index
index
初心者ガイド
ここからスタート
コース
記事
全てアルトコインビットコインブロックチェーンDeFiイーサリアムメタバースNFT取引チュートリアルFutures取引ボットBRC-20GameFiDAOマクロトレンドウォレットInscriptionテクノロジー「ミーム」AISocialFiDePin(ディーピン)ステーブルコインリキッド・ステーキング金融RWAモジュラー型ブロックチェーンゼロ知識証明「リステイキング」「暗号資産ツール」「エアドロップ」「Gateの商品」セキュリティプロジェクト分析CryptoPulseリサーチ TONエコシステム Layer 2Solana支払い マイニング注目のトピックP2PSuiエコシステムチェーン抽象化オプションクイックリード ビデオデイリーレポート
用語集
検索
私のコレクション
Creator Incentive
イベント
クリエイターズアリーナ
キャンパスアンバサダー
動画クリエイターコンテスト
デイリースタディチャレンジ
話題のチェックイン
Learn
セキュリティに関する質問をする

セキュリティに関する質問をする

中級
ブロックチェーンマクロトレンド
2/25/2024, 3:16:41 AM
この記事では、セキュリティ問題の重要性について詳しく説明し、それらに対処するための戦略について説明します。

フィードバックとレビューを提供してくれたHudson Jameson、OfficerCIA、samczsunに感謝します。

先週、ある会社が 2500万ドルを失った とき、金融担当者がCFOのふりをした詐欺師に銀行振込を送るように説得されたという記事が流れています...非常に説得力のあるディープフェイクビデオ通話であったと思われるものについて。

ディープフェイク(すなわち、 AIが生成した偽の音声や動画)は、暗号空間でも他の場所でも、ますます頻繁に登場しています。 過去数ヶ月にわたり、私のディープフェイクは、 犬のコイン だけでなく、 あらゆる種類の詐欺 の宣伝に使用されてきました。2020年のディープフェイクは恥ずかしい ほど明白で悪質なものでしたが、ここ数ヶ月のディープフェイクはますます見分けが難しくなっています。 私のことをよく知っている人なら、 私が犬のコインをシリングしている 最近の動画は、私が「Let's f*ing go」と言っているので、偽物だと見分けることができますが、私は「 LFG」を「グループを探している」という意味でしか使ったことがないのですが、私の声を数回しか聞いたことがない人は簡単に納得できるでしょう。

上記の2,500万ドルの窃盗について言及したセキュリティ専門家は、一様に、これは複数のレベルでの企業の運用セキュリティの例外的で恥ずかしい失敗であったことを認めています。 しかし、それでもなお、2024年現在、人の音声やビデオストリームでさえ、その人が誰であるかを認証するための安全な方法ではなくなったという事実は変わりません。

ここで疑問が湧いてきます。

暗号方式だけでは答えになりません

ソーシャルリカバリーやマルチシグウォレットを回収する個人、商取引を承認する企業、暗号資産や法定通貨など、個人使用のための大規模な取引(スタートアップへの投資、家の購入、送金など)を承認する個人、さらには緊急時にお互いを認証する必要がある家族など、あらゆる状況で人々を安全に認証できることは、あらゆる種類の人々にとって価値があります。ですから、比較的簡単なディープフェイクの時代を生き延びることができる優れたソリューションを持つことが本当に重要です。

暗号業界でよく聞かれるこの質問に対する答えの1つは、「ENS/人類の証明プロファイル/PGP公開鍵に添付されたアドレスから暗号署名を提供することで、自分自身を認証できる」というものです。 これは魅力的な答えです。 しかし、そもそもなぜ取引にサインオフする際に他の人を巻き込むことが役立つのかという点を完全に見落としています。 あなたが個人用のマルチシグウォレットを持っている個人で、連帯保証人に承認してもらいたいトランザクションを送信しているとします。 どのような状況で承認されるのでしょうか? 彼らが、あなたが実際に転送を望んでいる人であると確信している場合。 鍵を盗んだのがハッカーや誘拐犯だったら、彼らは認めないでしょう。 エンタープライズのコンテキストでは、通常、より多くの防御層があります。しかし、それでも、攻撃者は最終的な要求だけでなく、承認プロセスの初期段階でもマネージャーになりすます可能性があります。 彼らは、間違ったアドレスを提供することで、進行中の正当な要求を乗っ取ることさえあります。

そして、多くの場合、あなたがあなたの鍵で署名すれば、他の署名者があなたであることを受け入れて、全体のポイントを殺します:それは、誰かが資金を盗むためにあなたの単一の鍵のコントロールをつかむだけでよい1対1のマルチシグに契約全体を回します!

