ถามคำถามเพื่อความปลอดภัย
ขอขอบคุณเป็นพิเศษสำหรับ Hudson Jameson, OfficerCIA และ samczsun สำหรับคำติชมและบทวิจารณ์
ในช่วงสัปดาห์ที่ผ่านมา มีบทความเกี่ยวกับบริษัทแห่งหนึ่งที่ สูญเสียเงิน 25 ล้านดอลลาร์ เมื่อเจ้าหน้าที่การเงินถูกโน้มน้าวให้โอนเงินผ่านธนาคารไปยังนักต้มตุ๋นที่แอบอ้างเป็น CFO... เกี่ยวกับสิ่งที่ดูเหมือนจะเป็นแฮงเอาท์วิดีโอปลอมที่น่าเชื่อมาก .
ดีพเฟค (เช่น เสียงและวิดีโอปลอมที่สร้างโดย AI) ปรากฏบ่อยมากขึ้นทั้งในพื้นที่เข้ารหัสลับและที่อื่น ๆ ในช่วงไม่กี่เดือนที่ผ่านมา มีการใช้ Deepfakes ของฉันเพื่อโฆษณา การหลอกลวงทุกประเภท รวมถึง เหรียญสุนัข คุณภาพของ Deepfakes ได้รับการปรับปรุงอย่างรวดเร็ว ในขณะที่ Deepfakes ในปี 2020 มี ความชัดเจนและไม่ดีอย่างน่าเขินอาย แต่ในช่วง 2-3 เดือนที่ผ่านมาเริ่มแยกแยะได้ยากขึ้นเรื่อยๆ คนที่รู้จักฉันดียังคงสามารถระบุวิดีโอล่าสุดที่ ฉันชิลเหรียญสุนัข เป็นของปลอมได้ เพราะฉันพูดว่า "ไปกันเถอะ" ในขณะที่ฉันเคยใช้ "LFG" เพื่อหมายถึง "มองหากลุ่ม" เท่านั้น แต่คนที่ได้ยินเสียงของฉันเพียงไม่กี่ครั้งก็สามารถเชื่อได้อย่างง่ายดาย
ผู้เชี่ยวชาญด้านความปลอดภัยที่ฉันกล่าวถึงการโจรกรรมมูลค่า 25 ล้านดอลลาร์ข้างต้นได้ยืนยันอย่างสม่ำเสมอว่าเป็นความล้มเหลวที่ยอดเยี่ยมและน่าอับอายของการรักษาความปลอดภัยในการปฏิบัติงานขององค์กรในหลายระดับ: แนวปฏิบัติมาตรฐานคือต้องมีการลงชื่อออกหลายระดับก่อนที่จะถ่ายโอนที่ใดก็ตามที่ใกล้เคียงกับขนาดนั้น ที่ได้รับการอนุมัติ. แต่ถึงกระนั้น ข้อเท็จจริงก็ยังคงอยู่ว่าในปี 2024 การสตรีมเสียงหรือวิดีโอของบุคคลไม่ใช่วิธีที่ปลอดภัยในการตรวจสอบตัวตนของพวกเขาอีกต่อไป
สิ่งนี้ทำให้เกิดคำถาม: คืออะไร?
