2月4日,一家跨國公司的員工在視訊電話會議中被騙2500萬美元,詐騙者利用財務深度充值技術冒充該公司財務長。 Vitalik認為加密貨幣並不能解決所有問題,他提出設定安全問題值得將其納入工作流程。由於深度偽造技術的出現,安全驗證變得更加困難。對於這個問題,Vitalik提出了安全問題這個解決方案。此方法利用人類天生擅長記憶的資訊基礎,能夠安全地驗證身份。他還建議多種技術組合在一起,並選擇最適合自己的技術。
原文標題:《問安全問題》
譯者:Vitalik
編譯:Luccy,BlockBeats
編按:
2月4日,一家跨國公司的一名人員在視訊電話會議中被騙2500萬美元,詐騙者利用財務深度充值技術冒充該公司財務長。駐英國首席財務官的消息後懷疑是一次網絡釣魚電子郵件,因為它說話需要進行秘密交易。然而在視訊通話後,員工提出了最初的疑慮,因為其他出席者的目光和傾聽起來都像他認識的同事,但實際上所有權都是深度偽造的娛樂產品。
對此,Vitalik 認為加密貨幣並不能解決所有問題,他指出利用人類天生擅長記憶的資訊基礎,設定安全問題值得將其納入除其他保護層之外的工作流程中。但他也同時表示,雖然安全問題有用,但目前還不夠人性化。 BlockBeats 將編譯版本如下:
特別感謝Hudson Jameson、OfficerCIA 和samczsun 的回饋和審查。
最近一周有一篇文章在波蘭,講述一家公司因一名財務工作人員被騙向首席財務官的騙子匯款而損失了2500萬美元,而這似乎是通過一次非常假的深度偽造(Deepfake)視頻實施通話的。
最近,深度格式化技術(即由人工智慧產生的假音訊和視訊)在加密貨幣領域以及其他領域越來越頻繁地出現。在過去的幾個月裡,我的深度格式化技術被用來兜售各種騙局和狗狗幣。深度偽造的品質正在迅速提高,雖然2020年的深度偽造影片非常糟糕,但最近幾個月已經變得越來越難以區分。熟悉我的人仍然可以識別出我兜售狗幣的視頻是假的,因為視頻中的我在說“let’s f***ing go”,而我只用“LFG”表示“尋找團體”,但只聽過我幾次聲音的人可能很容易上當。
我向安全專家提及上述2500萬美元被盜的情況,他們一致認為這是企業運營安全在多個層面上出現的異常而尷尬的失敗,標準做法是在需要批准任何近似該回合的回合之前多個層次的具體。但仍然存在這樣一個事實:到2024年,一個人的音訊甚至視訊串流已不再是確認其身份的安全方式。
這就引發了一個問題:什麼才是安全的身份驗證方式?
核心技術是加密貨幣方法並不能解決問題
能夠安全地驗證人們對於各種情況下的各種人的身份非常重要:個人需要恢復其鎖鏈簽名或社交恢復錢包、企業需要批准商業交易、個人需要批准用於個人用途的大筆交易(例如投資企業、購買房屋、匯款),無論是使用加密貨幣或法定貨幣,甚至是家庭成員在情況緊急下需要相互驗證。因此,我們需要一個良好的解決方案,能夠應對即將到來的深度格式化視訊時代。
在加密貨幣圈,我經常聽到的對這個問題的一個回答是:「你可以透過提供你的ENS / 人類證明設定檔/ 公共PGP 金鑰的位址的加密貨幣簽名來驗證自己」。這個答案很吸引人然而,它完全忽略了為什麼在簽署交易時讓其他人參與是有用的。假設你代表擁有個人鎖定簽名錢包的個人用戶,並且你正在發送一個需要一些共同簽署者批准的交易。他們什麼情況會批准嗎?當他們確信你是真正想要進行交易的人。如果他們判斷交易者是個偷了你鑰匙的駭客,或是一個綁匪,他們不會批准交易。在企業中,通常會有更多層次的防禦措施;但即便如此,攻擊者可能會冒充經理,並且不僅僅是最終請求,還涉及軟骨過程中的早期階段。他們甚至可能透過提供錯誤的地址劫持發射的合法請求。
因此,在很多情況下,其他簽署者接受你用你的密鑰簽名來確認“你是你”的做法就毀了整個目的:將使整個契約變成一個1 對1 的按鈕簽名,只需要控制你的單一密鑰竊取資金
這就是我們給的一個實際上有些意義的答案:安全問題。
安全問題
假設有人給你發短信,聲稱是你的朋友某某。他們用你以前從未見過的帳戶發短信,聲稱已經丟失了所有設備。你如何確定他們是否是本人?
