Arculus: движение к будущему без паролей с д-ром Адамом Лоу

С ростом киберугроз наши практики безопасности должны развиваться. Так почему же мы до сих пор не приняли более надежные решения? Доктор Адам Лоу утверждает: «Лучшая безопасность — та, которой пользуются», подразумевая, что ключевым фактором является удобство использования.

Команда CoinDesk поговорила с доктором Лоу, чтобы подробно рассмотреть эту идею.

Лоу занимает должность главного директора по продуктам и инновациям в CompoSecure, построив свою карьеру на переднем крае инноваций. Он является автором нескольких технических глав книг и указан в качестве изобретателя более чем в 500 патентах и заявках на патенты, включая Arculus — платформу цифровой безопасности следующего поколения, предоставляющую людям возможность защищать свои цифровые активы и личности.

Экспертиза Лоуэ в области безопасности выходит за рамки CompoSecure и Arculus. Ранее он занимал позицию в отделе исследований и разработок в некоммерческой организации, поддерживающей оборону и разведку США. Опыт Лоуэ обеспечивает ему глубокое понимание безопасности web2 и web3 для пользователей — от частных лиц до государственных учреждений.

В этом разговоре мы рассмотрим текущее и будущее состояние кибербезопасности и почему Лоу верит в будущее без паролей.

Я считаю, что ваш опыт дает много контекста относительно того, как вы оказались в компании CompoSecure и разрабатывали Arculus, но мне бы хотелось подробнее узнать, как именно эти события привели вас в web3.

Конечно, это было долгое путешествие, начавшееся еще в период моей аспирантуры, примерно в 2011 году. Биткойн начинал проникать в академические круги. В то время я не был крупным покупателем биткойнов, и, безусловно, жалею об этом, но именно тогда у меня впервые появился интерес к этой технологии.

Затем я перешёл в оборонную сферу, где проявил интерес к криптографии, которая обеспечивала безопасность людей, военнослужащих и всего разведывательного сообщества. Я занимался этим несколько лет, а затем перешёл в сферу платежей.

Я работаю в CompoSecure, нашей материнской компании, уже около 10 лет, занимаясь технологией премиальных металлических платежных карт. По мере развития криптовалюты я действительно начал видеть в ней будущее платежей и цифровой идентичности, а также то, как эти две сферы объединяются в web3.

С точки зрения глобальных платежей, я примерно понял, где формируется этот узел, и занял позицию, которая позволила нам хорошо подготовиться, создав Arculus. Arculus — это направление нашего бизнеса, связанное с цифровыми активами и цифровой идентичностью, где мы используем премиальные платежные карты из металла, дополненные эллиптической кривой, что позволяет выполнять множество функций. Они могут осуществлять платежи. Они могут аутентифицировать потребителей. Кроме того, это полноценный аппаратный подписчик для всех актуальных современных блокчейнов.

Итак, вот в чем суть видения: людям необходимо управлять своими цифровыми идентичностями, и мы хотим предоставить им безопасность, которую они могут носить в кармане.

Мы все желаем, чтобы купили биткойн в 2011 году, но ваше крипто-путешествие определенно уникально и дало вам понимание вопросов безопасности на личном, корпоративном и государственном уровнях.

Похоже, что компании теряют данные клиентов так же легко, как клиенты забывают пароли. Почему это происходит?

Да, я постоянно выступаю с докладами на эту тему, и одно из моих недавних ироничных названий докладов было «Пароли устарели». Потому что это действительно так.

Что мне нравится говорить, и это правда, что вы доверяете ключу от входной двери вашего дома или квартиры. Вы должны доверять цифровому ключу вашей цифровой жизни. Не паролю.

Фундаментальная проблема большинства таких систем, независимо от их масштаба, заключается в том, что они основаны на знаниях. Пароль — это не что иное, как общий секрет, и для любого, кто когда-либо учился в средней школе, общие секреты не длятся долго. Таким образом, это является врожденным недостатком конструкции.

И, как вы упомянули, люди часто забывают это, и его необходимо сбрасывать. Примерно половина всех обращений в колл-центры связана с паролями. Для компаний это может обернуться значительными расходами.

Итак, пароли устарели, но что же будет дальше?

Вместо паролей, основанных на знаниях, современные системы переходят к решениям на основе ключей.

Вы, возможно, уже видели, как Facebook, Coinbase и другие компании используют цифровые ключи для управления вашей цифровой жизнью. Это тот же способ, которым вы подписываете транзакцию в Ethereum с помощью цифрового ключа, но вместо этого вы цифровым образом подписываете вызов, подтверждающий вашу личность.

