Đặt câu hỏi bảo mật

Đặc biệt cảm ơn Hudson Jameson, Cán bộ CIA và samczsun vì những phản hồi và đánh giá.

Trong tuần qua, một bài báo đã lan truyền về một công ty đã thua lỗ 25 triệu đô la khi một nhân viên tài chính bị thuyết phục gửi chuyển khoản ngân hàng cho một kẻ lừa đảo giả danh CFO… về những gì dường như là một cuộc gọi điện video giả mạo rất thuyết phục .

Deepfakes (tức là. Âm thanh và video giả do AI tạo ra) đang xuất hiện ngày càng thường xuyên cả trong không gian tiền điện tử và các nơi khác. Trong vài tháng qua, deepfake của tôi đã được sử dụng để quảng cáo đủ loại lừa đảo, cũng như coin chó. Chất lượng của các bản deepfake đang được cải thiện nhanh chóng: trong khi các bản deepfake của năm 2020 rõ ràng và tệ đến mức đáng xấu hổ, thì những bản deepfake trong vài tháng qua ngày càng khó phân biệt. Một người biết rõ về tôi vẫn có thể xác định video gần đây quay cảnh tôi tung đồng xu cho chó là giả vì trong đó tôi nói “đithôinào” trong khi tôi chỉ từng sử dụng “LFG” có nghĩa là “tìm kiếm nhóm”, nhưng những người chỉ nghe giọng tôi vài lần cũng có thể dễ dàng bị thuyết phục.

Các chuyên gia bảo mật mà tôi đã đề cập đến vụ trộm trị giá 25 triệu USD ở trên đều xác nhận rằng đó là một thất bại đặc biệt và đáng xấu hổ về bảo mật vận hành doanh nghiệp ở nhiều cấp độ: thông lệ tiêu chuẩn là yêu cầu nhiều cấp độ phê duyệt trước khi chuyển giao đến bất kỳ nơi nào có quy mô gần với quy mô đó. tán thành. Tuy nhiên, thực tế vẫn là kể từ năm 2024, luồng âm thanh hoặc thậm chí video của một người không còn là cách an toàn để xác thực họ là ai.

Điều này đặt ra câu hỏi: là gì?

Chỉ riêng phương pháp mã hóa không phải là câu trả lời

Khả năng xác thực mọi người một cách an toàn có giá trị đối với tất cả mọi người trong mọi tình huống: các cá nhân khôi phục sự phục hồi xã hội hoặc ví multisig, doanh nghiệp phê duyệt giao dịch kinh doanh, cá nhân phê duyệt các giao dịch lớn cho mục đích sử dụng cá nhân (ví dụ: đầu tư vào một công ty khởi nghiệp, mua một ngôi nhà, gửi tiền) cho dù bằng tiền điện tử hay tiền pháp định, và thậm chí cả các thành viên trong gia đình cần xác thực lẫn nhau trong trường hợp khẩn cấp. Vì vậy, điều thực sự quan trọng là phải có một giải pháp tốt có thể tồn tại trong kỷ nguyên deepfake tương đối dễ dàng sắp tới.

Một câu trả lời cho câu hỏi này mà tôi thường nghe trong giới tiền điện tử là: “bạn có thể xác thực chính mình bằng cách cung cấp chữ ký mật mã từ một địa chỉ được đính kèm với ENS / hồ sơ bằng chứng nhân loại / khóa PGP công khai của bạn”. Đây là một câu trả lời hấp dẫn. Tuy nhiên, nó hoàn toàn bỏ sót lý do tại sao ngay từ đầu việc lôi kéo người khác tham gia vào các giao dịch lại hữu ích. Giả sử bạn là một cá nhân có ví multisig cá nhân và bạn đang gửi một giao dịch mà bạn muốn một số người đồng ký tên phê duyệt. Trong hoàn cảnh nào họ sẽ chấp nhận nó? Nếu họ tin tưởng rằng bạn là người thực sự muốn việc chuyển nhượng diễn ra. Nếu đó là hacker đã đánh cắp chìa khóa của bạn hoặc kẻ bắt cóc, họ sẽ không chấp nhận. Trong bối cảnh doanh nghiệp, bạn thường có nhiều lớp phòng thủ hơn; nhưng thậm chí, kẻ tấn công vẫn có khả năng mạo danh người quản lý không chỉ đối với yêu cầu cuối cùng mà còn đối với các giai đoạn trước đó trong quy trình phê duyệt. Họ thậm chí có thể chiếm đoạt một yêu cầu hợp pháp đang được xử lý bằng cách cung cấp sai địa chỉ.

