Bài viết mới về kỳ nghỉ của Vitalik: Chiến lược bảo mật trong kỷ nguyên deepfake

Tác giả: Vtalik, đồng sáng lập Ethereum; Dịch: 0xjs@金财经

Tuần trước, một bài báo về một công ty thua lỗ 25 triệu USD đã được lan truyền rộng rãi vì công việc tài chính. để gửi một chuyển khoản ngân hàng cho một kẻ lừa đảo đóng giả là CFO...và những gì có vẻ là một cuộc gọi điện video deepfake rất thuyết phục.

Deepfakes , nghĩa là , âm thanh và video giả do trí tuệ nhân tạo tạo ra) đang xuất hiện với tần suất ngày càng tăng trong không gian tiền điện tử và các nơi khác. Trong vài tháng qua, các tác phẩm deepfake của tôi đã được sử dụng để quảng bá nhiều trò lừa đảo khác nhau, cũng như Dogecoin. Chất lượng của deepfake đang được cải thiện nhanh chóng: Trong khi deepfake của năm 2020 rõ ràng và tệ đến mức đáng xấu hổ, thì những deepfake trong vài tháng qua ngày càng trở nên khó phân biệt. Những người biết rõ về tôi vẫn có thể nhận ra video deepfake gần đây của tôi vì nó khiến tôi nói "đi thôi nào" trong khi tôi chỉ dùng "LFG" để "tìm nhóm" nhưng mới chỉ nghe đến nó vài lần Những người có giọng nói của tôi rất dễ bị thuyết phục.

Các chuyên gia bảo mật xung quanh vụ trộm 25 triệu USD nói trên đã nhất trí xác nhận rằng đây là một sai sót hiếm gặp và đáng xấu hổ về an ninh hoạt động của công ty ở nhiều cấp độ: Thông lệ tiêu chuẩn là phát hiện bất kỳ giao dịch chuyển tiền nào có quy mô lớn như vậy. cần phải tắt trước khi có thể phê duyệt chính thức. Nhưng ngay cả như vậy, thực tế vẫn là đến năm 2024, luồng âm thanh hoặc thậm chí video của một người sẽ không còn là cách an toàn để xác minh danh tính của họ nữa.

Điều này đặt ra câu hỏi: Cách an toàn là gì?

Chỉ mã hóa thôi thì không giải quyết được vấn đề

Khả năng xác minh danh tính của mọi người một cách an toàn có thể có giá trị đối với tất cả mọi người trong nhiều tình huống khác nhau: phục hồi xã hội hoặc Cá nhân đa mục đích ký ví, doanh nghiệp phê duyệt giao dịch thương mại, cá nhân phê duyệt các giao dịch lớn cho mục đích sử dụng cá nhân (ví dụ: đầu tư vào một công ty khởi nghiệp, mua nhà, chuyển tiền) cho dù bằng tiền điện tử hay tiền pháp định hoặc thậm chí cả thành viên gia đình trong trường hợp khẩn cấp cũng cần phải xác minh danh tính lẫn nhau. Vì vậy, điều quan trọng là phải có một giải pháp tốt có thể tồn tại trong kỷ nguyên deepfake tương đối dễ dàng sắp tới.

Một câu trả lời cho câu hỏi này mà tôi thường nghe trong giới tiền điện tử là: "Bạn có thể xác thực chính mình bằng cách cung cấp chữ ký mật mã từ một địa chỉ được đính kèm với ENS/Bằng chứng nhân loại/danh tính khóa PGP công cộng của bạn". Đây là một câu trả lời hấp dẫn. Tuy nhiên, nó hoàn toàn bỏ qua lý do tại sao việc có người khác tham gia khi ký kết một thỏa thuận lại hữu ích. Giả sử bạn là một cá nhân có ví cá nhân có nhiều chữ ký và bạn đang gửi một giao dịch mà bạn muốn một số người đồng ký tên phê duyệt. Trong hoàn cảnh nào họ sẽ chấp thuận? Nếu họ tin rằng bạn là người thực sự muốn thực hiện chuyển khoản. Nếu đó là hacker đánh cắp chìa khóa của bạn hoặc kẻ bắt cóc, họ sẽ không chấp nhận. Trong môi trường doanh nghiệp, bạn thường có nhiều lớp phòng thủ hơn; nhưng ngay cả khi đó, kẻ tấn công vẫn có thể mạo danh người quản lý, không chỉ đối với yêu cầu cuối cùng mà còn trong giai đoạn đầu của quá trình phê duyệt. Họ thậm chí có thể chiếm đoạt các yêu cầu hợp pháp đang được thực hiện bằng cách cung cấp địa chỉ không chính xác.

