Web3 लॉगिन का भविष्य है…ईमेल और पासवर्ड?! 

एम्बिरे में संचार प्रबंधक इवान मांचेव द्वारा

क्रिप्टो और डेफी को व्यापक रूप से अपनाने से पहले चुनौतियों में से एक प्रमुख प्रबंधन है। आश्चर्यजनक रूप से, ईमेल लॉगिन की वेब2 अवधारणा इसे हल कर सकती है - यहां तक ​​कि गैर-हिरासत में भी।

बीज वाक्यांशों पर

1. अकेला 2. चकाचौंध 3. पवित्रता 4. भीतरी 5. झूठा 6. तार। .... ???

क्या आपको याद है कि पहली बार आपसे एक बीज वाक्यांश लिखने के लिए कहा गया था? शायद आप भ्रमित थे: 

• इसे केवल नोट्स में चिपकाने के बजाय कागज़ पर क्यों लिखें?
• क्या आपको हर बार Web3 ऐप्स में "लॉगिन" करने के लिए यह सब लिखना होगा?
• क्या आप उन शब्दों को अधिक परिचित शब्दों में बदल सकते हैं?
• उह, क्या वे सिर्फ पासवर्ड या कुछ और नहीं मांग सकते?

बीज वाक्यांश उतने बुरे नहीं हैं, लेकिन यदि आपको पता नहीं है कि क्रिप्टोग्राफी कैसे काम करती है तो वे बहुत अजीब लगते हैं। और अधिकांश लोगों को पता नहीं है कि क्रिप्टोग्राफी कैसे काम करती है। 

अभी, 99% नौसिखिया वेब3 उपयोगकर्ता खातों और ऐप्स के लिए प्रमाणीकरण के रूप में ईमेल/पासवर्ड का उपयोग करने के वर्षों से प्राप्त वेब2 अनुभव के साथ आते हैं। और जबकि क्रिप्टो कंपनियां और वॉलेट उपयोगकर्ताओं को शिक्षित करने की पूरी कोशिश कर रहे हैं, भ्रम अपरिहार्य लगता है और हमेशा छिपे रहने वाले घोटालेबाजों के लिए अनगिनत अवसर खोलता है। 

बस इस प्रयोग को आज़माएं - Google "कर्व" या "एवे" या "यूनीस्वैप" पर जाएं और पहला विज्ञापन परिणाम प्राप्त करें। कनेक्ट करने का प्रयास करें और आप बीज वाक्यांशों से जुड़े सबसे आम सोशल इंजीनियरिंग घोटाले का अनुभव करेंगे - वेबसाइटें मेटामास्क की नकल करती हैं और गुमराह उपयोगकर्ताओं से उनके बीज वाक्यांश पूछती हैं। (वास्तव में ऐसा न करें - कृपया कम से कम अपना बीज वाक्यांश न लिखें!)

यह हर समय हो रहा है और 2021 उत्कृष्ट समस्या का एक अद्भुत उदाहरण था। एनएफटी की बढ़ती लोकप्रियता के साथ, पिछले साल कई नए उपयोगकर्ता क्रिप्टो पार्टी में शामिल हुए। उनमें से कुछ इतने भाग्यशाली थे कि उन्होंने बोरेड एप यॉट क्लब एनएफटी खरीदा और इसकी कीमत 1000 गुना बढ़ी... लेकिन खराब वॉलेट कुंजी प्रबंधन के कारण यह चोरी हो गई।

तो फिर हम अभी भी पासवर्ड के बजाय बीज वाक्यांशों का उपयोग क्यों कर रहे हैं?

दुर्भाग्य से, सामान्य एथेरियम पते एक निजी कुंजी - पाठ की एक लंबी स्ट्रिंग - के साथ अनलॉक किए जाते हैं। यदि आपकी कुंजी आपके पास है, तो आप अपने पते के साथ जो चाहें कर सकते हैं। आप या तो अपनी कुंजी किसी फ़ाइल में रखते हैं और वॉलेट को अनलॉक करने के लिए इसे आयात करते हैं, या आप बीज वाक्यांश निमोनिक्स का उपयोग करते हैं। निजी कुंजी के स्थान पर पासवर्ड डालने का कोई तरीका नहीं है... 

