特別感謝 Hudson Jameson、OfficerCIA 和 samczsun 的反饋和審查。
過去一周,有一篇文章在網絡上流傳,這篇文章是關於一家公司,一位財務工作人員被欺詐者冒充CFO,以結果被欺騙髮送了一筆銀行電彙,導緻公司損失了2500萬美元。而這一切看起來是通過一次非常逼真的deepfake視頻通話實現的。
Deepfakes(即AI生成的虛假音頻和視頻)在加密空間和其他地方越來越常見。在過去的幾個月裡,我被用來宣傳各種各樣的騙局,以及狗幣。
Deepfakes 的質量正在迅速提高:2020年的Deepfakes尷尬地明顯和糟糕,但最近幾個月的則越來越難以區分。熟悉我的人仍然可以通過我在我推銷狗幣的視頻中説的”let’s f*ing go”來識別出這是假的,因爲我隻用”LFG”來錶示“looking for group”,但是隻聽過我聲音幾次的人可能會輕易被説服。
我曏安全專家們提起上述的2500萬美元盜竊案,他們一緻確認,這是企業運營安全在多個層麵上的一次特例且令人尷尬的失敗:標準做法是在批準接近這個大小的轉賬前需要多級簽字。但即便如此,事實仍然是,到2024年,一個人的音頻甚至視頻流已經不再是驗證他們身份的安全方式。
這引出了一個問題:什麽是安全的方式?
僅靠加密方法是不夠的
能夠安全地驗證人員身份對於各種情況下的各種人都很有價值: 個人恢覆他們的社交恢覆或多簽名錢包,企業批準業務交易,個人批準大額交易以供個人使用(例如,投資於創業公司,購買房屋,髮送彙款),無論是使用加密貨幣還是法定貨幣,甚至是在緊急情況下需要相互驗證身份的家庭成員。因此,擁有一個能夠在即將到來的相對容易的深度造假時代中生存下來的良好解決方案非常重要。
在加密圈子裡,我經常聽到這樣一個答案:”你可以通過提供一個與你的ENS、人類身份證明或公開PGP密鑰關聯的地址的加密簽名來驗證自己。”這個答案非常吸引人。然而,它完全忽視了爲何在簽署交易時要涉及其他人的原因。假設你是一個多重簽名錢包的持有人,正在髮送一個希望得到其他共簽者批準的交易。他們何時會批準呢?隻有當他們相信你真的想要進行這次轉賬時。如果是一個竊取了你密鑰的黑客或者綁架者,他們不會批準。在企業環境中,你通常會有更多的防禦層;即便如此,攻擊者還可能冒充一名經理,不僅在最後的請求階段,而且還在審批過程的早期階段。他們甚至可能通過提供錯誤的地址,劫持一個正在進行的合法請求。
所以在很多情況下,如果你用你的密鑰簽名,其他簽名者會接受你就是你,這完全破壞了整個點:它將整個合衕變成了一個1-of-1多簽名,其中某人隻需要控製你的單個密鑰就能夠竊取資金!
這就是我們得到一個實際上有些道理的答案的地方:安全問題。
安全問題
假設有人給您髮短信,聲稱是您的朋友。他們用你以前從未見過的帳戶髮短信,併聲稱丟失了所有設備。你如何確定他們是否是他們所説的那個人?
有一個明顯的答案:問他們一些隻有他們自己才知道的關於他們生活的事情。這些應該是:
- 你知道的
- 你希望他們記住的
- 網上不知道的
- 很難猜測的
- 理想情況下,即使是黑客入侵過企業和政府數據庫的人也不知道的
自然而然地要問他們的是分享經驗。可能的例子包括:
- 當我們兩個最後一次見麵時,我們在哪家餐廳吃晚餐,你吃的是什麽食物?
- 我們的哪個朋友開了一個關於古代政治家的玩笑?那是哪位政客呢?
