Güvenlik soruları sorun

Hudson Jameson, OfficerCIA ve samczsun'a geri bildirim ve incelemeleri için özel teşekkürler.

Geçtiğimiz hafta boyunca, bir finans çalışanının CFO gibi davranan bir dolandırıcıya banka havalesi göndermeye ikna edilmesiyle 25 milyon dolar kaybeden bir şirket hakkında bir makale dolaşıyordu... çok ikna edici bir derin sahte video görüşmesi gibi görünen bir şey üzerinden.

Deepfakes (yani. Yapay zeka tarafından üretilen sahte ses ve videolar) hem kripto alanında hem de başka yerlerde giderek daha sık görülüyor. Geçtiğimiz birkaç ay boyunca,köpek paralarının yanı sıra her türlü dolandırıcılığın reklamını yapmak için benim deepfake'lerim kullanıldı. Deepfake'lerin kalitesi hızla artıyor: 2020'deki deepfake'ler utanç verici derecede açık ve kötüyken, son birkaç aydakileri ayırt etmek giderek zorlaşıyor. Beni iyi tanıyan biri, köpek parası sat tığım son videonun sahte olduğunu anlayabilir çünkü videoda "hadi gidelim" diyorum, oysa ben "LFG "yisadece " grup arıyorum" anlamında kullanmışımdır, ancak sesimi sadece birkaç kez duyan insanlar kolayca ikna olabilir.

Yukarıda sözünü ettiğim 25 milyon dolarlık hırsızlık olayından bahseden güvenlik uzmanları, bunun kurumsal operasyonel güvenliğin çeşitli düzeylerde istisnai ve utanç verici bir başarısızlığı olduğunu teyit etmektedir: standart uygulama, bu büyüklüğe yakın bir transferin onaylanabilmesi için birkaç düzeyde imza gerektirmektedir. Ancak yine de, 2024 yılı itibariyle bir kişinin ses ve hatta video akışının artık kim olduğunu doğrulamanın güvenli bir yolu olmadığı gerçeği devam etmektedir.

Bu da şu soruyu gündeme getiriyor: Nedir?

Kriptografik yöntemler tek başına çözüm değildir

İnsanların kimliklerini güvenli bir şekilde doğrulayabilmek, her türlü durumda her türlü insan için değerlidir: sosyal kurtarma veya multisig cüzdanlarını kurtaran bireyler, ticari işlemleri onaylayan işletmeler, kişisel kullanım için büyük işlemleri onaylayan bireyler (örneğin, bir girişime yatırım yapmak, bir ev satın almak, havale göndermek) kripto veya fiat ile ve hatta acil durumlarda birbirlerinin kimliklerini doğrulaması gereken aile üyeleri. Bu nedenle, önümüzdeki nispeten kolay deepfakes çağında ayakta kalabilecek iyi bir çözüme sahip olmak gerçekten önemlidir.

Bu soruya kripto çevrelerinde sıkça duyduğum bir cevap var: "ENS / proof of humanity profilinize / public PGP anahtarınıza bağlı bir adresten kriptografik bir imza sağlayarak kendinizi doğrulayabilirsiniz". Bu cazip bir cevap. Bununla birlikte, işlemlere imza atarken diğer insanları dahil etmenin ilk etapta neden yararlı olduğu noktasını tamamen gözden kaçırıyor. Kişisel multisig cüzdanı olan bir birey olduğunuzu ve bazı ortak imzalayanların onaylamasını istediğiniz bir işlem gönderdiğinizi varsayalım. Hangi koşullar altında bunu onaylarlar? Transferin gerçekleşmesini gerçekten isteyen kişinin siz olduğunuzdan eminlerse. Anahtarınızı çalan bir bilgisayar korsanı ya da adam kaçıran biriyse, bunu onaylamayacaklardır. Kurumsal bağlamda, genellikle daha fazla savunma katmanına sahip olursunuz; ancak yine de bir saldırgan, yalnızca son talep için değil, onay sürecinin önceki aşamaları için de potansiyel olarak bir yöneticinin kimliğine bürünebilir. Hatta yanlış adres sağlayarak devam etmekte olan meşru bir talebi bile ele geçirebilirler.

