感謝中央情報局官員哈德森·詹姆森和薩姆森的回饋和審查。一家公司損失了2500萬美元的外匯,財務人員被騙子冒充財務長說服發送銀行電匯。深度仿冒在加密貨幣領域頻繁出現,品質不斷提高,難以區分真假。提出問題:安全驗證方式是什麼?安全專家建議使用安全問題進行驗證。安全問題需是獨特、難猜、讓人思考和需要注意的。安全問題包括預先約定的暗語、不易察覺的脅迫訊號、確認地址的多個通道等。保持安全仍然是可能的。
特別感謝中央情報局官員哈德森·詹姆森和薩姆森的回饋和審查。
在過去的一周裡,一家公司損失了2500 萬美元的外匯文章,當時一位財務人員被說服向一個冒充首席財務官的騙子發送銀行電匯……而這在當時非常有說服力力的深度格式化視訊通話中。
Deepfakes(深度仿冒,即,人工智慧生成的假音訊和視訊越來越頻繁地出現在加密貨幣領域和其他地方。在過去的幾個月裡,我的深度仿冒被用來宣傳各種騙局,還有狗幣。深度造假的品質正在迅速提高:雖然2020年的深度造假明顯而且嚴重得令人尷尬,但過去幾個月的深度造假正變得越來越難以區分。熟悉的人仍然可以識別出我最近的視頻,狗幣是的,因為我說“讓我們吧”,而我只用“LFG”來表示“尋找團隊”,但只聽過我幾次聲音的人很容易被說服。
我向安全專家們提到了上述2500萬美元的盜竊事件,他們一致確認,這是企業運營安全在多個方面上的異常和令人尷尬的失敗:標準做法是,在接近這個規模的轉移獲得批准在此之前,需要幾個等級的簽字。但即便如此,事實仍然是,到2024年,一個人的音訊或視訊串流不再是一種身分驗證方式。
這就提出了一個問題:什麼是安全的驗證方式?
唯一靠加密貨幣方法本身並不能解決問題
在各種情況下,能夠安全地對人進行身份驗證對人都是有價值的:恢復個人的社交恢復或鎖定錢包、批准商業交易的企業、個人使用大額交易(例如,投資)創業公司、買房、匯款)無論是用加密貨幣或法定貨幣,甚至是家庭成員在緊急情況下需要相互認證。因此,能夠有一個好的解決方案,在即將到來的相對容易的深度格式化時代中生存下來,這一點非常重要。
對於這個問題,我經常在加密貨幣圈聽到的一個答案是:「你可以透過提供一個地址的加密貨幣簽名來驗證自己的身份,這個地址附在你的ENS /個人證明配置文件/公共PGP密鑰上」。這是一個有吸引力的人的答案。然而,它完全忽略了為什麼在簽署交易時讓其他人參與是有用的。假設你是一個擁有個人密碼錢包的人,而且你正在發送記帳交易,你希望某些共同簽署者批准該交易。在什麼情況下他們會批准?如果他們相信你是真正希望發生的人。如果是駭客偷了你的鑰匙,或是綁匪,他們是不會同意的。在企業環境中,通常會有較多的防禦層。但如此,攻擊者也可能冒充管理員,不僅用於最終請求,還可能冒充中間過程的早期階段。他們甚至可以透過提供錯誤的地址來劫持正在進行的合法請求。
因此,在很多情況下,如果你用你的Key簽名,其他簽名者就會接受你就是你,這就破壞了整個意義:它把整合約變成了1對1的槓桿簽名,有人只需要控制你的單一鑰匙就可以竊取資金
這就是我們得到一個答案的地方,這個答案實際上是有道理的:安全問題。
安全問題
假設有人給你發短信,聲稱是你的朋友。他們用一個你從未見過的帳戶發短信,他們聲稱已經丟失了所有的設備。你如何確定他們就是他們所說的那個人?