- 我們最近看了哪部電影你不喜歡?
- 您上周建議我與討論他們幫助我們進行研究的可能性?
這是一個我最近用來驗證我的身份的安全問題的實際例子。
你的問題越獨特,越好。有些問題很微妙,人們需要思考幾秒鐘,甚至可能忘記答案,這是好事:但如果你問的人聲稱他忘記了,一定要再問他三個問題。詢問”微觀”細節(某人喜歡或不喜歡的事情,特定的笑話等)通常比”宏觀”細節更好,因爲前者通常對第三方意外能夠穫取的可能性要小很多(例如,如果有人在Instagram上髮布了晚餐的照片,現代LLM可能會足夠快地捕捉到併提供位置信息)。如果你的問題可能被猜到(在有意義的情況下隻有幾個可能的選擇),通過添加另一個問題來增加熵。
如果安全實踐枯燥乏味,人們通常會停止參與。所以讓安全問題變得有趣是有益的!它們可以是回憶積極的共享經驗的一種方式。它們也可以是實際上首先有這些經驗的激勵。
安全問題的補充
沒有哪一種安全策略是完美的,因此最好將多種技術堆疊在一起。
- 預先約定的碼字:當你們在一起時,有意商定一個共享密碼,以後可以用它來驗證對方的身份。
- 也許甚至衕意脅迫鑰匙:您可以無意中將這個詞插入到句子中,從而悄悄地曏對方髮出信號,錶明您正在受到脅迫或威脅。這個詞應該足夠常見,以便您在使用它時感覺很自然,但也足夠罕見,以便您不會意外地將其插入到您的演講中。
- 當有人曏您髮送 ETH 地址時,請要求他們多渠道確認 (例如,Signal 和 Twitter DM,在公司網站上,甚至通過共衕的熟人)。
- 防範中間人攻擊: 信號 ”安全號碼”,電報錶情符號 類似的功能都很容易理解和註意。
- 每日限製和延誤:隻是拖延高度後果和不可逆轉的行動。這可以在策略級別(預先與簽名者達成一緻,他們將在簽名前等待 N 小時或天)或在代碼級別(在智能合約代碼中施加限製和延遲)來完成。
一種潛在的覆雜攻擊,攻擊者在審批流程的多個步驟中冒充高管和受讓人。安全問題和延遲都可以防止這種情況髮生;兩者都使用可能會更好。
安全問題很好,因爲,與許多因不符合人類友好性而失敗的其他技術不衕,安全問題構建在人類天生就善於記憶的信息之上。我已經使用安全問題多年了,這是一種實際上感覺非常自然而不尷尬的習慣,值得將其包含到你的工作流程中 - 除了你的其他保護層。
請註意,上述“個人對個人”安全問題與“企業對個人”安全問題的用例截然不衕,例如當您在信用卡停用 17 年後緻電銀行重新激活信用卡時當你去另一個國家旅行後,當你排完 40 分鐘的煩人音樂隊列後,銀行員工就會出現,詢問你的姓名、生日,也許還有你最近的三筆交易。個人知道答案的問題類型與企業知道答案的問題類型有很大不衕。因此,值得單獨考慮這兩種情況。
每個人的情況都是獨一無二的,因此您與可能需要進行身份驗證的人所擁有的獨特共享信息的種類對於不衕的人來説是不衕的。一般來説,最好是讓技術適應人,而不是讓人適應技術。一項技術不需要完美才能髮揮作用:理想的方法是衕時將多種技術疊加在一起,然後選擇最適合您的技術。在後深度僞造的世界中,我們確實需要調整我們的策略以適應現在容易僞造和仍然難以僞造的新現實,但隻要我們這樣做,保持安全仍然是完全可能的。
聲明:
- 本文轉載自[],著作權歸屬原作者[**],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
相關文章
如何質押 ETH?
什幺是瑞波幣(XRP)?