Ve birçok durumda, diğer imzacıların sizin anahtarınızla imzalarsanız sizin siz olduğunuzu kabul etmeleri tüm amacı ortadan kaldırır: tüm sözleşmeyi, birinin fonları çalmak için yalnızca tek anahtarınızın kontrolünü ele geçirmesi gereken 1-of-1 multisig'e dönüştürür!

İşte burada gerçekten mantıklı olan bir cevaba ulaşıyoruz: güvenlik soruları.

Güvenlik soruları

Birinin size arkadaşınız olan belirli bir kişi olduğunu iddia ederek mesaj attığını varsayalım. Daha önce hiç görmediğiniz bir hesaptan mesaj atıyorlar ve tüm cihazlarını kaybettiklerini iddia ediyorlar. Söyledikleri kişi olup olmadıklarını nasıl anlarsınız?

Bunun bariz bir cevabı var: Onlara hayatları hakkında sadece kendilerinin bilebileceği şeyleri sorun. Bunlar şu şeyler olmalıdır:

1. Biliyorsun.
2. Hatırlamalarını bekliyorsun
3. İnternet bilmiyor
4. Tahmin edilmesi zor
5. İdeal olarak, şirket ve devlet veri tabanlarını hacklemiş biri bile

Onlara sorulacak en doğal şey paylaşılan deneyimlerdir. Olası örnekler şunlardır:

• İkimiz birbirimizi en son gördüğümüzde, akşam yemeği için hangi restoranda yemek yedik ve siz ne yediniz?
• Hangi arkadaşımız eski bir politikacı hakkında bu espriyi yaptı? Peki hangi politikacıydı?
• Yakın zamanda izleyip de beğenmediğiniz film hangisiydi?
• Geçen hafta bize araştırma konusunda yardımcı olma olasılıkları hakkında konuşmamı önermiştiniz.

Yakın zamanda birinin kimliğimi doğrulamak için kullandığı gerçek bir güvenlik sorusu örneği.

Sorunuz ne kadar benzersiz olursa o kadar iyi olur. Kişinin birkaç saniye düşünmek zorunda kalacağı ve hatta cevabı unutabileceği sınırda sorular iyidir: ancak sorduğunuz kişi unuttuğunu iddia ederse, ona üç soru daha sorduğunuzdan emin olun. "Mikro" detaylar (birinin neyi sevip sevmediği, belirli şakalar vb.) hakkında soru sormak genellikle "makro" detaylardan daha iyidir, çünkü birincisi genellikle üçüncü tarafların kazara ortaya çıkarması çok daha zordur (örn. Bir kişi bile Instagram'da yemeğin fotoğrafını paylaşsa, modern LLM'ler bunu yakalayacak ve gerçek zamanlı olarak konumu sağlayacak kadar hızlı olabilir). Sorunuz potansiyel olarak tahmin edilebilirse (mantıklı olan yalnızca birkaç potansiyel seçenek olması anlamında), başka bir soru ekleyerek entropiyi artırın.

İnsanlar sıkıcı ve sıkıcı olan güvenlik uygulamalarına katılmayı genellikle bırakacaktır, bu nedenle güvenlik sorularını eğlenceli hale getirmek sağlıklıdır! Paylaşılan olumlu deneyimleri hatırlamanın bir yolu olabilirler. Ve ilk etapta bu deneyimleri yaşamak için teşvik edici olabilirler.

Güvenlik sorularının tamamlayıcıları

Hiçbir güvenlik stratejisi mükemmel değildir ve bu nedenle birden fazla tekniği bir araya getirmek her zaman en iyisidir.