วิธีการเข้ารหัสเพียงอย่างเดียวไม่ใช่คำตอบ
ความสามารถในการรับรองความถูกต้องของผู้คนอย่างปลอดภัยนั้นมีคุณค่าต่อผู้คนทุกประเภทในสถานการณ์ทุกประเภท: บุคคลที่กู้คืน การฟื้นฟูทางสังคมหรือกระเป๋าเงิน multisig องค์กรที่อนุมัติธุรกรรมทางธุรกิจ บุคคลที่อนุมัติธุรกรรมขนาดใหญ่สำหรับการใช้งานส่วนตัว (เช่น เพื่อลงทุนในการเริ่มต้นธุรกิจ ซื้อ บ้านส่งเงิน) ไม่ว่าจะด้วย crypto หรือ fiat และแม้แต่สมาชิกในครอบครัวที่ต้องการตรวจสอบสิทธิ์ซึ่งกันและกันในกรณีฉุกเฉิน ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องมีวิธีแก้ปัญหาที่ดีที่สามารถอยู่รอดในยุคแห่งการดีปเฟคที่ค่อนข้างง่ายที่กำลังจะมาถึง
คำตอบหนึ่งสำหรับคำถามนี้ที่ฉันมักจะได้ยินในแวดวง crypto คือ: “คุณสามารถตรวจสอบตัวเองได้โดยการจัดเตรียมลายเซ็นเข้ารหัสจากที่อยู่ที่แนบกับ ENS ของคุณ / หลักฐานโปรไฟล์มนุษยชาติ / คีย์ PGP สาธารณะ” นี่เป็นคำตอบที่น่าสนใจ อย่างไรก็ตาม มันพลาดไปโดยสิ้นเชิงว่าทำไมการที่บุคคลอื่นเข้ามามีส่วนร่วมเมื่อลงนามในธุรกรรมจึงมีประโยชน์ตั้งแต่แรก สมมติว่าคุณเป็นบุคคลที่มีกระเป๋าสตางค์ multisig ส่วนตัว และคุณกำลังส่งธุรกรรมที่คุณต้องการให้ผู้ลงนามร่วมอนุมัติ พวกเขาจะอนุมัติภายใต้สถานการณ์ใด หากพวกเขามั่นใจว่าคุณคือคนที่อยากให้การโอนเกิดขึ้นจริงๆ หากเป็นแฮกเกอร์ที่ขโมยกุญแจของคุณหรือผู้ลักพาตัว พวกเขาจะไม่อนุมัติ ในบริบทขององค์กร โดยทั่วไปคุณมีการป้องกันหลายชั้น แต่ถึงกระนั้น ผู้โจมตีก็สามารถแอบอ้างเป็นผู้จัดการได้ ไม่ใช่แค่ในคำขอสุดท้ายเท่านั้น แต่ยังรวมถึงขั้นตอนก่อนหน้าของกระบวนการอนุมัติด้วย พวกเขาอาจจี้คำขอที่ถูกต้องตามกฎหมายโดยระบุที่อยู่ผิด
ดังนั้นในหลาย ๆ กรณี ผู้ลงนามรายอื่นที่ยอมรับว่าคุณคือคุณหากคุณลงนามด้วยคีย์ของคุณจะทำลายประเด็นทั้งหมด: มันเปลี่ยนสัญญาทั้งหมดให้กลายเป็น multisig 1 ใน 1 ที่ซึ่งใครบางคนต้องการเพียงการควบคุมคีย์เดียวของคุณเท่านั้น เพื่อที่จะขโมยเงิน!
นี่คือจุดที่เราได้รับคำตอบเดียวที่สมเหตุสมผลจริงๆ นั่นก็คือ คำถามเพื่อความปลอดภัย
คำถามเพื่อความปลอดภัย
สมมติว่ามีคนส่งข้อความที่คุณอ้างว่าเป็นคนๆ หนึ่งซึ่งเป็นเพื่อนของคุณ พวกเขากำลังส่งข้อความจากบัญชีที่คุณไม่เคยเห็นมาก่อน และพวกเขาอ้างว่าทำอุปกรณ์ทั้งหมดหาย คุณจะทราบได้อย่างไรว่าพวกเขาเป็นใคร?
มีคำตอบที่ชัดเจน: ถามพวกเขาถึงสิ่งที่พวกเขาเท่านั้นที่จะรู้เกี่ยวกับชีวิตของพวกเขา สิ่งเหล่านี้ควรเป็นสิ่งที่:
- คุณรู้
- คุณคาดหวังให้พวกเขาจำได้
- อินเตอร์เน็ตก็ไม่รู้
- เป็นเรื่องยากที่จะคาดเดา
- ตามหลักการแล้ว แม้แต่คนที่แฮ็กฐานข้อมูลขององค์กรและภาครัฐก็ไม่รู้
สิ่งที่เป็นธรรมชาติที่จะถามพวกเขาคือการแชร์ประสบการณ์ ตัวอย่างที่เป็นไปได้ ได้แก่:
- เมื่อเราสองคนเจอกันครั้งสุดท้าย เราทานอาหารเย็นที่ร้านอาหารอะไร และทานอาหารอะไรบ้าง?
- เพื่อนคนไหนของเราที่ทำเรื่องตลกเกี่ยวกับนักการเมืองสมัยโบราณคนหนึ่ง? แล้วเป็นนักการเมืองคนไหนล่ะ?
- ล่าสุดเราดูภาพยนตร์เรื่องไหนที่คุณไม่ชอบ?
- คุณแนะนำเมื่อสัปดาห์ที่แล้วว่าฉันพูดคุยกับ เกี่ยวกับความเป็นไปได้ที่พวกเขาจะช่วยเราใน การค้นคว้า?