Và vì vậy, trong nhiều trường hợp, những người ký khác chấp nhận rằng bạn là bạn nếu bạn ký bằng chìa khóa của mình sẽ phá bỏ toàn bộ quan điểm: nó biến toàn bộ hợp đồng thành một hợp đồng đa chữ ký 1 trong 1 trong đó ai đó chỉ cần nắm quyền kiểm soát chìa khóa duy nhất của bạn trong để cướp tiền!

Đây là nơi chúng ta có được một câu trả lời thực sự có ý nghĩa: các câu hỏi bảo mật.

Câu hỏi bảo mật

Giả sử có ai đó nhắn tin cho bạn tự xưng là một người cụ thể và là bạn của bạn. Họ đang nhắn tin từ một tài khoản mà bạn chưa từng thấy trước đây và họ tuyên bố rằng họ đã mất tất cả thiết bị. Làm thế nào để bạn xác định được họ có phải là người như họ nói hay không?

Có một câu trả lời rõ ràng: hãy hỏi họ những điều mà chỉ họ mới biết về cuộc sống của họ. Đây phải là những thứ:

1. Bạn biết
2. Bạn mong họ nhớ
3. Internet không biết
4. Rất khó đoán
5. Lý tưởng nhất là ngay cả người đã hack cơ sở dữ liệu của công ty và chính phủ cũng không biết

Điều tự nhiên để hỏi họ là những kinh nghiệm được chia sẻ. Các ví dụ có thể bao gồm:

• Khi hai chúng ta gặp nhau lần cuối, chúng ta đã ăn tối ở nhà hàng nào và bạn đã ăn món gì?
• Ai trong số những người bạn của chúng ta đã nói đùa về một chính trị gia cổ đại? Và đó là chính trị gia nào?
• Gần đây chúng ta đã xem bộ phim nào mà bạn không thích?
• Tuần trước bạn đã đề nghị tôi trò chuyện về khả năng họ giúp chúng tôi nghiên cứu?

Ví dụ thực tế về câu hỏi bảo mật mà gần đây ai đó đã sử dụng để xác thực tôi.

Câu hỏi của bạn càng độc đáo thì càng tốt. Những câu hỏi khiến người khác phải suy nghĩ trong vài giây và thậm chí có thể quên câu trả lời là tốt: nhưng nếu người bạn đang hỏi khẳng định đã quên, hãy nhớ hỏi họ thêm ba câu nữa. Hỏi về những chi tiết “vi mô” (điều ai đó thích hoặc không thích, những câu chuyện cười cụ thể, v.v.) thường tốt hơn những chi tiết “vĩ mô”, bởi vì những chi tiết “vi mô” thường khó để bên thứ ba vô tình tìm hiểu được (ví dụ: nếu thậm chí một người đăng ảnh bữa tối lên Instagram, LLM hiện đại có thể đủ nhanh để nắm bắt điều đó và cung cấp vị trí trong thời gian thực). Nếu câu hỏi của bạn có khả năng đoán được (theo nghĩa là chỉ có một vài lựa chọn tiềm năng hợp lý), hãy tăng entropy bằng cách thêm một câu hỏi khác.

Mọi người thường sẽ ngừng tham gia vào các hoạt động bảo mật nếu chúng buồn tẻ và nhàm chán, vì vậy, việc làm cho các câu hỏi bảo mật trở nên thú vị là điều tốt cho sức khỏe! Chúng có thể là một cách để ghi nhớ những trải nghiệm được chia sẻ tích cực. Và chúng có thể là động lực để bạn thực sự có được những trải nghiệm đó ngay từ đầu.

Bổ sung cho câu hỏi bảo mật

Không có chiến lược bảo mật nào là hoàn hảo và do đó, tốt nhất bạn nên kết hợp nhiều kỹ thuật lại với nhau.