• Önceden kararlaştırılmış kod sözcükleri: Birlikte olduğunuzda, daha sonra birbirinizin kimliğini doğrulamak için kullanabileceğiniz ortak bir kod sözcüğü üzerinde kasıtlı olarak anlaşın.
• Hatta belki bir baskı anahtarı üzerinde bile anlaşabilirsiniz: bir cümlenin içine masumca yerleştirebileceğiniz ve karşı tarafa sessizce baskı altında olduğunuzu veya tehdit edildiğinizi gösteren bir kelime. Bu kelime, kullandığınızda size doğal gelecek kadar yaygın, ancak konuşmanıza yanlışlıkla dahil etmeyeceğiniz kadar da nadir olmalıdır.
• Birisi size bir ETH adresi gönderdiğinde, bunu birden fazla kanalda onaylamasını isteyin (örn. Signal ve Twitter DM, şirket web sitesi veya hatta ortak bir tanıdık aracılığıyla)
• Ortadaki adam saldırılarına karşı korunun: Signal "güvenlik numaraları", Telegram emojileri ve benzer özellikleri anlamak ve bunlara dikkat etmekte fayda var.
• Günlük limitler ve gecikmeler: Son derece önemli ve geri döndürülemez eylemlere basitçe gecikmeler uygulayın. Bu, politika düzeyinde (imzalayanlarla imzalamadan önce N saat veya gün bekleyecekleri konusunda önceden anlaşmak) veya kod düzeyinde (akıllı sözleşme koduna sınırlar ve gecikmeler koymak) yapılabilir

Bir saldırganın bir onay sürecinin birden fazla adımında bir yönetici ve bir hibe alanın kimliğine büründüğü potansiyel sofistike bir saldırı. Güvenlik soruları ve gecikmelerin her ikisi de buna karşı koruma sağlayabilir; muhtemelen her ikisini de kullanmak daha iyidir.

Güvenlik soruları güzeldir çünkü insan dostu olmadıkları için başarısız olan diğer pek çok tekniğin aksine, güvenlik soruları insanların doğal olarak hatırlamakta iyi oldukları bilgilere dayanır. Güvenlik sorularını yıllardır kullanıyorum ve bu aslında çok doğal hissettiren ve garip olmayan bir alışkanlık ve diğer koruma katmanlarınıza ek olarak iş akışınıza dahil etmeye değer.

Yukarıda açıklanan "bireyden bireye" güvenlik sorularının, farklı bir ülkeye seyahat ettikten sonra 17. kez devre dışı bırakılan kredi kartınızı yeniden etkinleştirmek için bankanızı aradığınızda ve 40 dakikalık sinir bozucu müzik kuyruğunu geçtikten sonra bir banka çalışanının ortaya çıkıp size adınızı, doğum gününüzü ve belki de son üç işleminizi sorması gibi "kurumdan bireye" güvenlik sorularından çok farklı bir kullanım durumu olduğunu unutmayın. Bir bireyin cevaplarını bildiği soru türleri, bir işletmenin cevaplarını bildiklerinden çok farklıdır. Dolayısıyla, bu iki durumu birbirinden ayrı düşünmek faydalı olacaktır.

Her kişinin durumu benzersizdir ve bu nedenle kimlik doğrulaması yapmanız gerekebilecek kişilerle sahip olduğunuz benzersiz paylaşılan bilgi türleri farklı kişiler için farklılık gösterir. Genellikle tekniği insanlara uyarlamak daha iyidir, insanları tekniğe değil. Bir tekniğin işe yaraması için mükemmel olması gerekmez: ideal yaklaşım, aynı anda birden fazla tekniği bir araya getirmek ve sizin için en iyi olan teknikleri seçmektir. Deepfake sonrası bir dünyada, stratejilerimizi artık neyin taklit edilmesinin kolay ve neyin taklit edilmesinin zor olduğuna dair yeni gerçekliğe uyarlamamız gerekiyor, ancak bunu yaptığımız sürece güvende kalmak oldukça mümkün olmaya devam ediyor.

Sorumluluk Reddi：

1. Bu makale[Vitalik Buterin]'den yeniden basılmıştır, Tüm telif hakları orijinal yazar[Vitalik Buterin]'e aittir. Bu baskıya itirazınız varsa, lütfen Gate Learn ekibiyle iletişime geçin, onlar bu konuyu derhal ele alacaklardır.
2. Sorumluluk Reddi: Bu makalede ifade edilen görüş ve fikirler yalnızca yazara aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
3. Makalenin diğer dillere çevirisi Gate Learn ekibi tarafından yapılmaktadır. Belirtilmediği sürece, çevrilen makalelerin kopyalanması, dağıtılması veya intihal edilmesi yasaktır.