Arculus：与Adam Lowe博士共探无密码未来

随着网络威胁不断增加，我们的安全措施必须不断演进。那么，为什么我们还未采用更安全的解决方案？亚当·洛伊博士表示：“最好的安全措施是人们愿意使用的安全措施”，这意味着可用性是关键。

CoinDesk 团队与 Lowe 博士进行了交流，以深入解析这一观点。

Lowe 是 CompoSecure 的首席产品与创新官，他的职业生涯一直处于创新的前沿。他撰写了多篇技术书籍章节，并作为发明人列名于 500 多项已授权及待授权专利中，其中包括 Arculus —— 一种下一代数字安全平台，赋予用户保护其数字资产和身份的能力。

Lowe的安全专长不仅限于CompoSecure和Arculus。他曾在一家支持美国国防和情报的非营利组织担任研发职位。Lowe的经历使他对从个人到政府实体的用户在web2和web3安全方面有深刻的理解。

在本次对话中，我们将探讨网络安全的现状与未来，以及Lowe为何相信无密码的未来。

我认为您的背景为您如何最终加入 CompoSecure 并开发 Arculus 提供了丰富的背景信息，但我非常希望深入探讨的是，这些经历是如何引领您进入 Web3 领域的。

当然，这是一段漫长的旅程，开始于我攻读研究生时期，大约是2011年。那时，比特币正在学术界慢慢兴起。彼时我并不是比特币的大买家，当然我很希望自己当时买了，但正是在那个时候，我第一次体验到了比特币的魅力。

随后，我进入了国防领域，对密码学产生了兴趣，这项技术保障了人员、作战人员以及整个情报界的安全。我在这一领域工作了几年，随后转向了支付领域。

我在我们的母公司 CompoSecure 工作了大约 10 年，专注于高端金属支付卡技术。随着加密货币的发展成熟，我开始真正看到它作为支付和数字身份的未来，以及两者如何在 web3 中融合。

从全球支付的角度来看，我在某种程度上看到了这一联系的形成，并通过创建 Arculus 使我们处于有利位置。Arculus 是我们业务中的数字资产和数字身份部分，我们采用高级金属支付卡技术，添加椭圆曲线算法，使其具备多种功能。它们可以进行支付，可以认证消费者，同时也是所有相关现代区块链的完整硬件签名器。

这就是我们的愿景：人们需要管理他们的数字身份，而我们希望为他们提供口袋中的安全保障，助其实现这一目标。

我们都希望自己在2011年就购买了比特币，但您的加密货币之旅无疑是独一无二的，并且让您深入了解了个人、企业以及政府层面的安全问题。

看来企业丢失客户数据的频率与客户忘记密码的频率一样高。这种情况为何会发生？

是的，我经常就此进行演讲，最近我有一个带点戏谑意味的演讲题目是“密码已过时”。因为它们确实已经过时了。

我喜欢说的一句话，也是事实，那就是你信任你家门或公寓门的钥匙，同样你也应该信任通往你数字生活的数字钥匙，而不是密码。

这些系统的根本问题，无论规模大小，都是基于知识的。密码无非是一个共享的秘密，而对于任何经历过中学的人来说，共享的秘密通常无法长久保密。因此，这本质上是一种设计缺陷。

正如您所提到的，人们常常会忘记密码，因此需要重置。据统计，大约一半的呼叫中心活动都与密码相关。对于企业而言，这可能导致非常高的成本。

好的，密码已经过时，但还有什么其他方式呢？

现代系统正逐步从基于知识的密码转向基于密钥的解决方案。

您可能已经看到 Facebook、Coinbase 以及其他公司使用数字密钥来管理您的数字生活。这与您使用数字密钥签署以太坊交易的方式相同，但这里您是数字签署一个证明您身份的挑战。

这是安全性方面的重大飞跃。

相比密码，Google 认证器等工具在一定程度上有所提升，但用户体验并不理想。您需要切换标签页，获取六位数验证码，再切换回来，争分夺秒地输入，且还得希望输入无误。整体体验并不出色。

我们所讨论的这种零信任、基于密钥的方法今年已被美国国防部强制要求，随着时间推移，将对更多政府机构实施强制要求。

CISA 称其为黄金标准，您应当追求黄金。我们真的认为这是最佳方案，像苹果、谷歌等公司也认同我们的观点，这就是为何每部安卓和 iPhone 手机都支持这一标准的原因。

因此，我们对通行密钥所做的，以及为了在 Fido WebAuth 通行密钥系统内工作，是将其制成精美的外部金属卡片，企业可以以其品牌形象提供给客户。

对于低至中等风险的事项，您的手机上有一款应用程序：您将查看手机，以解锁您喜爱的网站或应用。

对于中高风险事项，您使用您的卡片，即外部密钥，使其更加安全。您将（通行）密钥（卡）轻触手机，进行挑战签名，随后即可进入。

您之前提到“最好的安全性是人们会使用的安全性”，这让我想起了我的父母总是坚持他们熟悉的东西。

您如何看待贵技术的采用情况？这是否是我父母会使用的安全技术？

我们 Arculus 团队实际上有一项被称为“Adams 妈妈测试”的标准，该标准要求我的妈妈无需任何指导即可完成操作。如果她做不到，且需要指导，那么说明操作还不够简便。

Arculus 的三大支柱是安全、简单和保障，其中简单无疑是非常重要的。

您的母亲进行的一笔普通交易，只需在她的设备上使用生物识别技术。她只需看一眼手机或使用指纹认证，永远不必记住密码。我认为这是这项技术的一大优势。

我们认为智能卡之所以是实现这一目标的绝佳载体，其中一个原因是几乎人人皆有。全球范围内，智能卡的普及率是 iPhone 的 20 到 25 倍。大家都认为每个人都有 iPhone，但实际上智能卡的数量是 iPhone 的 20 倍。