ここで、実際に意味のある答えの 1 つ、つまりセキュリティの質問にたどり着きます。

セキュリティの質問

誰かがあなたの友人である特定の人物であると主張するテキストメッセージを送ったとします。 彼らはあなたが今まで見たことのないアカウントからテキストメッセージを送っており、すべてのデバイスを紛失したと主張しています。 相手が本人であるかどうかは、どのように判断するのでしょうか?

答えは明白です:自分の人生について彼らだけが知っていることを彼らに尋ねることです。 これらは、次のものである必要があります。

  1. ご存知のとおり
  2. あなたは彼らが覚えていることを期待しています
  3. インターネットは知りません
  4. 推測が難しい
  5. 理想的には、企業や政府のデータベースをハッキングした人でさえ、それを知らないことです

彼らに尋ねるのは自然なことであり、経験を共有することです。 たとえば、次のようなものがあります。

  • 最後に2人で会った時、夕食はどのレストランで食べたし、どんな料理を食べた?
  • 古代の政治家についてそんな冗談を言った友人は誰ですか? そして、それはどの政治家でしたか?
  • 最近見た映画で、気に入らなかったのはどれですか?
  • 先週、 研究を手伝ってくれないか と相談してみませんか?

最近、誰かが私を認証するために使用したセキュリティの質問の実際の例。

質問がユニークであればあるほど良いです。 誰かが数秒考えなければならず、答えを忘れてしまうかもしれないギリギリの質問は良いものですが、質問している人が忘れたと主張する場合は、必ずさらに3つの質問をしてください。 「ミクロ」の詳細(誰かが好き嫌い、特定のジョークなど)について尋ねることは、「マクロ」の詳細よりも優れていることがよくあります。 1人でも夕食の写真をインスタグラムに投稿したとしたら、現代のLLMはそれをキャッチしてリアルタイムで位置情報を提供するのに十分な速さであるかもしれません。 質問が推測可能である可能性がある場合 (意味のある潜在的な選択肢がわずかしかないという意味で)、別の質問を追加してエントロピーを積み重ねます。

退屈で退屈なセキュリティプラクティスは、多くの場合、人々はセキュリティプラクティスに関与するのをやめてしまうため、セキュリティの質問を楽しいものにすることは健全です。 それらは、肯定的な共有経験を思い出す方法になり得ます。 そして、それらは、そもそも実際にそのような経験をするインセンティブにもなり得ます。

セキュリティの質問を補完する

単一のセキュリティ戦略は完璧ではないため、複数の手法を組み合わせることが常に最善です。

  • 事前に合意されたコードワード:一緒にいるときは、後でお互いを認証するために使用できる共有コードワードに意図的に同意します。
  • もしかしたら、強要の鍵、つまり、無邪気に文章に挿入できる言葉で、強要されたり脅迫されたりしていることを相手に静かに知らせることができる言葉に同意するかもしれません。 この単語は、使用時に自然に感じられるほど一般的であるべきですが、誤ってスピーチに挿入しない程度にまれである必要があります。
  • 誰かがあなたにETHアドレスを送ってきたら、複数のチャネルで確認するように頼みます(例: シグナルやツイッターのDM、会社のホームページ、あるいは共通の知人を通じて)
  • 中間者攻撃に対する防御: シグナルの「安全番号」、Telegram の絵文字 、および同様の機能はすべて、理解し、注意することをお勧めします。
  • 毎日の制限と遅延:非常に重要で不可逆的なアクションに遅延を課すだけです。 これは、ポリシーレベル(署名前にN時間または数日待つことを署名者と事前に合意する)またはコードレベル(スマートコントラクトコードに制限と遅延を課す)のいずれかで行うことができます