Это огромный шаг вперёд в области безопасности.

Пошагово лучше паролей — это что-то вроде Google Authenticator, но пользовательский опыт оставляет желать лучшего. Нужно переключаться, получить шестизначный код, вернуться, торопиться с вводом и надеяться, что всё сделано правильно. Это далеко не идеально.

Этот подход с нулевым доверием и использованием ключей, о котором мы говорим, в этом году стал обязательным для всего Министерства обороны США, и со временем он будет внедрен в большем числе государственных учреждений.

CISA назвала это золотым стандартом, и вам следует стремиться к золоту. Мы действительно считаем, что это лучший подход, и такие компании, как Apple, Google и другие, согласны с нами, поэтому каждый телефон на Android и iPhone поддерживает эту технологию.

Итак, что мы сделали с ключом доступа и чтобы работать в рамках системы Fido WebAuth, мы разместили их на красивых внешних металлических картах, которые компании могут предоставлять своим клиентам с их фирменным стилем.

Для проектов с низким и средним уровнем риска существует приложение на вашем телефоне: вы будете смотреть на свой телефон, чтобы разблокировать ваш любимый веб-сайт или приложение.

Для операций со средним и высоким уровнем риска вы используете свою карту — внешний ключ, что делает процесс ещё более безопасным. Вы прикладываете (проходной) ключ (карту) к телефону, он подписывает вызов, и вы получаете доступ.

Вы ранее говорили, что «лучшей безопасностью является та, которой пользуются люди», и это напомнило мне о том, как мои родители просто придерживаются того, что им знакомо.

Каково ваше мнение о принятии вашей технологии? Является ли это безопасностью, которую использовали бы мои родители?

У нас в Arculus существует так называемый «Тест мамы Адамса», который требует, чтобы моя мама смогла выполнить задание без всякого наставления. Если ей нужна помощь и наставления, значит, это недостаточно просто.

Три столпа Arculus — это безопасность, простота и надежность, при этом простота определенно имеет большое значение.

Средняя транзакция, которую ваша мама будет совершать, требует лишь использования биометрии на её устройстве. Ей достаточно просто посмотреть на телефон или воспользоваться отпечатком пальца, и никогда не нужно будет вспоминать пароль. Я считаю, что это большое преимущество данной технологии.

Одна из причин, по которой мы считаем смарт-карты отличным инструментом для этого, заключается в том, что они есть у каждого. Смарт-карты во всем мире встречаются в 20–25 раз чаще, чем iPhone. Всем кажется, что у всех есть iPhone. Однако смарт-карт в 20 раз больше, чем iPhone.

Возвращаясь к криптовалютам, я регулярно слышу о людях, которые хранят весь свой портфель в одном и том же кошельке, к которому подключают все сервисы.

Учитывая идею о том, что лучшая безопасность — это та, которую действительно используют, как вы видите развитие этого внедрения в web3 и каким образом это повысит уровень защиты пользователей, взаимодействующих с dApps?

Я полагаю, что вскоре вы увидите изменения в области горячих кошельков. Проблема с устаревшими и предыдущими методами холодного хранения, представлявшими собой по сути усовершенствованные USB-накопители, заключается в том, что их использование было чрезмерно сложным — они не были удобны для пользователя, требовали постоянной загрузки и скачивания данных, и в целом были недостаточно практичны.

С Arculus мы сделали использование проще, чем у многих горячих кошельков.

Вы получаете это удобство использования с максимальной безопасностью на многофункциональной платформе. Как я уже упоминал ранее, мы можем добавить оплату на карту, мы можем сделать её FIDO-аутентификатором, о котором говорили, который позволяет входить в платформы web2.

Вся ваша цифровая жизнь может помещаться на карте, которую вы регулярно носите с собой, и пользоваться ею так же просто, как вашим любимым горячим кошельком, но при этом ключи находятся у вас в кармане. Ее невозможно взломать, поскольку единственное место, где хранятся ваши приватные ключи — это эта карта.

Также это 3FA, но простая 3FA:

• Что-то, что у вас есть: эта конкретная карта, которая синхронизирована с вашим телефоном,
• То, что вы есть: биометрия на вашем устройстве, и
• То, что вы знаете: ваш пин-код.

У вас есть независимый уровень защиты, который обеспечивает безопасность вашей криптовалюты и позволяет полностью функционировать в среде Web3. Вы можете использовать WalletConnect для подключения к вашему любимому DEX, совершать любые необходимые сделки и уверенно работать.

Какие новые киберугрозы вы прогнозируете в ближайшие годы и как компания Arculus с ними справляется?