有一個大致的答案:問一些只有他們自己知道的關於他們生活的事情。這些事情應該是:
1.你知道的
2.你希望他們記住
3.網路不知道
4.很難猜測
5.理想情況下,即使是存取企業和政府資料庫的人也不知道
問他們共同的經驗是很自然的。可能的例子包括:
•我們兩個上次見面的時候,晚餐是在哪家餐廳吃的,你吃了什麼?
•我們哪位朋友開了一個古代政治家的玩笑?是哪位政治家?
•我們最近看了哪部你不喜歡的電影?
•你上週的建議是我和____談談他們幫助我們做____研究的可能性?
最近有用於驗證我身份的安全問題的實際例子。
你的問題非常獨特。最好的是那些讓人思考的問題,需要一些注意甚至可能忘記答案的問題,但如果你問的人確實聲稱已經忘記了,請確保再問他們三個問題。詢問「絕大多數」細節(某人喜歡或不喜歡什麼,特定的笑話等)通常比詢問「宏觀」細節更好,因為之前通常更難以被第三方偶然挖礦出來。即使只有一個人在Instagram 上發了一張晚餐的照片,LLM也可能足夠快,能捕捉到這一點,並實時提供地點)。如果你的問題可能是可猜測的(從某種意義上說選項,只有幾個可能是有意義的) ,透過增加另一個問題來增加熵。
如果安全問題枯燥乏味,通常會停止參與,所以讓安全問題變得有趣是有益的它們可以是人們記憶中積極共同經歷的一種方式。它們可以成為一種激勵,讓你先真正擁有這些經驗。
補充安全問題
沒有哪一種安全策略是完美的,因此最好將多種技術組合在一起。
• 預先約定好的暗語:當你們在一起的時候,有意識地約定一個共享的暗號,以後你們可以用它來驗證彼此。
•也許你甚至可以在脅迫上達成一致:一個你可以毫無瑕疵地插入一個句子中的詞,它會悄悄地向對方發出你被脅迫或威脅的信號。這個詞應該足夠常見,當你使用它的時候有時會感覺很自然,但也應該足夠少,你不會不小心把它插入到你的演講中。
•當有人向你發送ETH地址時,請他們在多個通道上確認(例如:Signal和Twitter DM,在公司網站上,甚至透過共同的熟人)
•防禦中間人攻擊:訊號「安全號碼」、電報表情符號和類似的功能都很好理解和通知。
•每日限制與延遲:簡單中斷延遲強加後果嚴重且不可逆轉的行為。這可以在策略級別(預先同意簽署人在簽名前等待N小時或幾天)或代碼級別(在智能合約代碼中)施加限制和延遲)完成。
一種潛在的複雜攻擊,攻擊者在火箭流程的多個步驟中冒充執行人員並被授權人員。安全問題和晝夜都可以防止這種情況,兩者都可能更好。
安全問題很好,因為不像其他許多技術因為不適合人類而失敗,安全問題建立在人類天生善於記憶的資訊之上。我使用安全問題已經很多年了,這是一種習慣,實際上感覺很自然,並不尷尬,值得包含在你的工作流程中——除了你的其他保護層。
請注意,上述的「個人對個人」安全問題與「企業對個人」安全問題是非常不同的例子,例如當您在前往不同國家旅行後第17次失效信用卡時,當您打電話給銀行重新激活信用卡時,當你通過40分鐘煩惱人的音樂隊列時,銀行工作人員出現並詢問你的姓名,你的生日以及你最近的三筆交易。個人知道的問題與企業知道答案的問題類型非常不同。因此,有必要將這兩種情況分開考慮。
每個人的情況都是獨特的,因此,你與可能需要進行身份驗證的人員共享的唯一資訊類型因人而異。一般來說,最好是讓技術適應人,而不是讓適應技術一種技術不需要完美才能發揮作用:理想的方法是同時將多種技術組合在一起,並選擇最適合你的技術。在以後深度造假時代,我們確實需要調整自己的策略,以適應現在很容易造假和難以造假的新現實,但只要我們這樣做,保持安全仍然是可能的。
資訊來源:0x資訊編譯自網際網路。版權歸作者火星財經所有,未經許可,不得轉載