回到加密货币领域，我经常听到有人将其整个投资组合存放在同一个连接所有应用的钱包中。

鉴于“最好的安全性是人们真正使用的安全性”这一理念，您如何看待这一采用趋势在 Web3 领域的发展？它将如何提升用户在使用去中心化应用（dApps）时的保护水平？

我认为您很快将看到热钱包的变化。旧有的冷存储方法，本质上是被美化的USB设备，存在的挑战在于使用过于复杂——不够用户友好，涉及频繁的上传和下载，且可行性较低。

通过 Arculus，我们使其使用起来比许多热钱包更加便捷。

您在多功能平台上获得了最大安全性的易用体验。正如我之前提到的，我们可以将支付功能集成到卡片中，也可以将其作为我们所说的 FIDO 认证器，用于登录 Web2 平台。

您的整个数字生活可以存储在您常随身携带的一张卡片中，使用起来与您最喜爱的热钱包一样便捷，但私钥却掌握在您自己口袋里。由于您的私钥仅存在于该卡片上，因此无法被黑客攻击。

此外，这是三因素认证，但却是简易三因素认证：

• 您拥有的某样物品：那张已与您的手机同步的特定卡片，
• 您所具备的某种特征：您设备上的生物识别信息，以及
• 您已知的信息：您的密码。

您拥有独立且深度的防护措施，确保您的加密资产安全，并能在 Web3 环境中完全集成运行。您可以使用 WalletConnect 连接至您喜爱的去中心化交易所，进行任意交易，畅享无忧操作。

您预见未来几年将出现哪些新兴的网络威胁，Arculus 将如何应对这些威胁？

当然，大家都在提到人工智能。我认为关注这一点是合理的，因为它降低了网络攻击的门槛。

有了人工智能，你发起合理的网络攻击所需的能力门槛可能会降低，因为人工智能将帮助你编写代码并在较低的知识门槛下执行攻击。因此，我们将看到攻击的规模和数量显著增加。

我们必须确保我们的系统准备就绪，以应对如此大规模的攻击。我们通过消除之前提到的可通过SIM卡交换进行钓鱼的凭证问题来防范未来的攻击，因为你要么拥有密钥，要么就没有。

攻击者可以不断尝试突破防线。但如果他们没有解锁账户或获取权限的加密密钥，就无法进入系统。这就是为什么我们必须摆脱这种基于知识的系统，因为它允许攻击者入侵，任务的关键所在。

在 web3 和加密货币领域又如何？

我认为，尤其是在 Web3 领域，其中一个威胁来自于这场试图吸引更多用户加入的大规模运动。我们必须让更多人进入这个空间，并且我们必须引导他们上手。虽然这是事实，但你会看到许多平台正在转向社交登录，以期简化用户的入门流程。

如果那些账户不安全，那么你所做的不过是将 Web2 的问题带入 Web3 世界，因为你又回到了密码、电子邮件以及那些老问题。

当黑客说道“我忘记了我的双重身份验证（2FA）”时，解决方案却是通过电子邮件链接来恢复账户，这会发生什么？黑客只需进行电话卡交换（SIM swap），我们就回到了原点。

我们不能将 Web2 的不安全性带入 Web3。

这一讨论呼应了“私钥不在，数字资产不属于你”的观点。但托管人和去中心化自治组织（DAO）呢？Arculus 能否支持多方系统，如多重签名？

我们与众多合作伙伴携手，并与多个系统协作。我们自信是最安全、最易用的密码学引擎，那么为何要对用户的使用方式加以限定呢？

我们可以开发例如 Gnosis 多重签名（Multi-Sig）这样的项目，在该多重签名生态系统中，我们可以为其中一个合约签名，成为 M 中的 M 签名者，并且您可以使用 Fido WebAuth 登录方式登录平台。

我们真诚地认为，我们是一套易于使用且灵活的密码学系统，能够同样轻松地应用于企业或中心化环境以及消费者领域。我认为，不同问题的解决方案也应有所不同。我们就像一把瑞士军刀，能够拿出合适的工具，助力解决问题。

我注意到 Arculus 同时与传统支付解决方案和 Web3 公司合作。您能对此进行详细说明吗？

当然。我们与 Solana、Aptos 和 Sui 等多个项目有广泛合作，专注于将 Web3 与支付相结合。正如我之前提到的，我们可以利用这些链采用的 Fido Web 认证标准来管理身份，实现一种便捷的零知识登录。此外，我们还能够协助支持这些网络上的支付功能。

我们是全球为数不多有幸制作 Visa、MasterCard 和 American Express 卡的人士之一。在最近的 Solana Hacker House 活动中，我们做了一场演讲，展示了如何通过触碰我们的卡片实现支付，这既可以通过 Visa 网络进行，也可以通过 Solana 网络上的 Solana Pay 实现触碰支付。

真正实现了那些支付系统的统一，利用稳定币作为支付和结算工具，将 Web3 引入到实际的日常应用场景中，我认为这非常出色。

在结束之前还有其他事情吗？

我想重申，易用性与安全性和简洁性的结合，确实使 Arculus 在该领域中具备成为领导者的优越条件。每当有人说，自我托管或冷存储太难时，只要将 Arculus 交到他们手中，就能赢得一个支持者。

借助我们的技术，我们真正实现了“轻触” Web3，使支付变得简单且安全。我们的技术旨在保护人们的数字资产和身份。