ตัวอย่างคำถามเพื่อความปลอดภัยที่มีคนใช้เพื่อรับรองความถูกต้องของฉันเมื่อเร็วๆ นี้
ยิ่งคำถามของคุณมีเอกลักษณ์มากเท่าไรก็ยิ่งดีเท่านั้น คำถามที่ใกล้จะถึงจุดซึ่งบางคนต้องคิดสักครู่และอาจลืมคำตอบนั้นเป็นสิ่งที่ดี แต่หากคนที่คุณถามอ้างว่าลืม อย่าลืมถามพวกเขาอีกสามคำถาม การถามเกี่ยวกับรายละเอียด “เล็กๆ น้อยๆ” (สิ่งที่ใครบางคนชอบหรือไม่ชอบ เรื่องตลกเจาะจง ฯลฯ) มักจะดีกว่าการถามรายละเอียด “มาโคร” เพราะโดยทั่วไปแล้ว การถามรายละเอียดแบบแรกจะยากกว่ามากสำหรับบุคคลที่สามที่จะขุดขึ้นมาโดยไม่ตั้งใจ (เช่น หากมีคนโพสต์รูปอาหารค่ำบน Instagram แม้แต่คนเดียว LLM สมัยใหม่ก็อาจจะเร็วพอที่จะจับภาพนั้นและระบุตำแหน่งแบบเรียลไทม์) หากคำถามของคุณมีแนวโน้มที่จะเดาได้ (ในแง่ที่ว่ามีตัวเลือกที่เป็นไปได้เพียงไม่กี่ตัวเลือกที่สมเหตุสมผล) ให้รวบรวมเอนโทรปีโดยการเพิ่มคำถามอื่น
ผู้คนมักจะหยุดมีส่วนร่วมในแนวทางปฏิบัติด้านความปลอดภัยหากพวกเขาน่าเบื่อและน่าเบื่อ ดังนั้น การถามคำถามเพื่อความปลอดภัยจึงเป็นเรื่องสนุก! สิ่งเหล่านี้สามารถเป็นวิธีการจดจำประสบการณ์เชิงบวกที่มีร่วมกัน และสิ่งเหล่านี้สามารถเป็นแรงจูงใจให้มีประสบการณ์เหล่านั้นได้จริงตั้งแต่แรก
ส่วนเสริมสำหรับคำถามเพื่อความปลอดภัย
ไม่มีกลยุทธ์การรักษาความปลอดภัยใดที่สมบูรณ์แบบ ดังนั้นจึงเป็นการดีที่สุดที่จะรวมเทคนิคต่างๆ เข้าด้วยกัน
- คำรหัสที่ตกลงกันไว้ล่วงหน้า: เมื่อคุณอยู่ด้วยกัน จงตั้งใจตกลงกับคำรหัสที่ใช้ร่วมกันซึ่งคุณสามารถใช้เพื่อตรวจสอบความถูกต้องของกันและกันในภายหลัง
- บางทีอาจเห็นด้วยกับคีย์การข่มขู่: คำที่คุณสามารถแทรกเข้าไปในประโยคอย่างไร้เดียงสาซึ่งจะส่งสัญญาณไปยังอีกฝ่ายอย่างเงียบ ๆ ว่าคุณกำลังถูกบังคับหรือคุกคาม คำนี้ควรจะธรรมดาพอที่จะให้ความรู้สึกเป็นธรรมชาติเมื่อคุณใช้ แต่หายากพอที่จะไม่เผลอใส่เข้าไปในสุนทรพจน์ของคุณ
- เมื่อมีคนส่งที่อยู่ ETH ให้คุณ ขอให้พวกเขายืนยันในหลายช่องทาง (เช่น Signal และ Twitter DM บนเว็บไซต์ของบริษัท หรือแม้แต่ผ่านทางคนรู้จักร่วมกัน)
- ป้องกันการโจมตีจากคนกลาง: สัญญาณ "หมายเลขความปลอดภัย ", อิโมจิโทรเลข และฟีเจอร์ที่คล้ายกันล้วนเป็นสิ่งที่ควรทำความเข้าใจและระวัง
- ขีดจำกัดและความล่าช้ารายวัน: เพียงกำหนดความล่าช้าสำหรับการกระทำที่เป็นผลสืบเนื่องสูงและไม่สามารถย้อนกลับได้ ซึ่งสามารถทำได้ทั้งในระดับนโยบาย (ตกลงล่วงหน้ากับผู้ลงนามว่าพวกเขาจะรอ N ชั่วโมงหรือวันก่อนลงนาม) หรือในระดับโค้ด (กำหนดขีดจำกัดและความล่าช้าในโค้ดสัญญาอัจฉริยะ)