有一個大致的答案:詢問只有他們才會知道的事情,這些事情應該與以下有關:
·你知道的
·你希望他們記得的
· 網路不知道的
· 難以想像的
· 理想情況下,即使是那些已經入侵了企業和政府資料庫的人也不知道的
自然而然地問他們關於共同經驗的事情,例如:
· 我們上次見面時,在哪家餐廳吃晚餐了,你吃了什麼食物?
· 我們的哪個朋友說過一個古代政治家的笑話?是哪位政治家?
· 我們最近看的那部電影你不喜歡嗎?
· 上週你建議我和某某聊一下,看看他們是否可以幫助我們XXX的研究?
最近有一個用於驗證我身份的安全問題的實際範例
你的問題非常獨特。那些恰好在人們需要思考的幾個問題甚至可能忘記答案的邊緣的問題是最好的,但如果你詢問的人聲稱忘記了,一定要再問他們三個問題。詢問「最小」細節(某人喜歡或不喜歡什麼,具體的笑話等)通常比詢問「宏觀」細節更好,因為前面通常對第三方來說更難以意外地挖礦出來,例如,即使只有一個人們在Instagram上發布了晚餐的照片,現代LLM可能也能夠快速捕捉並即時提供位置。如果你的問題可能被猜出,即只有幾個可能的合理選項,那麼就增加另一個問題來增加熵。
如果安全問題乏味,人們通常會停止參與安全實踐,因此應該將安全問題變得有趣。它們可以成為記憶積極分享經驗的方式,也可以成為真正擁有這些經驗的動力。
安全問題補充
沒有單一的安全策略是完美的,因此最好始終將多種技術組合在一起。
· 預先約定的口令:當你們在一起時,有意約定一個共同的口令,以便日後相互驗證身分。
· 甚至可能要規定一個緊急鍵:一個你可以在句子中無意間插入的詞彙,暗示對方你正在被脅迫或受到威脅。這個詞應該足夠常見,以至於在你使用它的時候感覺很自然,但又足夠罕見,以至於你不會無意中將其插入到你的語音中。
· 當有人寄給你一個ETH 位址時,請他們在多個管道上確認(例如Signal 和Twitter 的私訊,公司網站上,甚至透過共同的熟人)。
· 防範中間人攻擊:訊號的「安全數字」、電報的表情符號和類似功能都是值得理解和提醒的。
· 每日中斷和延遲:簡單地對高度重要且不可逆轉的操作施加延遲。這可以在計劃層面上完成(與簽署者預先約定的小時他們在簽署之前N或幾天),也可以在代碼層面上完成上完成(在智能合約代碼中施加限制和延遲)。
一個潛在的高級攻擊是攻擊者在批准過程的多個步驟中冒充高階主管和受助者。安全問題和延遲都可以預防這種情況,最好同時使用兩者。
安全問題很有用,因為與許多其他技術不同,它們之所以失敗並不是因為不友好,而是因為它們不夠人性化。安全問題建立在人類天生熟練記憶的資訊基礎上。我已經使用安全問題很多年了,這實際上是一個非常自然且不尷尬的習慣,值得將其納入除其他保護層之外的工作流程中。
請注意,上述描述的「個人對個人」的安全問題與「企業對個人」的安全問題是非常不同的例子,例如,當您前往另一個國家而多次將信用卡故障後,因為打電話給銀行重新啟動信用卡,然後經過40分鐘的音樂排隊後,一個銀行工作人員出現並詢問你的姓名、生日,也許還有你最近的三筆交易。個人答案的問題種類與企業知道答案的問題種類非常不同。因此,需要分別考慮這兩種情況。
每個人的情況都是獨特的,因此你與需要驗證身份的人之間共享獨特的種類資訊各不相同。通常最好根據人們的情況來調整技術,而不是調整人們來適應技術。不需要完美才能發揮作用,理想的方法是同時將多種技術組合在一起,並選擇最適合你的技術。在後深度格式化(post-deepfake)時代,我們確實需要調整我們的策略,以適應現在容易偽造的內容和仍然難以偽造的內容的新現實,但只要我們做到這一點,保持安全仍然是完全可能的。
資訊來源:0x資訊編譯自網際網路。版權歸作者區塊律動BlockBeats所有,未經許可,不得轉載