...ठीक है, वास्तव में एक रास्ता है, लेकिन आपके बटुए पर पूर्ण नियंत्रण की कीमत पर। कुछ सेवाएँ अपने उपयोगकर्ताओं के लिए निजी कुंजी रखती हैं और उन्हें अपने वॉलेट को अनलॉक करने के लिए पासवर्ड का उपयोग करने देती हैं। यह ऑनबोर्डिंग को सक्षम बनाता है लेकिन विकेंद्रीकरण के मूल सिद्धांतों में से एक को तोड़ता है और यह पारंपरिक सेवाओं के काम करने के तरीके से बहुत अलग नहीं है। आप जिस सेवा का उपयोग कर रहे हैं वह किसी भी समय आपकी पहुंच में कटौती कर सकती है।

लेकिन क्या होगा अगर मैं आपसे कहूं कि वास्तव में आपकी चाबी रखते हुए, ईमेल और पासवर्ड से आपके वॉलेट को अनलॉक करने का एक तरीका है?

यहाँ स्मार्ट वॉलेट आते हैं

स्मार्ट वॉलेट पर अतीत में बहुत चर्चा हुई है: आपने "अकाउंट एब्स्ट्रैक्शन" नामक एक समान अवधारणा के बारे में सुना होगा। 

मूल रूप से विचार यह है कि प्रत्येक एथेरियम खाता एक स्मार्ट अनुबंध होगा, जो क्रिप्टो यूएक्स को बढ़ाने के लिए बहुत सारे अवसर खोलता है। इस लेख के प्रयोजन के लिए हम मुख्य प्रबंधन पर ध्यान केंद्रित करेंगे। 

किसी खाते को सुरक्षित करने के लिए केवल एक क्रिप्टोग्राफ़िक कुंजी का उपयोग करने के बजाय, स्मार्ट वॉलेट कुछ नियमों का उपयोग करके कई कुंजियों का उपयोग करने की अनुमति देते हैं। उदाहरण के लिए, आप 2 कुंजियों द्वारा नियंत्रित होने के लिए एक खाता सेट कर सकते हैं, उनमें से एक आपका मोबाइल डिवाइस है और दूसरा आपका ट्रेजर हार्डवेयर वॉलेट है, मोबाइल डिवाइस में सीमित अनुमतियां और दैनिक खर्च हैं, जबकि ट्रेजर असीमित है। या आप अपने खाते को पुनर्प्राप्त करने के लिए अपने निकटतम लोगों द्वारा नियंत्रित मल्टीसिग को अनुमति देकर तथाकथित सामाजिक पुनर्प्राप्ति स्थापित कर सकते हैं। 

सरल शब्दों में कहें तो, स्मार्ट वॉलेट स्मार्ट कॉन्ट्रैक्ट हैं जिन्हें एक से अधिक क्रिप्टोग्राफ़िक कुंजी द्वारा नियंत्रित किया जा सकता है - यह वॉलेट तक पहुंच को "विकेंद्रीकृत" करता है और विभिन्न सेटअपों को सक्षम करता है जिसमें आप लॉगिन उपयोगकर्ता अनुभव को बदल सकते हैं।

जैसा कि आपने इस बिंदु पर अनुमान लगाया होगा, उनमें से एक ईमेल और पासवर्ड का उपयोग करना है। 

ईमेल और पासवर्ड पंजीकरण के साथ एक गैर-कस्टोडियल स्मार्ट वॉलेट कैसे बनाएं

हम पहले से ही जानते हैं कि एक स्मार्ट कॉन्ट्रैक्ट वॉलेट को दो या दो से अधिक कुंजियों द्वारा नियंत्रित किया जा सकता है। एम्बायर वॉलेट बनाते समय, हमने इस सुविधा को आगे बढ़ाने और उपयोगकर्ता के खाते के स्वामित्व से समझौता किए बिना ईमेल/पासवर्ड पंजीकरण सक्षम करने का निर्णय लिया। 

एम्बायर वेब2 ऐप्स की तरह एक ईमेल और पासवर्ड के साथ पारंपरिक प्रमाणीकरण लागू करता है। यह प्रमाणीकरण मोड गैर-कस्टोडियल है: यह ऑन-चेन दो-कुंजी मल्टीसिग के माध्यम से काम करता है। इनमें से एक कुंजी ब्राउज़र स्टोरेज में संग्रहीत होती है और उपयोगकर्ता के पासवर्ड से एन्क्रिप्ट की जाती है, और दूसरी कुंजी हार्डवेयर सुरक्षा मॉडल (एचएसएम) के माध्यम से हमारे बैकएंड पर संग्रहीत होती है।

