Ajukan pertanyaan keamanan

Terima kasih khusus kepada Hudson Jameson, OfficerCIA dan samczsun atas umpan balik dan ulasannya.

Selama seminggu terakhir, sebuah artikel beredar tentang sebuah perusahaan yang kehilangan $25 juta ketika seorang pekerja keuangan diyakinkan untuk mengirim transfer bank ke penipu yang berpura-pura menjadi CFO... melalui apa yang tampaknya merupakan panggilan video palsu yang sangat meyakinkan.

Deepfakes (yaitu. Audio dan video palsu yang dihasilkan oleh AI) semakin sering muncul baik di dunia kripto maupun di tempat lain. Selama beberapa bulan terakhir, deepfakes saya telah digunakan untuk mengiklankan semua jenis penipuan, serta koin anjing. Kualitas deepfakes meningkat dengan cepat: sementara deepfakes pada tahun 2020 sangat jelas dan buruk, deepfakes dari beberapa bulan terakhir semakin sulit untuk dibedakan. Seseorang yang mengenal saya dengan baik masih dapat mengidentifikasi video saya baru-baru ini yang menunjukkan koin anjing sebagai koin palsu karena saya mengatakan "mari kita pergi"padahal saya hanya pernah menggunakan "LFG" yang berarti "mencari kelompok", tetapi orang-orang yang hanya mendengar suara saya beberapa kali dapat dengan mudah diyakinkan.

Pakar keamanan yang saya sebutkan mengenai pencurian $25 juta di atas secara seragam mengonfirmasi bahwa ini merupakan kegagalan yang luar biasa dan memalukan dalam hal keamanan operasional perusahaan di berbagai tingkatan: praktik standarnya adalah memerlukan beberapa tingkat penandatanganan sebelum transfer yang mendekati jumlah tersebut dapat disetujui. Namun, faktanya tetap saja, pada tahun 2024, streaming audio atau bahkan video seseorang tidak lagi menjadi cara yang aman untuk mengautentikasi siapa mereka.

Hal ini menimbulkan pertanyaan: apa itu?

Metode kriptografi saja bukanlah jawabannya

Kemampuan untuk mengautentikasi orang dengan aman sangat berharga untuk semua jenis orang dalam semua jenis situasi: individu yang memulihkan pemulihan sosial atau dompet multisig mereka, perusahaan yang menyetujui transaksi bisnis, individu yang menyetujui transaksi besar untuk penggunaan pribadi (misal: untuk berinvestasi ke dalam startup, membeli rumah, mengirim pengiriman uang) baik dengan kripto atau dengan fiat, dan bahkan anggota keluarga yang perlu mengautentikasi satu sama lain dalam keadaan darurat. Jadi, sangatlah penting untuk memiliki solusi yang baik yang dapat bertahan di era deepfake yang relatif mudah.

Salah satu jawaban untuk pertanyaan ini yang sering saya dengar di kalangan kripto adalah: "Anda dapat mengautentikasi diri Anda dengan memberikan tanda tangan kriptografi dari alamat yang dilampirkan pada ENS / profil bukti kemanusiaan / kunci PGP publik Anda". Ini adalah jawaban yang menarik. Namun, hal ini sama sekali tidak menjelaskan mengapa melibatkan orang lain saat menandatangani transaksi sangat berguna. Misalkan Anda adalah seorang individu yang memiliki dompet multisig pribadi, dan Anda mengirimkan sebuah transaksi yang ingin disetujui oleh beberapa penanda tangan. Dalam keadaan apa mereka akan menyetujuinya? Jika mereka yakin bahwa Andalah yang benar-benar menginginkan transfer terjadi. Jika peretas yang mencuri kunci Anda, atau penculik, mereka tidak akan menyetujuinya. Dalam konteks perusahaan, Anda biasanya memiliki lebih banyak lapisan pertahanan; tetapi meskipun demikian, penyerang berpotensi menyamar sebagai manajer tidak hanya untuk permintaan akhir, tetapi juga untuk tahap-tahap awal dalam proses persetujuan. Mereka bahkan dapat membajak permintaan yang sah yang sedang berlangsung dengan memberikan alamat yang salah.