攻撃者が承認プロセスの複数のステップでエグゼクティブと被付与者になりすます、潜在的な高度な攻撃。 セキュリティの質問と遅延は、どちらもこれを防ぐことができます。おそらく両方を使用する方が良いでしょう。

セキュリティの質問は、人間に優しくないために失敗する他の多くの手法とは異なり、セキュリティの質問は、人間が自然に覚えるのが得意な情報に基づいて構築されるため、便利です。 私は何年もセキュリティの質問を使ってきましたが、これは実際には非常に自然でぎこちなく感じられる習慣であり、他の保護層に加えて、ワークフローに含める価値があります。

上記の「個人間」のセキュリティ質問は、「企業間」のセキュリティ質問とは使用例が大きく異なります。たとえば、別の国に旅行した後、クレジットカードが17回目に無効になった後、銀行に電話してクレジットカードを再アクティブ化し、迷惑な音楽の40分間のキューを過ぎると、銀行員が現れて名前を尋ねる場合などです。 あなたの誕生日と、おそらくあなたの最後の3つの取引。 個人が答えを知っている質問の種類は、企業が答えを知っている質問とは大きく異なります。 したがって、これら 2 つのケースについては、まったく別々に考える価値があります。

状況は人によって異なるため、認証が必要なユーザーと共有する固有の情報の種類は、ユーザーによって異なります。 一般的には、テクニックを人に適応させるのであって、人をテクニックに適合させるのが良いでしょう。 テクニックは完璧である必要はなく、複数のテクニックを同時に組み合わせて、自分に最適なテクニックを選択するのが理想的なアプローチです。 ディープフェイク後の世界では、偽造が容易で、偽造が困難なままであるという新しい現実に戦略を適応させる必要がありますが、そうする限り、安全を維持することは十分に可能です。

免責事項:

  1. この記事は[Vitalik Buterin]から転載されており、すべての著作権は原作者[Vitalik Buterin]に帰属します。 この転載に異議がある場合は、 Gate Learn チームに連絡していただければ、迅速に対応いたします。
  2. 免責事項:この記事で表明された見解や意見は、著者のものであり、投資アドバイスを構成するものではありません。
  3. 記事の他言語への翻訳は、Gate Learnチームによって行われます。 特に明記されていない限り、翻訳された記事を複製、配布、盗用することは禁止されています。

株式

内容

暗号方式だけでは答えになりません

セキュリティの質問

セキュリティの質問を補完する

セキュリティに関する質問をする

中級2/25/2024, 3:16:41 AM
この記事では、セキュリティ問題の重要性について詳しく説明し、それらに対処するための戦略について説明します。
ブロックチェーンマクロトレンド

暗号方式だけでは答えになりません

セキュリティの質問

セキュリティの質問を補完する

フィードバックとレビューを提供してくれたHudson Jameson、OfficerCIA、samczsunに感謝します。

先週、ある会社が 2500万ドルを失った とき、金融担当者がCFOのふりをした詐欺師に銀行振込を送るように説得されたという記事が流れています...非常に説得力のあるディープフェイクビデオ通話であったと思われるものについて。

ディープフェイク(すなわち、 AIが生成した偽の音声や動画)は、暗号空間でも他の場所でも、ますます頻繁に登場しています。 過去数ヶ月にわたり、私のディープフェイクは、 犬のコイン だけでなく、 あらゆる種類の詐欺 の宣伝に使用されてきました。2020年のディープフェイクは恥ずかしい ほど明白で悪質なものでしたが、ここ数ヶ月のディープフェイクはますます見分けが難しくなっています。 私のことをよく知っている人なら、 私が犬のコインをシリングしている 最近の動画は、私が「Let's f*ing go」と言っているので、偽物だと見分けることができますが、私は「 LFG」を「グループを探している」という意味でしか使ったことがないのですが、私の声を数回しか聞いたことがない人は簡単に納得できるでしょう。