Конечно, все упоминают ИИ. Я считаю, что это разумно обращать на это внимание, поскольку он снижает порог для кибератак.

С помощью ИИ вы можете быть менее квалифицированным, чем раньше, чтобы запустить разумную кибератаку, поскольку ИИ поможет вам с кодированием и выполнением при более низком пороге знаний. Поэтому мы увидим более масштабные и многочисленные атаки.

Мы должны иметь готовые системы, способные защититься от такого объема атак. Мы предотвращаем будущие атаки, устраняя проблему уязвимых к фишингу учетных данных при SIM-замене, о которой мы говорили, поскольку у вас либо есть ключ, либо нет.

Злоумышленник может биться о эту стену сколько угодно. Если у него нет криптографического ключа для разблокировки аккаунта или получения этих привилегий, он не сможет войти. Именно поэтому крайне важно отказаться от этой системы, основанной на знаниях, которая допускает злоумышленников.

А как обстоят дела в мире web3 и криптовалют?

Я считаю, что одной из угроз, особенно в сфере web3, является это масштабное движение по привлечению пользователей. Нам нужно вовлечь больше людей в пространство и обеспечить им удобный вход. Хотя это правильно, вы видите, что многие платформы переходят на социальный вход, чтобы упростить процесс регистрации.

Если эти аккаунты ненадёжны, то всё, что вы сделали — это перенесли проблемы web2 в мир web3, поскольку вы снова столкнулись с паролями, электронной почтой и теми же старыми проблемами.

Что происходит, когда хакер говорит «Я забыл свой 2FA?», а решение — это получение ссылки по электронной почте? Всё, что хакеру нужно сделать — это осуществить замену SIM-карты, и мы снова оказываемся в той же ситуации, с которой начали.

Мы не можем переносить уязвимости web2 в web3.

В ходе обсуждения неоднократно звучал принцип «не ваши ключи — не ваша криптовалюта». Но как насчет кастодианов и DAO? Может ли Arculus поддерживать мультисторонние системы, такие как мультиподписи?

Мы сотрудничаем с рядом партнеров и работаем с множеством систем. Мы считаем, что являемся самой безопасной и простой в использовании криптографической платформой, поэтому зачем нам диктовать, как именно люди должны ее использовать?

Мы могли бы работать, например, над чем-то вроде Gnosis Multi-Sig, где мы можем подписывать один из таких контрактов и быть подписантом, подписантом M из M, в этой экосистеме мультиподписей, где вы могли бы использовать вход через Fido WebAuth для входа на платформу.

Мы действительно считаем, что являемся простой в использовании, гибкой криптографической системой, которая может одинаково эффективно работать как в корпоративной или централизованной среде, так и для частного потребителя. Я полагаю, что решения этих разных задач различаются. Мы — швейцарский армейский нож, из которого можно извлечь нужный инструмент и помочь решить проблему.

Я заметил, что Arculus сотрудничает как с традиционными платежными решениями, так и с компаниями web3. Могли бы вы подробнее рассказать об этом?

Конечно. Мы много работаем с такими проектами, как Solana, Aptos и Sui, а также другими, сосредотачиваясь на интеграции Web3 и платежей. Как я уже упоминал ранее, мы можем управлять идентификацией с использованием стандарта Fido web auth, который эти блокчейн-сети внедряют для упрощенного входа с использованием ZK. Кроме того, мы также способны поддерживать проведение платежей с помощью этих сетей.

Мы — одни из немногих в мире, кто имеет привилегию выпускать карты Visa, MasterCard, American Express. Во время последнего Solana Hacker House мы провели презентацию и продемонстрировали, как можно использовать наши карты: либо бесконтактно оплатить через платежную систему Visa, либо отправить платёж через Solana Pay, используя инфраструктуру Solana.

Действительно, объединение этих платёжных систем и использование стейблкоинов в качестве инструментов оплаты и расчётов, а также внедрение web3 в реальные повседневные сценарии использования — это, на мой взгляд, просто фантастика.

Есть ли что-то еще перед тем, как мы завершим?

Хочу подчеркнуть, что сочетание удобства использования, безопасности и простоты действительно ставит Arculus в выгодное положение лидера в этой сфере. Каждый раз, когда кто-то говорит, что самостоятельное хранение или холодное хранение слишком сложны, и вы даёте им Arculus, вы приобретаете сторонника.

С нашей технологией мы действительно подразумеваем возможность «касания» Web3 для упрощения и обеспечения безопасности платежей. Наша технология предназначена для защиты цифровых активов и личных данных пользователей.