การโจมตีที่ซับซ้อนที่อาจเกิดขึ้น โดยผู้โจมตีแอบอ้างเป็นผู้บริหารและผู้รับสิทธิ์ในกระบวนการอนุมัติหลายขั้นตอน คำถามเพื่อความปลอดภัยและความล่าช้าสามารถป้องกันสิ่งนี้ได้ มันอาจจะดีกว่าถ้าใช้ทั้งสองอย่าง
คำถามเพื่อความปลอดภัยเป็นสิ่งที่ดี เพราะต่างจากเทคนิคอื่นๆ มากมายที่ล้มเหลวเนื่องจากไม่เป็นมิตรต่อมนุษย์ คำถามเพื่อความปลอดภัยสร้างขึ้นจากข้อมูลที่มนุษย์จดจำได้ดีโดยธรรมชาติ ฉันใช้คำถามเพื่อความปลอดภัยมาหลายปีแล้ว และเป็นนิสัยที่ให้ความรู้สึกเป็นธรรมชาติจริงๆ และไม่อึดอัด และคุ้มค่าที่จะรวมไว้ในขั้นตอนการทำงานของคุณ นอกเหนือจากการปกป้องอีกชั้นหนึ่งของคุณ
โปรดทราบว่าคำถามเพื่อความปลอดภัย “ระหว่างบุคคล” ตามที่อธิบายไว้ข้างต้นเป็นกรณีการใช้งานที่แตกต่างอย่างมากจากคำถามเพื่อความปลอดภัย “ระหว่างองค์กรถึงบุคคล” เช่น เมื่อคุณโทรติดต่อธนาคารเพื่อเปิดใช้งานบัตรเครดิตของคุณอีกครั้งหลังจากที่ปิดใช้งานในวันที่ 17 หลังจากที่คุณเดินทางไปยังประเทศอื่น และเมื่อคุณพ้นคิวเพลงน่ารำคาญที่รอคิวนานถึง 40 นาที พนักงานธนาคารก็ปรากฏตัวขึ้นและถามคุณเกี่ยวกับชื่อ วันเกิดของคุณ และบางทีอาจจะเป็นธุรกรรมสามรายการล่าสุดของคุณ ประเภทของคำถามที่แต่ละบุคคลรู้คำตอบนั้นแตกต่างอย่างมากจากคำถามที่องค์กรรู้คำตอบ ดังนั้นจึงควรพิจารณาทั้งสองกรณีแยกกัน
สถานการณ์ของแต่ละคนไม่เหมือนกัน ดังนั้นประเภทของข้อมูลที่ใช้ร่วมกันที่ไม่ซ้ำกันที่คุณมีกับบุคคลที่คุณอาจต้องตรวจสอบสิทธิ์ด้วยจะแตกต่างกันไปในแต่ละคน โดยทั่วไปแล้ว การปรับเทคนิคให้เข้ากับผู้คนจะดีกว่า ไม่ใช่การปรับให้ผู้คนเข้ากับเทคนิคนั้น เทคนิคไม่จำเป็นต้องสมบูรณ์แบบในการทำงาน: แนวทางที่เหมาะสมคือการรวมเทคนิคต่างๆ เข้าด้วยกันในเวลาเดียวกัน และเลือกเทคนิคที่เหมาะกับคุณที่สุด ในโลกหลังดีพเฟค เราจำเป็นต้องปรับกลยุทธ์ของเราให้เข้ากับความเป็นจริงแบบใหม่ของสิ่งที่ปลอมได้ง่ายในปัจจุบันและสิ่งที่ยังคงปลอมได้ยาก แต่ตราบเท่าที่เราทำ การรักษาความปลอดภัยยังคงเป็นไปได้ค่อนข้างมาก
ข้อสงวนสิทธิ์:
- บทความนี้พิมพ์ซ้ำจาก[Vitalik Buterin] ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [Vitalik Buterin] หากมีการคัดค้านการพิมพ์ซ้ำนี้ โปรดติดต่อทีมงาน Gate Learn แล้วพวกเขาจะจัดการโดยเร็วที่สุด
- การปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่ถือเป็นคำแนะนำในการลงทุนใดๆ
- การแปลบทความเป็นภาษาอื่นดำเนินการโดยทีมงาน Gate Learn เว้นแต่จะกล่าวถึง ห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
เทคโนโลยีบัญชีแยกประเภทแบบกระจาย (DLT) คืออะไร?