आप दो कुंजियों में से केवल एक का उपयोग करके धन तक नहीं पहुंच सकते हैं, उदाहरण के लिए यदि आप एक हमलावर हैं जिसने किसी उपयोगकर्ता (उदाहरण के लिए मैलवेयर के माध्यम से) या एचएसएम से सफलतापूर्वक समझौता किया है। 

हालाँकि, पुनर्प्राप्ति प्रक्रिया केवल एक कुंजी से शुरू की जा सकती है। पुनर्प्राप्ति प्रक्रिया दो कुंजियों में से एक का समयबद्ध परिवर्तन है। यदि पुनर्प्राप्ति प्रक्रिया अनपेक्षित थी (उदाहरण के लिए किसी हमलावर द्वारा शुरू की गई), तो कोई अन्य कुंजी धारक इसे रद्द कर सकता है। लेकिन अगर इसे वैध तरीके से शुरू किया गया था (उदाहरण के लिए यदि आपने दो में से एक कुंजी खो दी है या आप अपना पासवर्ड भूल गए हैं), तो आप बस टाइमलॉक की प्रतीक्षा कर सकते हैं, और इसके बाद आपको अपने खाते तक पहुंच प्राप्त होगी।

संक्षेप में कहें तो, ईमेल/पासवर्ड खाते बहु-हस्ताक्षर वाले वॉलेट हैं, जो अनलॉक होते हैं:

• जब 2 हस्ताक्षर प्रदान किए जाते हैं - संचालन के सामान्य मोड में उपयोग किया जाता है; या
• जब 1 हस्ताक्षर प्रदान किया जाता है, लेकिन टाइमलॉक के साथ; पासवर्ड पुनर्प्राप्ति के लिए या एम्बायर बैकएंड अनुपलब्ध होने की स्थिति में उपयोग किया जाता है।

दूसरी कुंजी आम तौर पर लेनदेन के लिए विशिष्ट (हैश से प्राप्त) पुष्टिकरण कोड द्वारा अनलॉक की जाती है, लेकिन अन्य प्रमाणीकरण विधियों जैसे ओटीपी 2एफए या फेसआईडी का उपयोग किया जा सकता है।

इस मॉडल का एक अतिरिक्त लाभ यह है कि दूसरी कुंजी अतिरिक्त सुरक्षा नियमों को लागू कर सकती है जैसे खर्च सीमा और दुर्भावनापूर्ण अनुबंध या कॉल की जांच करना (उदाहरण के लिए ईओए के लिए अनंत अनुमोदन)। चूंकि उन नियमों को एचएसएम द्वारा ऑफ-चेन जांचा जाता है, इसलिए उन्हें आसानी से संशोधित या बढ़ाया जा सकता है। इसके अलावा, भविष्य में एआई या एमएल के उपयोग को सक्षम करते हुए, बिना किसी अतिरिक्त गैस लागत के परिष्कृत जांच की जा सकती है।

यदि आप इसके बारे में अधिक जानने के लिए उत्सुक हैं, तो आपको इसे देखना चाहिए एम्बायर वॉलेट का सुरक्षा मॉडल.

यह कैसा चल रहा है

हमने अपने सुरक्षा मॉडल के दो महीने के तेजी से परीक्षण के बाद दिसंबर में एम्बायर वॉलेट जारी किया। 45,000 से अधिक उपयोगकर्ताओं ने तब से पंजीकरण कराया है और अनुमान लगाया है कि - अधिकांश खाते ईमेल और पासवर्ड द्वारा नियंत्रित होते हैं। फिलहाल हम इस साल की पहली छमाही में आईओएस और एंड्रॉइड के लिए वॉलेट का एक मोबाइल संस्करण जारी करने पर काम कर रहे हैं। यह ईमेल+पासवर्ड पंजीकरण मॉडल की सच्ची परीक्षा होगी क्योंकि हम उन लोगों को आकर्षित करने की उम्मीद करते हैं जिनके पास पिछला Web3 अनुभव नहीं है। 

यदि आप एम्बायर वॉलेट आज़माने में रुचि रखते हैं, तो यहां जाएं https://www.ambire.com/ और एक मिनट से भी कम समय में अपना खाता बनाएं।