• Các từ mã được thỏa thuận trước: khi ở cùng nhau, hãy cố tình đồng ý về một từ mã được chia sẻ mà sau này các bạn có thể sử dụng để xác thực lẫn nhau.
• Thậm chí có thể đồng ý về một từ khóa cưỡng ép: một từ mà bạn có thể ngây thơ chèn vào một câu để ra tín hiệu lặng lẽ cho đối phương biết rằng bạn đang bị ép buộc hoặc bị đe dọa. Từ này phải đủ phổ biến để bạn cảm thấy tự nhiên khi sử dụng nó, nhưng đủ hiếm để bạn không vô tình chèn nó vào bài phát biểu của mình.
• Khi ai đó gửi cho bạn địa chỉ ETH, hãy yêu cầu họ xác nhận địa chỉ đó trên nhiều kênh (ví dụ: Signal và Twitter DM, trên trang web của công ty hoặc thậm chí thông qua người quen chung)
• Bảo vệ chống lại các cuộc tấn công trung gian: Tín hiệu “số an toàn“, biểu tượng cảm xúc Telegram và các tính năng tương tự đều cần được hiểu và chú ý.
• Giới hạn và độ trễ hàng ngày: chỉ cần áp đặt độ trễ đối với các hành động có hậu quả cao và không thể thay đổi được. Điều này có thể được thực hiện ở cấp chính sách (thỏa thuận trước với người ký rằng họ sẽ đợi N giờ hoặc ngày trước khi ký) hoặc ở cấp mã (áp đặt giới hạn và độ trễ trong mã hợp đồng thông minh)

Một cuộc tấn công phức tạp tiềm ẩn trong đó kẻ tấn công mạo danh người điều hành và người được cấp quyền ở nhiều bước của quy trình phê duyệt. Các câu hỏi bảo mật và sự chậm trễ đều có thể ngăn chặn điều này; có lẽ tốt hơn nên sử dụng cả hai.

Các câu hỏi bảo mật rất hay bởi vì, không giống như nhiều kỹ thuật khác thất bại vì chúng không thân thiện với con người, các câu hỏi bảo mật được xây dựng dựa trên thông tin mà con người vốn có khả năng ghi nhớ tốt. Tôi đã sử dụng các câu hỏi bảo mật trong nhiều năm và đó thực sự là một thói quen rất tự nhiên, không gây khó xử và đáng được đưa vào quy trình làm việc của bạn - bên cạnh các lớp bảo vệ khác của bạn.

Lưu ý rằng các câu hỏi bảo mật “cá nhân với cá nhân” như được mô tả ở trên là trường hợp sử dụng rất khác với các câu hỏi bảo mật “doanh nghiệp với cá nhân”, chẳng hạn như khi bạn gọi ngân hàng để kích hoạt lại thẻ tín dụng của mình sau khi thẻ bị vô hiệu hóa vào ngày 17 thời gian sau khi bạn đi du lịch đến một quốc gia khác và khi bạn vượt qua hàng dài 40 phút nghe nhạc khó chịu, một nhân viên ngân hàng xuất hiện và hỏi tên, ngày sinh của bạn và có thể là ba giao dịch cuối cùng của bạn. Các loại câu hỏi mà một cá nhân biết câu trả lời rất khác với những câu hỏi mà doanh nghiệp biết câu trả lời. Do đó, đáng để xem xét hai trường hợp này một cách riêng biệt.

Hoàn cảnh của mỗi người là duy nhất và do đó, loại thông tin được chia sẻ duy nhất mà bạn có với những người mà bạn có thể cần xác thực sẽ khác nhau đối với những người khác nhau. Nói chung, tốt hơn là nên điều chỉnh kỹ thuật cho phù hợp với con người chứ không phải con người phù hợp với kỹ thuật. Một kỹ thuật không cần phải hoàn hảo mới có hiệu quả: cách tiếp cận lý tưởng là kết hợp nhiều kỹ thuật cùng một lúc và chọn những kỹ thuật phù hợp nhất với bạn. Trong thế giới hậu deepfake, chúng ta cần điều chỉnh các chiến lược của mình cho phù hợp với thực tế mới về những gì hiện nay dễ làm giả và những gì vẫn khó giả mạo, nhưng miễn là chúng ta làm như vậy thì việc giữ an toàn vẫn tiếp tục là điều hoàn toàn có thể thực hiện được.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được in lại từ [Vitalik Buterin], Mọi bản quyền thuộc về tác giả gốc [Vitalik Buterin]. Nếu có ý kiến phản đối việc tái bản này, vui lòng liên hệ với nhóm Gate Learn , họ sẽ xử lý kịp thời.
2. Tuyên bố miễn trừ trách nhiệm pháp lý: Các quan điểm và ý kiến trình bày trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Việc dịch bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch đều bị cấm.