ถามคำถามเพื่อความปลอดภัย
ขอขอบคุณเป็นพิเศษสำหรับ Hudson Jameson, OfficerCIA และ samczsun สำหรับคำติชมและบทวิจารณ์
ในช่วงสัปดาห์ที่ผ่านมา มีบทความเกี่ยวกับบริษัทแห่งหนึ่งที่ สูญเสียเงิน 25 ล้านดอลลาร์ เมื่อเจ้าหน้าที่การเงินถูกโน้มน้าวให้โอนเงินผ่านธนาคารไปยังนักต้มตุ๋นที่แอบอ้างเป็น CFO... เกี่ยวกับสิ่งที่ดูเหมือนจะเป็นแฮงเอาท์วิดีโอปลอมที่น่าเชื่อมาก .
ดีพเฟค (เช่น เสียงและวิดีโอปลอมที่สร้างโดย AI) ปรากฏบ่อยมากขึ้นทั้งในพื้นที่เข้ารหัสลับและที่อื่น ๆ ในช่วงไม่กี่เดือนที่ผ่านมา มีการใช้ Deepfakes ของฉันเพื่อโฆษณา การหลอกลวงทุกประเภท รวมถึง เหรียญสุนัข คุณภาพของ Deepfakes ได้รับการปรับปรุงอย่างรวดเร็ว ในขณะที่ Deepfakes ในปี 2020 มี ความชัดเจนและไม่ดีอย่างน่าเขินอาย แต่ในช่วง 2-3 เดือนที่ผ่านมาเริ่มแยกแยะได้ยากขึ้นเรื่อยๆ คนที่รู้จักฉันดียังคงสามารถระบุวิดีโอล่าสุดที่ ฉันชิลเหรียญสุนัข เป็นของปลอมได้ เพราะฉันพูดว่า "ไปกันเถอะ" ในขณะที่ฉันเคยใช้ "LFG" เพื่อหมายถึง "มองหากลุ่ม" เท่านั้น แต่คนที่ได้ยินเสียงของฉันเพียงไม่กี่ครั้งก็สามารถเชื่อได้อย่างง่ายดาย
ผู้เชี่ยวชาญด้านความปลอดภัยที่ฉันกล่าวถึงการโจรกรรมมูลค่า 25 ล้านดอลลาร์ข้างต้นได้ยืนยันอย่างสม่ำเสมอว่าเป็นความล้มเหลวที่ยอดเยี่ยมและน่าอับอายของการรักษาความปลอดภัยในการปฏิบัติงานขององค์กรในหลายระดับ: แนวปฏิบัติมาตรฐานคือต้องมีการลงชื่อออกหลายระดับก่อนที่จะถ่ายโอนที่ใดก็ตามที่ใกล้เคียงกับขนาดนั้น ที่ได้รับการอนุมัติ. แต่ถึงกระนั้น ข้อเท็จจริงก็ยังคงอยู่ว่าในปี 2024 การสตรีมเสียงหรือวิดีโอของบุคคลไม่ใช่วิธีที่ปลอดภัยในการตรวจสอบตัวตนของพวกเขาอีกต่อไป
สิ่งนี้ทำให้เกิดคำถาม: คืออะไร?