Dan dalam banyak kasus, penandatangan lain yang menerima bahwa Anda adalah Anda jika Anda menandatangani dengan kunci Anda akan membunuh seluruh poin: ini mengubah seluruh kontrak menjadi multisig 1-dari-1 di mana seseorang hanya perlu memegang kendali atas kunci tunggal Anda untuk mencuri dana!

Di sinilah kita sampai pada satu jawaban yang benar-benar masuk akal: pertanyaan keamanan.

Pertanyaan keamanan

Misalkan ada seseorang yang mengirimi Anda pesan yang mengaku sebagai orang tertentu yang merupakan teman Anda. Mereka mengirim pesan dari akun yang belum pernah Anda lihat sebelumnya, dan mereka mengklaim telah kehilangan semua perangkat mereka. Bagaimana Anda menentukan apakah mereka benar seperti yang mereka katakan?

Jawabannya sudah jelas: tanyakan hal-hal yang hanya mereka sendiri yang tahu tentang kehidupan mereka. Ini harus menjadi hal-hal yang:

1. Kau tahu.
2. Anda mengharapkan mereka untuk mengingat
3. Internet tidak tahu
4. Sulit ditebak
5. Idealnya, bahkan seseorang yang telah meretas basis data perusahaan dan pemerintah tidak tahu

Hal yang wajar untuk ditanyakan kepada mereka adalah pengalaman bersama. Contoh-contoh yang mungkin termasuk:

• Saat terakhir kali kita bertemu, di restoran mana kita makan malam, dan makanan apa yang Anda santap?
• Siapa di antara teman kita yang membuat lelucon tentang seorang politisi kuno? Dan politisi mana yang dimaksud?
• Film apa yang baru-baru ini kami tonton yang tidak Anda sukai?
• Anda menyarankan minggu lalu agar saya mengobrol dengan saya tentang kemungkinan mereka membantu kami dalam penelitian?

Contoh pertanyaan keamanan yang baru-baru ini digunakan seseorang untuk mengautentikasi saya.

Semakin unik pertanyaan Anda, semakin baik. Pertanyaan yang tepat di ujung tanduk di mana seseorang harus berpikir selama beberapa detik dan bahkan mungkin lupa jawabannya adalah pertanyaan yang bagus: tetapi jika orang yang Anda tanya mengaku lupa, pastikan untuk mengajukan tiga pertanyaan lagi. Menanyakan detail "mikro" (apa yang disukai atau tidak disukai seseorang, lelucon tertentu, dll) sering kali lebih baik daripada detail "makro", karena detail "mikro" biasanya lebih sulit untuk digali oleh pihak ketiga secara tidak sengaja (mis. jika satu orang saja mengunggah foto makan malam di Instagram, LLM modern mungkin cukup cepat untuk menangkapnya dan memberikan lokasinya secara real time). Jika pertanyaan Anda berpotensi dapat ditebak (dalam arti hanya ada beberapa pilihan yang masuk akal), tingkatkan entropi dengan menambahkan pertanyaan lain.

Orang sering kali akan berhenti terlibat dalam praktik keamanan jika membosankan dan membosankan, jadi akan lebih baik jika pertanyaan keamanan dibuat menyenangkan! Mereka bisa menjadi cara untuk mengingat pengalaman bersama yang positif. Dan mereka dapat menjadi insentif untuk benar-benar memiliki pengalaman tersebut sejak awal.

Pelengkap untuk pertanyaan keamanan

Tidak ada satu strategi keamanan yang sempurna, dan karena itu selalu lebih baik untuk menggabungkan beberapa teknik.