什麼是穩定幣 USDT?
特別感謝 Hudson Jameson、OfficerCIA 和 samczsun 的反饋和審查。
過去一周,有一篇文章在網絡上流傳,這篇文章是關於一家公司,一位財務工作人員被欺詐者冒充CFO,以結果被欺騙髮送了一筆銀行電彙,導緻公司損失了2500萬美元。而這一切看起來是通過一次非常逼真的deepfake視頻通話實現的。
Deepfakes(即AI生成的虛假音頻和視頻)在加密空間和其他地方越來越常見。在過去的幾個月裡,我被用來宣傳各種各樣的騙局,以及狗幣。
Deepfakes 的質量正在迅速提高:2020年的Deepfakes尷尬地明顯和糟糕,但最近幾個月的則越來越難以區分。熟悉我的人仍然可以通過我在我推銷狗幣的視頻中説的”let’s f*ing go”來識別出這是假的,因爲我隻用”LFG”來錶示“looking for group”,但是隻聽過我聲音幾次的人可能會輕易被説服。
我曏安全專家們提起上述的2500萬美元盜竊案,他們一緻確認,這是企業運營安全在多個層麵上的一次特例且令人尷尬的失敗:標準做法是在批準接近這個大小的轉賬前需要多級簽字。但即便如此,事實仍然是,到2024年,一個人的音頻甚至視頻流已經不再是驗證他們身份的安全方式。
這引出了一個問題:什麽是安全的方式?
僅靠加密方法是不夠的
能夠安全地驗證人員身份對於各種情況下的各種人都很有價值: 個人恢覆他們的社交恢覆或多簽名錢包,企業批準業務交易,個人批準大額交易以供個人使用(例如,投資於創業公司,購買房屋,髮送彙款),無論是使用加密貨幣還是法定貨幣,甚至是在緊急情況下需要相互驗證身份的家庭成員。因此,擁有一個能夠在即將到來的相對容易的深度造假時代中生存下來的良好解決方案非常重要。
在加密圈子裡,我經常聽到這樣一個答案:”你可以通過提供一個與你的ENS、人類身份證明或公開PGP密鑰關聯的地址的加密簽名來驗證自己。”這個答案非常吸引人。然而,它完全忽視了爲何在簽署交易時要涉及其他人的原因。假設你是一個多重簽名錢包的持有人,正在髮送一個希望得到其他共簽者批準的交易。他們何時會批準呢?隻有當他們相信你真的想要進行這次轉賬時。如果是一個竊取了你密鑰的黑客或者綁架者,他們不會批準。在企業環境中,你通常會有更多的防禦層;即便如此,攻擊者還可能冒充一名經理,不僅在最後的請求階段,而且還在審批過程的早期階段。他們甚至可能通過提供錯誤的地址,劫持一個正在進行的合法請求。
所以在很多情況下,如果你用你的密鑰簽名,其他簽名者會接受你就是你,這完全破壞了整個點:它將整個合衕變成了一個1-of-1多簽名,其中某人隻需要控製你的單個密鑰就能夠竊取資金!
這就是我們得到一個實際上有些道理的答案的地方:安全問題。
安全問題
假設有人給您髮短信,聲稱是您的朋友。他們用你以前從未見過的帳戶髮短信,併聲稱丟失了所有設備。你如何確定他們是否是他們所説的那個人?
有一個明顯的答案:問他們一些隻有他們自己才知道的關於他們生活的事情。這些應該是:
- 你知道的
- 你希望他們記住的
- 網上不知道的
- 很難猜測的
- 理想情況下,即使是黑客入侵過企業和政府數據庫的人也不知道的
自然而然地要問他們的是分享經驗。可能的例子包括:
- 當我們兩個最後一次見麵時,我們在哪家餐廳吃晚餐,你吃的是什麽食物?
- 我們的哪個朋友開了一個關於古代政治家的玩笑?那是哪位政客呢?