วิธีการเข้ารหัสเพียงอย่างเดียวไม่ใช่คำตอบ
ความสามารถในการรับรองความถูกต้องของผู้คนอย่างปลอดภัยนั้นมีคุณค่าต่อผู้คนทุกประเภทในสถานการณ์ทุกประเภท: บุคคลที่กู้คืน การฟื้นฟูทางสังคมหรือกระเป๋าเงิน multisig องค์กรที่อนุมัติธุรกรรมทางธุรกิจ บุคคลที่อนุมัติธุรกรรมขนาดใหญ่สำหรับการใช้งานส่วนตัว (เช่น เพื่อลงทุนในการเริ่มต้นธุรกิจ ซื้อ บ้านส่งเงิน) ไม่ว่าจะด้วย crypto หรือ fiat และแม้แต่สมาชิกในครอบครัวที่ต้องการตรวจสอบสิทธิ์ซึ่งกันและกันในกรณีฉุกเฉิน ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องมีวิธีแก้ปัญหาที่ดีที่สามารถอยู่รอดในยุคแห่งการดีปเฟคที่ค่อนข้างง่ายที่กำลังจะมาถึง
คำตอบหนึ่งสำหรับคำถามนี้ที่ฉันมักจะได้ยินในแวดวง crypto คือ: “คุณสามารถตรวจสอบตัวเองได้โดยการจัดเตรียมลายเซ็นเข้ารหัสจากที่อยู่ที่แนบกับ ENS ของคุณ / หลักฐานโปรไฟล์มนุษยชาติ / คีย์ PGP สาธารณะ” นี่เป็นคำตอบที่น่าสนใจ อย่างไรก็ตาม มันพลาดไปโดยสิ้นเชิงว่าทำไมการที่บุคคลอื่นเข้ามามีส่วนร่วมเมื่อลงนามในธุรกรรมจึงมีประโยชน์ตั้งแต่แรก สมมติว่าคุณเป็นบุคคลที่มีกระเป๋าสตางค์ multisig ส่วนตัว และคุณกำลังส่งธุรกรรมที่คุณต้องการให้ผู้ลงนามร่วมอนุมัติ พวกเขาจะอนุมัติภายใต้สถานการณ์ใด หากพวกเขามั่นใจว่าคุณคือคนที่อยากให้การโอนเกิดขึ้นจริงๆ หากเป็นแฮกเกอร์ที่ขโมยกุญแจของคุณหรือผู้ลักพาตัว พวกเขาจะไม่อนุมัติ ในบริบทขององค์กร โดยทั่วไปคุณมีการป้องกันหลายชั้น แต่ถึงกระนั้น ผู้โจมตีก็สามารถแอบอ้างเป็นผู้จัดการได้ ไม่ใช่แค่ในคำขอสุดท้ายเท่านั้น แต่ยังรวมถึงขั้นตอนก่อนหน้าของกระบวนการอนุมัติด้วย พวกเขาอาจจี้คำขอที่ถูกต้องตามกฎหมายโดยระบุที่อยู่ผิด
ดังนั้นในหลาย ๆ กรณี ผู้ลงนามรายอื่นที่ยอมรับว่าคุณคือคุณหากคุณลงนามด้วยคีย์ของคุณจะทำลายประเด็นทั้งหมด: มันเปลี่ยนสัญญาทั้งหมดให้กลายเป็น multisig 1 ใน 1 ที่ซึ่งใครบางคนต้องการเพียงการควบคุมคีย์เดียวของคุณเท่านั้น เพื่อที่จะขโมยเงิน!
นี่คือจุดที่เราได้รับคำตอบเดียวที่สมเหตุสมผลจริงๆ นั่นก็คือ คำถามเพื่อความปลอดภัย
คำถามเพื่อความปลอดภัย
สมมติว่ามีคนส่งข้อความที่คุณอ้างว่าเป็นคนๆ หนึ่งซึ่งเป็นเพื่อนของคุณ พวกเขากำลังส่งข้อความจากบัญชีที่คุณไม่เคยเห็นมาก่อน และพวกเขาอ้างว่าทำอุปกรณ์ทั้งหมดหาย คุณจะทราบได้อย่างไรว่าพวกเขาเป็นใคร?
มีคำตอบที่ชัดเจน: ถามพวกเขาถึงสิ่งที่พวกเขาเท่านั้นที่จะรู้เกี่ยวกับชีวิตของพวกเขา สิ่งเหล่านี้ควรเป็นสิ่งที่:
- คุณรู้
- คุณคาดหวังให้พวกเขาจำได้
- อินเตอร์เน็ตก็ไม่รู้
- เป็นเรื่องยากที่จะคาดเดา
- ตามหลักการแล้ว แม้แต่คนที่แฮ็กฐานข้อมูลขององค์กรและภาครัฐก็ไม่รู้
สิ่งที่เป็นธรรมชาติที่จะถามพวกเขาคือการแชร์ประสบการณ์ ตัวอย่างที่เป็นไปได้ ได้แก่:
- เมื่อเราสองคนเจอกันครั้งสุดท้าย เราทานอาหารเย็นที่ร้านอาหารอะไร และทานอาหารอะไรบ้าง?
- เพื่อนคนไหนของเราที่ทำเรื่องตลกเกี่ยวกับนักการเมืองสมัยโบราณคนหนึ่ง? แล้วเป็นนักการเมืองคนไหนล่ะ?
- ล่าสุดเราดูภาพยนตร์เรื่องไหนที่คุณไม่ชอบ?
- คุณแนะนำเมื่อสัปดาห์ที่แล้วว่าฉันพูดคุยกับ เกี่ยวกับความเป็นไปได้ที่พวกเขาจะช่วยเราใน การค้นคว้า?