上記の2,500万ドルの窃盗について言及したセキュリティ専門家は、一様に、これは複数のレベルでの企業の運用セキュリティの例外的で恥ずかしい失敗であったことを認めています。 しかし、それでもなお、2024年現在、人の音声やビデオストリームでさえ、その人が誰であるかを認証するための安全な方法ではなくなったという事実は変わりません。

ここで疑問が湧いてきます。

暗号方式だけでは答えになりません

ソーシャルリカバリーやマルチシグウォレットを回収する個人、商取引を承認する企業、暗号資産や法定通貨など、個人使用のための大規模な取引(スタートアップへの投資、家の購入、送金など)を承認する個人、さらには緊急時にお互いを認証する必要がある家族など、あらゆる状況で人々を安全に認証できることは、あらゆる種類の人々にとって価値があります。ですから、比較的簡単なディープフェイクの時代を生き延びることができる優れたソリューションを持つことが本当に重要です。

暗号業界でよく聞かれるこの質問に対する答えの1つは、「ENS/人類の証明プロファイル/PGP公開鍵に添付されたアドレスから暗号署名を提供することで、自分自身を認証できる」というものです。 これは魅力的な答えです。 しかし、そもそもなぜ取引にサインオフする際に他の人を巻き込むことが役立つのかという点を完全に見落としています。 あなたが個人用のマルチシグウォレットを持っている個人で、連帯保証人に承認してもらいたいトランザクションを送信しているとします。 どのような状況で承認されるのでしょうか? 彼らが、あなたが実際に転送を望んでいる人であると確信している場合。 鍵を盗んだのがハッカーや誘拐犯だったら、彼らは認めないでしょう。 エンタープライズのコンテキストでは、通常、より多くの防御層があります。しかし、それでも、攻撃者は最終的な要求だけでなく、承認プロセスの初期段階でもマネージャーになりすます可能性があります。 彼らは、間違ったアドレスを提供することで、進行中の正当な要求を乗っ取ることさえあります。

そして、多くの場合、あなたがあなたの鍵で署名すれば、他の署名者があなたであることを受け入れて、全体のポイントを殺します:それは、誰かが資金を盗むためにあなたの単一の鍵のコントロールをつかむだけでよい1対1のマルチシグに契約全体を回します!

ここで、実際に意味のある答えの 1 つ、つまりセキュリティの質問にたどり着きます。

セキュリティの質問

誰かがあなたの友人である特定の人物であると主張するテキストメッセージを送ったとします。 彼らはあなたが今まで見たことのないアカウントからテキストメッセージを送っており、すべてのデバイスを紛失したと主張しています。 相手が本人であるかどうかは、どのように判断するのでしょうか?

答えは明白です:自分の人生について彼らだけが知っていることを彼らに尋ねることです。 これらは、次のものである必要があります。

  1. ご存知のとおり
  2. あなたは彼らが覚えていることを期待しています
  3. インターネットは知りません
  4. 推測が難しい
  5. 理想的には、企業や政府のデータベースをハッキングした人でさえ、それを知らないことです

彼らに尋ねるのは自然なことであり、経験を共有することです。 たとえば、次のようなものがあります。

  • 最後に2人で会った時、夕食はどのレストランで食べたし、どんな料理を食べた?
  • 古代の政治家についてそんな冗談を言った友人は誰ですか? そして、それはどの政治家でしたか?
  • 最近見た映画で、気に入らなかったのはどれですか?
  • 先週、 研究を手伝ってくれないか と相談してみませんか?

最近、誰かが私を認証するために使用したセキュリティの質問の実際の例。

質問がユニークであればあるほど良いです。 誰かが数秒考えなければならず、答えを忘れてしまうかもしれないギリギリの質問は良いものですが、質問している人が忘れたと主張する場合は、必ずさらに3つの質問をしてください。 「ミクロ」の詳細(誰かが好き嫌い、特定のジョークなど)について尋ねることは、「マクロ」の詳細よりも優れていることがよくあります。 1人でも夕食の写真をインスタグラムに投稿したとしたら、現代のLLMはそれをキャッチしてリアルタイムで位置情報を提供するのに十分な速さであるかもしれません。 質問が推測可能である可能性がある場合 (意味のある潜在的な選択肢がわずかしかないという意味で)、別の質問を追加してエントロピーを積み重ねます。

