispositivo, e
• Qualcosa che conosci: il tuo PIN.

Hai quella profonda indipendenza di difesa che mantiene la tua criptovaluta al sicuro e può funzionare pienamente all'interno dell'ambiente Web3. Puoi utilizzare WalletConnect con il tuo DEX preferito, fare qualsiasi operazione di scambio tu voglia, e sei pronto a partire.

Quali minacce informatiche emergenti prevedete nei prossimi anni e come le affronta Arculus?

Certo, quindi tutti citano l'IA. Ritengo sia una questione ragionevole a cui prestare attenzione poiché abbassa la soglia per gli attacchi informatici.

Con l'IA, puoi essere meno esperto di quanto fossi in passato nel lanciare un attacco informatico ragionevole, perché l'IA ti aiuterà a programmare e a eseguirlo con una soglia di conoscenza più bassa. Quindi vedremo una scala e un volume maggiori di attacchi derivanti da ciò.

Dobbiamo avere i nostri sistemi pronti per poter difendere contro quel volume di attacchi. Ci stiamo proteggendo contro futuri attacchi eliminando il tipo di problema di credenziali SIM swap pescabili di cui abbiamo parlato, perché o si possiede la chiave o non la si possiede.

Un attaccante può sbattere contro quel muro quanto vuole. Se non possiede la chiave crittografica per sbloccare l'account o quei privilegi, non riuscirà ad entrare. Ecco perché è fondamentale abbandonare questo sistema basato sulla conoscenza che permette agli aggressori di entrare.

Che dire invece del mondo del web3 e delle criptovalute?

Penso che una delle minacce, specialmente nel web3, derivi da questo grande movimento volto a cercare di far entrare nuove persone nel settore. Dobbiamo far entrare più persone nello spazio e dobbiamo integrarle. Sebbene ciò sia vero, si osserva un gran numero di piattaforme che si orientano verso il social login per cercare di semplificare l'onboarding.

Se quegli account non sono sicuri, allora tutto ciò che hai fatto è stato portare i problemi del web2 nel mondo del web3, perché si ritorna alle password, alle email e agli stessi vecchi problemi.

Cosa succede quando l’hacker dice ‘Ho dimenticato la mia 2FA?’ e la soluzione è che ricevi un link via email? Tutto ciò che l’hacker dovrebbe fare sarebbe effettuare un SIM swap e saremmo di nuovo punto e a capo.

Non possiamo trasferire l'insicurezza del web2 nel web3.

Questa discussione ha fatto eco al sentimento “non sono le tue chiavi, non è la tua crypto”. Ma che dire dei custodi e delle DAO? Arculus può supportare sistemi multi-parte come le multi-sig?

Collaboriamo con numerose persone e utilizziamo diversi sistemi. Riteniamo di avere il motore crittografico più sicuro e facile da usare, quindi perché dovremmo essere prescrittivi su come le persone dovrebbero utilizzarlo?

Potremmo lavorare, ad esempio, su qualcosa come Gnosis Multi-Sig, dove possiamo firmare per uno di quei contratti ed essere un firmatario, M di M firmatario, in quell'ecosistema multi-sig in cui potresti utilizzare quel login Fido WebAuth per accedere a una piattaforma.

Crediamo veramente di essere un sistema crittografico facile da usare e flessibile, capace di operare con la stessa efficacia sia in un ambiente aziendale o centralizzato sia per un consumatore. Ritengo che le risposte a questi diversi problemi siano differenti. Siamo un coltellino svizzero da cui possiamo estrarre lo strumento appropriato per contribuire a risolvere il problema.

Ho notato che Arculus collabora sia con soluzioni di pagamento tradizionali sia con aziende del settore web3. Potrebbe approfondire questo aspetto?

Certamente. Collaboriamo molto con realtà come Solana, Aptos e Sui e altre, concentrandoci realmente sull'integrazione di Web3 e pagamenti. Come accennato in precedenza, possiamo gestire l'identità utilizzando lo standard di autenticazione web Fido, che queste blockchain stanno adottando per un tipo di login ZK semplice. Ma siamo anche in grado di supportare i pagamenti sfruttando queste reti.

Siamo tra le poche persone al mondo privilegiate nel realizzare carte Visa, MasterCard e American Express. Durante l'ultimo Solana Hacker House, abbiamo tenuto un intervento mostrando come fosse possibile utilizzare le nostre carte con un semplice tap, operando sia sulle reti Visa sia, tramite tap-to-send, su Solana Pay attraverso le reti Solana.

È davvero unificare quei sistemi di pagamento e utilizzare le stablecoin come strumenti di pagamento e regolamento, portando quel web3 in casi d'uso quotidiani reali, che ritengo semplicemente fantastico.

Qualcos’altro prima di concludere?

Voglio ribadire che la facilità d’uso, unita a sicurezza e semplicità, posiziona davvero Arculus come un leader nel settore. Ogni volta che qualcuno dice, ah, l’autocustodia o il cold storage sono troppo difficili, e gli consegni Arculus, ottieni un convertito.

Con la nostra tecnologia, intendiamo davvero “toccare” il Web3 per rendere i pagamenti semplici e sicuri. La nostra tecnologia è qui per proteggere gli asset digitali e le identità delle persone.