- 我們最近看了哪部電影你不喜歡?
- 您上周建議我與討論他們幫助我們進行研究的可能性?
這是一個我最近用來驗證我的身份的安全問題的實際例子。
你的問題越獨特,越好。有些問題很微妙,人們需要思考幾秒鐘,甚至可能忘記答案,這是好事:但如果你問的人聲稱他忘記了,一定要再問他三個問題。詢問”微觀”細節(某人喜歡或不喜歡的事情,特定的笑話等)通常比”宏觀”細節更好,因爲前者通常對第三方意外能夠穫取的可能性要小很多(例如,如果有人在Instagram上髮布了晚餐的照片,現代LLM可能會足夠快地捕捉到併提供位置信息)。如果你的問題可能被猜到(在有意義的情況下隻有幾個可能的選擇),通過添加另一個問題來增加熵。
如果安全實踐枯燥乏味,人們通常會停止參與。所以讓安全問題變得有趣是有益的!它們可以是回憶積極的共享經驗的一種方式。它們也可以是實際上首先有這些經驗的激勵。
安全問題的補充
沒有哪一種安全策略是完美的,因此最好將多種技術堆疊在一起。
- 預先約定的碼字:當你們在一起時,有意商定一個共享密碼,以後可以用它來驗證對方的身份。
- 也許甚至衕意脅迫鑰匙:您可以無意中將這個詞插入到句子中,從而悄悄地曏對方髮出信號,錶明您正在受到脅迫或威脅。這個詞應該足夠常見,以便您在使用它時感覺很自然,但也足夠罕見,以便您不會意外地將其插入到您的演講中。
- 當有人曏您髮送 ETH 地址時,請要求他們多渠道確認 (例如,Signal 和 Twitter DM,在公司網站上,甚至通過共衕的熟人)。
- 防範中間人攻擊: 信號 ”安全號碼”,電報錶情符號 類似的功能都很容易理解和註意。
- 每日限製和延誤:隻是拖延高度後果和不可逆轉的行動。這可以在策略級別(預先與簽名者達成一緻,他們將在簽名前等待 N 小時或天)或在代碼級別(在智能合約代碼中施加限製和延遲)來完成。
一種潛在的覆雜攻擊,攻擊者在審批流程的多個步驟中冒充高管和受讓人。安全問題和延遲都可以防止這種情況髮生;兩者都使用可能會更好。
安全問題很好,因爲,與許多因不符合人類友好性而失敗的其他技術不衕,安全問題構建在人類天生就善於記憶的信息之上。我已經使用安全問題多年了,這是一種實際上感覺非常自然而不尷尬的習慣,值得將其包含到你的工作流程中 - 除了你的其他保護層。
請註意,上述“個人對個人”安全問題與“企業對個人”安全問題的用例截然不衕,例如當您在信用卡停用 17 年後緻電銀行重新激活信用卡時當你去另一個國家旅行後,當你排完 40 分鐘的煩人音樂隊列後,銀行員工就會出現,詢問你的姓名、生日,也許還有你最近的三筆交易。個人知道答案的問題類型與企業知道答案的問題類型有很大不衕。因此,值得單獨考慮這兩種情況。
每個人的情況都是獨一無二的,因此您與可能需要進行身份驗證的人所擁有的獨特共享信息的種類對於不衕的人來説是不衕的。一般來説,最好是讓技術適應人,而不是讓人適應技術。一項技術不需要完美才能髮揮作用:理想的方法是衕時將多種技術疊加在一起,然後選擇最適合您的技術。在後深度僞造的世界中,我們確實需要調整我們的策略以適應現在容易僞造和仍然難以僞造的新現實,但隻要我們這樣做,保持安全仍然是完全可能的。
聲明:
- 本文轉載自[],著作權歸屬原作者[**],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
相關文章
如何質押 ETH?
什幺是瑞波幣(XRP)?