Vì vậy, trong nhiều trường hợp, nếu bạn ký bằng chìa khóa, những người ký khác sẽ chấp nhận rằng bạn là chính mình, điều này làm mất đi toàn bộ quan điểm: nó biến toàn bộ hợp đồng thành hợp đồng 1 trong 1 nhiều chữ ký, trong đó ai đó chỉ cần kiểm soát khóa duy nhất của bạn để đánh cắp tiền!

Đây là nơi chúng tôi nhận được câu trả lời thực sự hợp lý: Bảo mật.

Vấn đề bảo mật

Giả sử ai đó gửi cho bạn một tin nhắn văn bản tự xưng là bạn của bạn. Họ nhắn tin từ một tài khoản mà bạn chưa từng thấy trước đây và tuyên bố rằng họ đã mất tất cả thiết bị. Làm thế nào để bạn xác định được họ có phải là người như họ nói hay không?

Có một câu trả lời rõ ràng: Hãy hỏi họ điều gì đó về cuộc sống của họ mà chỉ họ mới biết. Những điều này phải là:

1. Bạn biết đấy

2. Bạn muốn họ ghi nhớ

3. p> p>

4. Trên mạng tôi không biết

5. Thật khó đoán

6. < p>Lý tưởng nhất là ngay cả những người đã đột nhập vào cơ sở dữ liệu của công ty và chính phủ cũng không biết

Câu hỏi tự nhiên nên hỏi họ là về kinh nghiệm được chia sẻ. Các ví dụ có thể bao gồm:

• Khi hai chúng ta gặp nhau lần cuối, chúng ta ăn tối ở nhà hàng nào và bạn ăn gì? đồ ăn?

• Ai trong số bạn bè của chúng ta đã nói đùa về một chính khách cổ đại? Đó là chính trị gia nào?

• Gần đây chúng ta đã xem bộ phim nào mà bạn không thích?

• Tuần trước bạn đề nghị tôi thảo luận với ____ khả năng họ giúp chúng tôi trong ____ nghiên cứu?

Một ví dụ thực tế về câu hỏi bảo mật gần đây mà ai đó đã sử dụng để xác minh danh tính của tôi.

Câu hỏi của bạn càng độc đáo thì càng tốt. Những câu hỏi khó mà mọi người phải suy nghĩ trong vài giây và thậm chí có thể quên câu trả lời là tốt: nhưng nếu người bạn hỏi khẳng định đã quên, hãy đảm bảo bạn hỏi họ thêm ba câu nữa. Yêu cầu chi tiết "vi mô" (điều ai đó thích hoặc không thích, câu chuyện cười cụ thể, v.v.) thường tốt hơn chi tiết "vĩ mô" vì những chi tiết trước đây thường khó bị bên thứ ba vô tình tìm hiểu hơn (ví dụ: ngay cả khi ai đó đăng trên Instagram Một bức ảnh về bữa tối, LLM hiện đại có khả năng chụp bức ảnh đó đủ nhanh và cung cấp vị trí trong thời gian thực). Nếu câu hỏi của bạn có thể đoán được (theo nghĩa là chỉ có một vài lựa chọn tiềm năng có ý nghĩa), hãy tăng entropy bằng cách thêm một câu hỏi khác.

Mọi người thường ngừng tham gia vào các hoạt động bảo mật nếu cảm thấy nhàm chán, vì vậy, việc làm cho các vấn đề bảo mật trở nên thú vị là điều lành mạnh! Chúng có thể là một cách để ghi nhớ những trải nghiệm được chia sẻ tích cực. Chúng có thể là động lực để thực sự có được những trải nghiệm này.

Các vấn đề bảo mật bổ sung

Không có chiến lược bảo mật nào là hoàn hảo, vì vậy tốt nhất nên kết hợp nhiều công nghệ lại với nhau.