• Kata-kata kode yang telah disepakati sebelumnya: ketika Anda sedang bersama, sepakati kata kode bersama yang nantinya dapat digunakan untuk mengautentikasi satu sama lain.
• Bahkan mungkin menyepakati kunci paksaan: sebuah kata yang bisa Anda masukkan ke dalam kalimat yang secara diam-diam akan memberi sinyal kepada pihak lain bahwa Anda sedang dipaksa atau diancam. Kata ini harus cukup umum sehingga akan terasa alami saat Anda menggunakannya, tetapi cukup jarang sehingga Anda tidak akan secara tidak sengaja menyisipkannya ke dalam pidato Anda.
• Ketika seseorang mengirimi Anda alamat ETH, mintalah mereka untuk mengonfirmasikannya di beberapa saluran (mis. Signal dan DM Twitter, di situs web perusahaan, atau bahkan melalui kenalan bersama)
• Berjaga-jaga terhadap serangan orang dalam: Sinyal "nomor pengaman", emoji Telegram, dan fitur-fitur serupa lainnya adalah hal yang baik untuk dipahami dan diwaspadai.
• Batas dan penundaan harian: hanya memberlakukan penundaan pada tindakan yang sangat konsekuen dan tidak dapat diubah. Hal ini dapat dilakukan baik pada tingkat kebijakan (pra-sepakat dengan penandatangan bahwa mereka akan menunggu selama N jam atau hari sebelum penandatanganan) atau pada tingkat kode (memberlakukan batas dan penundaan dalam kode kontrak pintar)

Potensi serangan canggih di mana penyerang menyamar sebagai eksekutif dan penerima hibah pada beberapa langkah proses persetujuan. Pertanyaan keamanan dan penundaan dapat mencegah hal ini; mungkin lebih baik menggunakan keduanya.

Pertanyaan keamanan sangat bagus karena, tidak seperti banyak teknik lain yang gagal karena tidak ramah terhadap manusia, pertanyaan keamanan dibuat berdasarkan informasi yang secara alamiah dapat diingat oleh manusia. Saya telah menggunakan pertanyaan keamanan selama bertahun-tahun, dan ini adalah kebiasaan yang sebenarnya terasa sangat alami dan tidak canggung, dan layak dimasukkan ke dalam alur kerja Anda - di samping lapisan perlindungan Anda yang lain.

Perhatikan bahwa pertanyaan keamanan "individu-ke-individu" seperti yang dijelaskan di atas adalah kasus penggunaan yang sangat berbeda dengan pertanyaan keamanan "perusahaan-ke-perusahaan", seperti saat Anda menelepon bank Anda untuk mengaktifkan kembali kartu kredit Anda setelah dinonaktifkan untuk ke-17 kalinya setelah Anda bepergian ke negara lain, dan setelah Anda melewati antrean musik yang menjengkelkan selama 40 menit, seorang karyawan bank muncul dan menanyakan nama Anda, ulang tahun Anda, dan mungkin tiga transaksi terakhir Anda. Jenis pertanyaan yang diketahui jawabannya oleh seorang individu sangat berbeda dengan pertanyaan yang diketahui jawabannya oleh perusahaan. Oleh karena itu, ada baiknya memikirkan kedua kasus ini secara terpisah.

Situasi setiap orang itu unik, sehingga jenis informasi bersama yang unik yang Anda miliki dengan orang-orang yang mungkin perlu Anda autentikasi berbeda untuk setiap orang. Secara umum, lebih baik menyesuaikan teknik dengan orangnya, dan bukannya orangnya yang menyesuaikan tekniknya. Suatu teknik tidak harus sempurna untuk bisa berhasil: pendekatan yang ideal adalah menggabungkan beberapa teknik secara bersamaan, dan memilih teknik yang paling sesuai untuk Anda. Di dunia pasca-pemalsuan, kita memang perlu menyesuaikan strategi kita dengan realitas baru tentang apa yang sekarang mudah dipalsukan dan apa yang masih sulit dipalsukan, tetapi selama kita melakukannya, tetap aman akan tetap memungkinkan.

Penafian: Penafian

1. Artikel ini dicetak ulang dari[VitalikButerin], Semua hak cipta adalah milik penulis asli[Vitalik Buterin]. Jika ada keberatan dengan pencetakan ulang ini, silakan hubungi tim Gate Learn, dan mereka akan segera menanganinya.
2. Penafian Tanggung Jawab: Pandangan dan pendapat yang diungkapkan dalam artikel ini semata-mata merupakan pandangan dan pendapat penulis dan bukan merupakan saran investasi.
3. Penerjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel terjemahan dilarang.