ตัวอย่างคำถามเพื่อความปลอดภัยที่มีคนใช้เพื่อรับรองความถูกต้องของฉันเมื่อเร็วๆ นี้
ยิ่งคำถามของคุณมีเอกลักษณ์มากเท่าไรก็ยิ่งดีเท่านั้น คำถามที่ใกล้จะถึงจุดซึ่งบางคนต้องคิดสักครู่และอาจลืมคำตอบนั้นเป็นสิ่งที่ดี แต่หากคนที่คุณถามอ้างว่าลืม อย่าลืมถามพวกเขาอีกสามคำถาม การถามเกี่ยวกับรายละเอียด “เล็กๆ น้อยๆ” (สิ่งที่ใครบางคนชอบหรือไม่ชอบ เรื่องตลกเจาะจง ฯลฯ) มักจะดีกว่าการถามรายละเอียด “มาโคร” เพราะโดยทั่วไปแล้ว การถามรายละเอียดแบบแรกจะยากกว่ามากสำหรับบุคคลที่สามที่จะขุดขึ้นมาโดยไม่ตั้งใจ (เช่น หากมีคนโพสต์รูปอาหารค่ำบน Instagram แม้แต่คนเดียว LLM สมัยใหม่ก็อาจจะเร็วพอที่จะจับภาพนั้นและระบุตำแหน่งแบบเรียลไทม์) หากคำถามของคุณมีแนวโน้มที่จะเดาได้ (ในแง่ที่ว่ามีตัวเลือกที่เป็นไปได้เพียงไม่กี่ตัวเลือกที่สมเหตุสมผล) ให้รวบรวมเอนโทรปีโดยการเพิ่มคำถามอื่น
ผู้คนมักจะหยุดมีส่วนร่วมในแนวทางปฏิบัติด้านความปลอดภัยหากพวกเขาน่าเบื่อและน่าเบื่อ ดังนั้น การถามคำถามเพื่อความปลอดภัยจึงเป็นเรื่องสนุก! สิ่งเหล่านี้สามารถเป็นวิธีการจดจำประสบการณ์เชิงบวกที่มีร่วมกัน และสิ่งเหล่านี้สามารถเป็นแรงจูงใจให้มีประสบการณ์เหล่านั้นได้จริงตั้งแต่แรก
ส่วนเสริมสำหรับคำถามเพื่อความปลอดภัย
ไม่มีกลยุทธ์การรักษาความปลอดภัยใดที่สมบูรณ์แบบ ดังนั้นจึงเป็นการดีที่สุดที่จะรวมเทคนิคต่างๆ เข้าด้วยกัน
- คำรหัสที่ตกลงกันไว้ล่วงหน้า: เมื่อคุณอยู่ด้วยกัน จงตั้งใจตกลงกับคำรหัสที่ใช้ร่วมกันซึ่งคุณสามารถใช้เพื่อตรวจสอบความถูกต้องของกันและกันในภายหลัง
- บางทีอาจเห็นด้วยกับคีย์การข่มขู่: คำที่คุณสามารถแทรกเข้าไปในประโยคอย่างไร้เดียงสาซึ่งจะส่งสัญญาณไปยังอีกฝ่ายอย่างเงียบ ๆ ว่าคุณกำลังถูกบังคับหรือคุกคาม คำนี้ควรจะธรรมดาพอที่จะให้ความรู้สึกเป็นธรรมชาติเมื่อคุณใช้ แต่หายากพอที่จะไม่เผลอใส่เข้าไปในสุนทรพจน์ของคุณ
- เมื่อมีคนส่งที่อยู่ ETH ให้คุณ ขอให้พวกเขายืนยันในหลายช่องทาง (เช่น Signal และ Twitter DM บนเว็บไซต์ของบริษัท หรือแม้แต่ผ่านทางคนรู้จักร่วมกัน)
- ป้องกันการโจมตีจากคนกลาง: สัญญาณ "หมายเลขความปลอดภัย ", อิโมจิโทรเลข และฟีเจอร์ที่คล้ายกันล้วนเป็นสิ่งที่ควรทำความเข้าใจและระวัง
- ขีดจำกัดและความล่าช้ารายวัน: เพียงกำหนดความล่าช้าสำหรับการกระทำที่เป็นผลสืบเนื่องสูงและไม่สามารถย้อนกลับได้ ซึ่งสามารถทำได้ทั้งในระดับนโยบาย (ตกลงล่วงหน้ากับผู้ลงนามว่าพวกเขาจะรอ N ชั่วโมงหรือวันก่อนลงนาม) หรือในระดับโค้ด (กำหนดขีดจำกัดและความล่าช้าในโค้ดสัญญาอัจฉริยะ)