退屈で退屈なセキュリティプラクティスは、多くの場合、人々はセキュリティプラクティスに関与するのをやめてしまうため、セキュリティの質問を楽しいものにすることは健全です。 それらは、肯定的な共有経験を思い出す方法になり得ます。 そして、それらは、そもそも実際にそのような経験をするインセンティブにもなり得ます。

セキュリティの質問を補完する

単一のセキュリティ戦略は完璧ではないため、複数の手法を組み合わせることが常に最善です。

  • 事前に合意されたコードワード:一緒にいるときは、後でお互いを認証するために使用できる共有コードワードに意図的に同意します。
  • もしかしたら、強要の鍵、つまり、無邪気に文章に挿入できる言葉で、強要されたり脅迫されたりしていることを相手に静かに知らせることができる言葉に同意するかもしれません。 この単語は、使用時に自然に感じられるほど一般的であるべきですが、誤ってスピーチに挿入しない程度にまれである必要があります。
  • 誰かがあなたにETHアドレスを送ってきたら、複数のチャネルで確認するように頼みます(例: シグナルやツイッターのDM、会社のホームページ、あるいは共通の知人を通じて)
  • 中間者攻撃に対する防御: シグナルの「安全番号」、Telegram の絵文字 、および同様の機能はすべて、理解し、注意することをお勧めします。
  • 毎日の制限と遅延:非常に重要で不可逆的なアクションに遅延を課すだけです。 これは、ポリシーレベル(署名前にN時間または数日待つことを署名者と事前に合意する)またはコードレベル(スマートコントラクトコードに制限と遅延を課す)のいずれかで行うことができます

攻撃者が承認プロセスの複数のステップでエグゼクティブと被付与者になりすます、潜在的な高度な攻撃。 セキュリティの質問と遅延は、どちらもこれを防ぐことができます。おそらく両方を使用する方が良いでしょう。

セキュリティの質問は、人間に優しくないために失敗する他の多くの手法とは異なり、セキュリティの質問は、人間が自然に覚えるのが得意な情報に基づいて構築されるため、便利です。 私は何年もセキュリティの質問を使ってきましたが、これは実際には非常に自然でぎこちなく感じられる習慣であり、他の保護層に加えて、ワークフローに含める価値があります。

上記の「個人間」のセキュリティ質問は、「企業間」のセキュリティ質問とは使用例が大きく異なります。たとえば、別の国に旅行した後、クレジットカードが17回目に無効になった後、銀行に電話してクレジットカードを再アクティブ化し、迷惑な音楽の40分間のキューを過ぎると、銀行員が現れて名前を尋ねる場合などです。 あなたの誕生日と、おそらくあなたの最後の3つの取引。 個人が答えを知っている質問の種類は、企業が答えを知っている質問とは大きく異なります。 したがって、これら 2 つのケースについては、まったく別々に考える価値があります。

状況は人によって異なるため、認証が必要なユーザーと共有する固有の情報の種類は、ユーザーによって異なります。 一般的には、テクニックを人に適応させるのであって、人をテクニックに適合させるのが良いでしょう。 テクニックは完璧である必要はなく、複数のテクニックを同時に組み合わせて、自分に最適なテクニックを選択するのが理想的なアプローチです。 ディープフェイク後の世界では、偽造が容易で、偽造が困難なままであるという新しい現実に戦略を適応させる必要がありますが、そうする限り、安全を維持することは十分に可能です。

免責事項:

  1. この記事は[Vitalik Buterin]から転載されており、すべての著作権は原作者[Vitalik Buterin]に帰属します。 この転載に異議がある場合は、 Gate Learn チームに連絡していただければ、迅速に対応いたします。
  2. 免責事項:この記事で表明された見解や意見は、著者のものであり、投資アドバイスを構成するものではありません。
  3. 記事の他言語への翻訳は、Gate Learnチームによって行われます。 特に明記されていない限り、翻訳された記事を複製、配布、盗用することは禁止されています。
今すぐ始める
登録して、
$100
のボーナスを獲得しよう!