• Mật khẩu được thỏa thuận trước: Khi ở cùng nhau, các bạn sẽ cố tình đồng ý về một mật khẩu dùng chung mà các bạn có thể sử dụng để xác thực lẫn nhau trong tương lai.

• Thậm chí có thể thống nhất được một từ ép buộc: bạn có thể vô tình chèn một từ vào câu, lặng lẽ báo hiệu cho người khác biết rằng bạn đang bị ép buộc hoặc bị đe dọa. Từ này phải đủ phổ biến để bạn cảm thấy tự nhiên khi sử dụng nó, nhưng đủ hiếm để bạn không vô tình chèn nó vào bài phát biểu của mình.

• Khi ai đó gửi cho bạn địa chỉ ETH, hãy yêu cầu họ xác nhận thông qua nhiều kênh (chẳng hạn như Signal và Twitter DM, trang web của công ty hoặc thậm chí thông qua những người quen biết chung)

• Ngăn chặn các cuộc tấn công trung gian: Tín hiệu "số an toàn", biểu tượng cảm xúc Telegram và các tính năng tương tự rất dễ hiểu và cần chú ý.

• Giới hạn và độ trễ hàng ngày: Đơn giản chỉ cần áp đặt sự chậm trễ đối với các hành động có hậu quả nghiêm trọng và không thể khắc phục được. Điều này có thể được thực hiện ở cấp chính sách (thỏa thuận trước với người ký rằng họ sẽ đợi N giờ hoặc ngày trước khi ký) hoặc ở cấp mã (áp đặt các hạn chế và trì hoãn trong mã hợp đồng thông minh)

< /ul>



Một cuộc tấn công có khả năng phức tạp, trong đó kẻ tấn công mạo danh người điều hành và người được giao ở nhiều bước trong quy trình phê duyệt.

Cả vấn đề bảo mật và sự chậm trễ đều ngăn điều này xảy ra; sử dụng cả hai Có thể tốt hơn.

Câu hỏi bảo mật rất tốt bởi vì, không giống như nhiều công nghệ khác thất bại vì chúng không mang tính cá nhân, các câu hỏi bảo mật được xây dựng dựa trên thông tin mà con người vốn có khả năng ghi nhớ tốt. Tôi đã sử dụng các câu hỏi về an toàn trong nhiều năm và đó là một thói quen thực sự mang lại cảm giác rất tự nhiên, không khó xử và đáng được đưa vào quy trình làm việc của bạn bên cạnh các lớp bảo vệ khác.

Xin lưu ý rằng các trường hợp sử dụng ở trên cho vấn đề bảo mật "giữa cá nhân" rất khác với vấn đề bảo mật "doanh nghiệp với cá nhân", chẳng hạn như khi bạn đi du lịch đến một quốc gia khác và thẻ tín dụng của bạn bị vô hiệu hóa 17 lần và bạn gọi cho ngân hàng của mình để thiết lập lại. Khi được kích hoạt, sau khi bạn xếp hàng 40 phút với âm nhạc khó chịu, một nhân viên ngân hàng xuất hiện và hỏi tên, ngày sinh của bạn và có thể cả ba giao dịch gần đây nhất của bạn. Các loại câu hỏi mà các cá nhân biết câu trả lời rất khác với các loại câu hỏi mà doanh nghiệp biết câu trả lời. Vì vậy, cần xem xét riêng biệt cả hai trường hợp.

Hoàn cảnh của mỗi người là khác nhau, do đó, loại thông tin được chia sẻ duy nhất mà bạn có với những người có thể cần xác thực sẽ khác nhau đối với những người khác nhau. Nói chung, việc thích ứng công nghệ với con người sẽ tốt hơn là con người thích ứng với công nghệ. Công nghệ không cần phải hoàn hảo mới có thể hoạt động: cách tiếp cận lý tưởng là kết hợp nhiều công nghệ lại với nhau cùng lúc và chọn công nghệ phù hợp nhất với bạn. Trong thế giới hậu deepfake, chúng ta cần điều chỉnh chiến lược của mình để thích ứng với thực tế mới về những gì ngày nay dễ làm giả và những gì vẫn khó giả mạo, nhưng miễn là chúng ta làm như vậy thì chúng ta vẫn hoàn toàn có thể giữ an toàn. .