การโจมตีที่ซับซ้อนที่อาจเกิดขึ้น โดยผู้โจมตีแอบอ้างเป็นผู้บริหารและผู้รับสิทธิ์ในกระบวนการอนุมัติหลายขั้นตอน คำถามเพื่อความปลอดภัยและความล่าช้าสามารถป้องกันสิ่งนี้ได้ มันอาจจะดีกว่าถ้าใช้ทั้งสองอย่าง
คำถามเพื่อความปลอดภัยเป็นสิ่งที่ดี เพราะต่างจากเทคนิคอื่นๆ มากมายที่ล้มเหลวเนื่องจากไม่เป็นมิตรต่อมนุษย์ คำถามเพื่อความปลอดภัยสร้างขึ้นจากข้อมูลที่มนุษย์จดจำได้ดีโดยธรรมชาติ ฉันใช้คำถามเพื่อความปลอดภัยมาหลายปีแล้ว และเป็นนิสัยที่ให้ความรู้สึกเป็นธรรมชาติจริงๆ และไม่อึดอัด และคุ้มค่าที่จะรวมไว้ในขั้นตอนการทำงานของคุณ นอกเหนือจากการปกป้องอีกชั้นหนึ่งของคุณ
โปรดทราบว่าคำถามเพื่อความปลอดภัย “ระหว่างบุคคล” ตามที่อธิบายไว้ข้างต้นเป็นกรณีการใช้งานที่แตกต่างอย่างมากจากคำถามเพื่อความปลอดภัย “ระหว่างองค์กรถึงบุคคล” เช่น เมื่อคุณโทรติดต่อธนาคารเพื่อเปิดใช้งานบัตรเครดิตของคุณอีกครั้งหลังจากที่ปิดใช้งานในวันที่ 17 หลังจากที่คุณเดินทางไปยังประเทศอื่น และเมื่อคุณพ้นคิวเพลงน่ารำคาญที่รอคิวนานถึง 40 นาที พนักงานธนาคารก็ปรากฏตัวขึ้นและถามคุณเกี่ยวกับชื่อ วันเกิดของคุณ และบางทีอาจจะเป็นธุรกรรมสามรายการล่าสุดของคุณ ประเภทของคำถามที่แต่ละบุคคลรู้คำตอบนั้นแตกต่างอย่างมากจากคำถามที่องค์กรรู้คำตอบ ดังนั้นจึงควรพิจารณาทั้งสองกรณีแยกกัน
สถานการณ์ของแต่ละคนไม่เหมือนกัน ดังนั้นประเภทของข้อมูลที่ใช้ร่วมกันที่ไม่ซ้ำกันที่คุณมีกับบุคคลที่คุณอาจต้องตรวจสอบสิทธิ์ด้วยจะแตกต่างกันไปในแต่ละคน โดยทั่วไปแล้ว การปรับเทคนิคให้เข้ากับผู้คนจะดีกว่า ไม่ใช่การปรับให้ผู้คนเข้ากับเทคนิคนั้น เทคนิคไม่จำเป็นต้องสมบูรณ์แบบในการทำงาน: แนวทางที่เหมาะสมคือการรวมเทคนิคต่างๆ เข้าด้วยกันในเวลาเดียวกัน และเลือกเทคนิคที่เหมาะกับคุณที่สุด ในโลกหลังดีพเฟค เราจำเป็นต้องปรับกลยุทธ์ของเราให้เข้ากับความเป็นจริงแบบใหม่ของสิ่งที่ปลอมได้ง่ายในปัจจุบันและสิ่งที่ยังคงปลอมได้ยาก แต่ตราบเท่าที่เราทำ การรักษาความปลอดภัยยังคงเป็นไปได้ค่อนข้างมาก
ข้อสงวนสิทธิ์:
- บทความนี้พิมพ์ซ้ำจาก[Vitalik Buterin] ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [Vitalik Buterin] หากมีการคัดค้านการพิมพ์ซ้ำนี้ โปรดติดต่อทีมงาน Gate Learn แล้วพวกเขาจะจัดการโดยเร็วที่สุด
- การปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่ถือเป็นคำแนะนำในการลงทุนใดๆ
- การแปลบทความเป็นภาษาอื่นดำเนินการโดยทีมงาน Gate Learn เว้นแต่จะกล่าวถึง ห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน