Web3 ที่ปราศจากวลีช่วยจำ: AA × Passkey จะกำหนดทิศทางของคริปโตเคอร์เรนซีในทศวรรษหน้าอย่างไร?

หากคุณอยู่ในแวดวง Web3 มาสักระยะหนึ่งแล้ว แม้ว่าคุณจะระมัดระวังและโชคดีที่ไม่เคยประสบกับช่วงเวลาที่เลวร้ายที่สุดอย่างการถูกขโมยทรัพย์สิน คุณก็คงเคยได้ยินคำขอความช่วยเหลือแบบนี้ในชุมชนอย่างแน่นอน:

"ฉันไม่เคยแคปหน้าจอ และไม่เคยบอกวลีช่วยจำให้ใครเลย ฉันแค่ใช้กระเป๋าเงินดิจิทัลตามปกติ แล้วทำไมทรัพย์สินของฉันถึงหายไปล่ะ?" สิ่งที่น่าสิ้นหวังที่สุดในกรณีเหล่านี้คือ เหยื่อไม่รู้เลยว่ากระเป๋าเงินดิจิทัลของตนถูกแฮ็กไปที่ไหน

บางคนติดตั้งปลั๊กอินเบราว์เซอร์ที่ติดมัลแวร์โดยไม่รู้ตัว บางคนบันทึกวลีช่วยจำไว้ในแอปโน้ตของโทรศัพท์ แต่กลับถูกซิงค์ไปยังเซิร์ฟเวอร์ที่ไม่รู้จัก บางคนโทรศัพท์ติดมัลแวร์ ทำให้เนื้อหาในคลิปบอร์ดถูกอัปโหลดโดยไม่รู้ตัว และบางคนถึงกับเชื่อมต่อกับเว็บไซต์ปลอม ป้อนวลีช่วยจำ แล้วภายในไม่กี่วินาที กระเป๋าเงินของพวกเขาก็ว่างเปล่า...

นี่ไม่ใช่การพูดเกินจริง อาจกล่าวได้ว่าเบื้องหลังการหลอกลวงแบบฟิชชิ่งส่วนใหญ่ในวงการคริปโต มักมีจุดอ่อนร่วมกันอย่างหนึ่ง นั่นคือวลีช่วยจำ บทความนี้จะวิเคราะห์ด้วยว่าทำไมวลีช่วยจำจึงกลายเป็นจุดอ่อนที่ใหญ่ที่สุดในด้านความปลอดภัยของสินทรัพย์ และการแยกบัญชี (AA) และ Passkey คาดว่าจะเข้ามาเปลี่ยนแปลงนิยามของอธิปไตยของสินทรัพย์อย่างไร

I. ข้อจำกัดของแบบจำลอง EOA: "วลีช่วยจำ" กลายเป็นคำสาป

เราต้องยอมรับความจริงที่ว่า ปัญหาของบัญชี EOA ไม่ได้อยู่ที่ว่า "ไม่ปลอดภัยเพียงพอ" แต่เป็นเพราะว่าบัญชีเหล่านี้ถูกกำหนดเงื่อนไขที่ซับซ้อนเกินไปตั้งแต่แรกเริ่ม

อย่างที่ทราบกันดี ในโมเดล EOA แบบดั้งเดิม วลีช่วยจำถือเป็นหัวใจสำคัญของโลกคริปโตเคอร์เรนซี วลีเริ่มต้นที่มี 12 หรือ 24 คำ แสดงถึงการควบคุมอย่างสมบูรณ์เหนือสินทรัพย์บนบล็อกเชน และถือเป็นคุณลักษณะที่โดดเด่นที่สุดของความปลอดภัยของคริปโตเคอร์เรนซีในสายตาของผู้มาใหม่—"คีย์ส่วนตัว/วลีช่วยจำคือสินทรัพย์":

ตราบใดที่คุณยังถือรหัสนี้อยู่ ไม่มีใคร ไม่ว่าจะเป็นตลาดแลกเปลี่ยนหรือผู้ตรวจสอบความถูกต้อง สามารถระงับ ยึด หรือดำเนินการใดๆ ในนามของคุณได้ อย่างไรก็ตาม การกระจายอำนาจอย่างสมบูรณ์นี้เป็นดาบสองคม หมายถึง "การควบคุมอย่างเบ็ดเสร็จ" แต่ก็หมายถึง "จุดอ่อนเพียงจุดเดียว" ที่หลีกเลี่ยงไม่ได้เช่นกัน

สิ่งสำคัญที่สุดคือ คุณไม่สามารถย้อนกลับได้ เมื่อวลีช่วยจำของคุณรั่วไหล (แม้จะเป็นเพียงภาพหน้าจอจากหลายปีก่อน ตราบใดที่มันถูกคัดลอกหรือซิงค์) กระเป๋าเงินของคุณจะไม่ปลอดภัยอีกต่อไป และคุณไม่สามารถรีเซ็ตวลีช่วยจำของคุณได้เหมือนกับการ "เปลี่ยนรหัสผ่าน" ในแอปธนาคาร/Alipay/WeChat

ทางออกเดียวคือต้องทิ้งกระเป๋าเงินดิจิทัลนั้นไปและโอนสินทรัพย์ออกไป ซึ่งหมายความว่าหากผู้โจมตีเร็วกว่าคุณ คุณก็ไม่มีโอกาสที่จะ "ยกเลิก" หรือกู้คืนสินทรัพย์ได้เลย

ประการที่สอง ในสายตาของแฮกเกอร์ มันเป็น "กับดักล่อเป้าที่สมบูรณ์แบบ" เพราะสิทธิ์ในการเข้าถึงวลีช่วยจำนั้นกว้างขวางเกินไป แฮกเกอร์ไม่จำเป็นต้องเจาะระบบป้องกันการเข้ารหัสที่แข็งแกร่งของบล็อกเชน ไม่ว่าจะเป็นโทรจัน กระเป๋าเงินปลอม ปลั๊กอินปลอม เว็บไซต์ฟิชชิ่ง บริการลูกค้าปลอม ฯลฯ พวกเขาเพียงแค่ต้องเจาะระบบป้องกันของคุณเท่านั้น เส้นทางการโจมตีทั้งหมดจะมาบรรจบกันที่เป้าหมายเดียวกัน นั่นคือการล่อลวงให้คุณมอบคำ 12/24 คำนั้นให้พวกเขา

สุดท้ายนี้ สำหรับผู้ใช้งานยุคใหม่ที่คุ้นเคยกับ Face ID และการชำระเงินด้วยลายนิ้วมือ การทำความเข้าใจและจัดเก็บวลีช่วยจำบนกระดาษอย่างปลอดภัยนั้นเป็นอุปสรรคทางความคิดอย่างมาก สิ่งนี้ไม่เพียงแต่ขัดขวางการใช้งาน Web3 ในวงกว้างเท่านั้น แต่ยังทำให้ทุกปฏิสัมพันธ์มาพร้อมกับความกังวลใจว่า "ฉันจะทำมันหายหรือเปล่า?"

มันเหมือนกับการเฝ้าประตูที่เปิดได้ด้วย "กุญแจดอกเดิม" เท่านั้น กุญแจดอกนั้นเองก็อาจสัมผัสกับการใช้งานประจำวันของผู้ใช้ และความเสี่ยงจากอุปกรณ์และสภาพแวดล้อมของระบบต่างๆ

ด้วยเหตุนี้ ตั้งแต่ปี 2022 เป็นต้น มา กระเป๋าเงินดิจิทัลแบบใช้คีย์ส่วนตัวที่ไม่ต้องใช้รหัสช่วยจำ/ข้อความธรรมดา ซึ่งเกินขีดจำกัดของ EOA จึงค่อยๆ กลายเป็นหัวข้อการศึกษาที่ได้รับความนิยม ตั้งแต่เทคโนโลยี MPC ไปจนถึงกระเป๋าเงินดิจิทัลแบบ CA ทุกคนต่างกำลังมองหาวิธีแก้ปัญหาที่ดีกว่า ซึ่งสามารถรักษาอำนาจอธิปไตยของสินทรัพย์ตามมาตรฐาน Web3 และใช้งานง่ายและปลอดภัยเหมือนกับการปลดล็อกโทรศัพท์ด้วย Face ID

ในปัจจุบัน เมื่อพิจารณาถึงการผสานรวมเทคโนโลยี Account Abstraction (AA) และ Passkey เราอาจมีโอกาสที่จะยุติยุคแห่งการครอบงำของวลีช่วยจำในทศวรรษหน้าได้

II. รหัสผ่าน: เปลี่ยนตัวเองให้เป็นกุญแจ

หากการแยกส่วนบัญชี (Account Abstraction หรือ AA) ปลดปล่อยบัญชีจาก "คีย์ส่วนตัวเดียว" นำไปสู่ยุคใหม่ของการกู้คืน การอัปเกรด และการกำหนดค่า (อ่านเพิ่มเติม: " จาก EOA สู่การแยกส่วนบัญชี: การก้าวกระโดดครั้งต่อไปของ Web3 จะเกิดขึ้นใน 'ระบบบัญชี' หรือไม่? ") แล้ว Passkey ก็คือ "กุญแจสำคัญที่สุด" ที่ขับเคลื่อนการเปลี่ยนแปลงเชิงคุณภาพในประสบการณ์ของผู้ใช้

หลายคนอาจยังไม่คุ้นเคยกับคำว่า Passkey ที่จริงแล้ว ในฐานะเทคโนโลยีการเข้าสู่ระบบแบบไม่ต้องใช้รหัสผ่านซึ่งอิงตามมาตรฐาน FIDO Passkey เป็นมาตรฐานเทคโนโลยีแบบไม่ต้องใช้รหัสผ่านรุ่นใหม่ที่บริษัทยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Apple และ Google ต่างผลักดันอย่างหนักมานานแล้ว

ในโลกของคริปโตเคอร์เรนซี ความสำคัญของมันนั้นลึกซึ้งเป็นพิเศษ

กล่าวโดยสรุป Passkey คือรหัสดิจิทัลที่จัดเก็บไว้ในชิปความปลอดภัยของอุปกรณ์ของคุณ (เช่น โทรศัพท์มือถือหรือคอมพิวเตอร์) มันช่วยให้คุณไม่ต้องจำ บันทึก หรือป้อนวลีช่วยจำอีกต่อไป คุณสามารถใช้ไบโอเมตริก (Face ID/ลายนิ้วมือ) บนอุปกรณ์ของคุณเพื่อเข้าสู่ระบบได้เลย

อันที่จริง หลายคนอาจเคยได้รับประโยชน์จากความสะดวกสบายของ Passkey โดยไม่รู้ตัวมาก่อนแล้ว เช่น เมื่อคุณล็อกอินเข้าแอปบนอุปกรณ์ Apple หรือเข้าชมเว็บไซต์ในเบราว์เซอร์ คุณสามารถทำสิ่งที่ก่อนหน้านี้ต้องใช้รหัสผ่านได้ง่ายๆ เพียงแค่ "สแกนใบหน้า"/ลายนิ้วมือ/ป้อนรหัส PIN

ประสบการณ์นี้ช่างน่าหลงใหล เพราะทั้งราบรื่นและปลอดภัย ดังนั้น หากกระเป๋าเงิน Web3 รองรับ Passkey ผู้ใช้ก็จะสามารถหลีกเลี่ยงการแตะต้องรหัสส่วนตัวของตนได้อย่างสิ้นเชิงในทางทฤษฎี นอกจากนี้ ด้วยการผสานรวมการจัดการบัญชีแบบนามธรรม แม้แต่ขั้นตอนการคิดค่าธรรมเนียม (gas) ก็สามารถลดความซับซ้อนลงได้ ทำให้เกิดประสบการณ์ที่ "ราบรื่น" อย่างที่ไม่เคยมีมาก่อน

แล้วทำไม Passkey ถึงมีความทนทานต่อการฟิชชิ่งมากกว่าโหมด EOA? เพราะมันมีคุณสมบัติพิเศษสองอย่างที่โหมดวลีช่วยจำแบบดั้งเดิมไม่สามารถมีได้:

• กุญแจส่วนตัวของคุณจะไม่มีวันออกจากอุปกรณ์และไม่สามารถถูก "หลอกลวง" ได้: วลีช่วยจำคือชุดตัวอักษรที่คุณสามารถส่งให้ผู้อื่นได้ แต่รหัสผ่านนั้นผูกติดอยู่กับอุปกรณ์ฮาร์ดแวร์ของคุณ กุญแจส่วนตัวจะไม่มีวันออกจากตัวเครื่องหลักของอุปกรณ์ และแฮกเกอร์ไม่สามารถหลอกให้คุณ "ป้อน" ลายนิ้วมือหรือข้อมูลใบหน้าของคุณผ่านเว็บไซต์ฟิชชิ่งหรือปลั๊กอินเบราว์เซอร์ที่ถูกดัดแปลงได้
• กำจัดเว็บไซต์ปลอมตั้งแต่ต้น: นี่คือหนึ่งในคุณสมบัติเด่นที่สำคัญของ Passkey โดยอาศัยกลไกการเชื่อมต่อ WebAuthn / FIDO2 โปรโตคอล Passkey จะบังคับให้ตรวจสอบชื่อโดเมนของเว็บไซต์ปัจจุบัน หมายความว่าแม้ว่าคุณจะเผลอเข้าเว็บไซต์ที่เป็นการฉ้อโกง (เช่น เว็บไซต์ปลอมของ imToken ที่ส่งข้อความก่อกวน) อุปกรณ์ของคุณก็จะตรวจพบว่าชื่อโดเมนไม่ตรงกันและปฏิเสธการตรวจสอบไบโอเมตริก นี่คือการป้องกันระดับระบบที่ไม่ต้องอาศัยการตัดสินใจด้วยตนเองของคุณ

ในขณะเดียวกัน Passkey มอบประสบการณ์การใช้งานที่ราบรื่น ไม่ต้องใช้คำช่วยจำ ภาพหน้าจอ หรือการสำรองข้อมูลใดๆ การเข้าสู่ระบบ การลงลายมือชื่อ และการอนุญาต สามารถทำได้ง่ายๆ เพียงแค่แตะลายนิ้วมือหรือสแกนใบหน้าของคุณ

นี่คือเหตุผลที่ Passkey เมื่อใช้งานร่วมกับ AA จึงถูกมองในโลกของ Web3 ว่าเป็นโซลูชันที่ช่วยเพิ่มทั้งประสบการณ์การใช้งานและความปลอดภัยไปพร้อมๆ กัน มากกว่าจะเป็นเพียงการแก้ไขที่ทำให้ผู้ใช้ระมัดระวังมากขึ้นในการเรียนรู้วิธีการใช้งาน

III. ปรัชญาด้านความปลอดภัยและประสบการณ์การใช้งาน Web3 รุ่นใหม่

จากมุมมองนี้ เมื่อ AA ผสานการทำงานกับ Passkey เราจึงสามารถสร้างโมเดลบัญชีที่ใช้งานง่าย ปลอดภัย และรองรับอนาคตได้ดียิ่งขึ้นในที่สุด

คุณสามารถทำความเข้าใจปรัชญาใหม่ด้านความปลอดภัยและประสบการณ์นี้ได้ดังต่อไปนี้:

• บุคคลคือหัวใจสำคัญ: บัญชีได้รับการปกป้องโดยตัวอุปกรณ์เอง และ Face ID/ลายนิ้วมือคือลายเซ็นของคุณ
• การแยกทางกายภาพ: ระบบรักษาความปลอดภัยอยู่ในระดับฮาร์ดแวร์ โดยข้อมูลจะถูกจัดเก็บไว้ในชิปที่ปลอดภัย และมัลแวร์ประเภทโทรจันไม่สามารถส่งออกหรืออ่านได้
• การโรมมิ่งบนระบบคลาวด์: ด้วยวิธีการซิงค์ข้อมูล เช่น iCloud บัญชีของคุณสามารถโรมมิ่งได้อย่างปลอดภัยบนอุปกรณ์หลายเครื่อง
• การป้องกันระบบ: ไม่ใช่การทำให้ผู้ใช้ต้องพยายามมากขึ้นในการแยกแยะระหว่างเว็บไซต์จริงและเว็บไซต์ปลอม แต่เป็นการทำให้ระบบฉลาดขึ้นและบล็อกความเสี่ยงโดยอัตโนมัติ

ทั้งหมดนี้ก่อให้เกิดกระบวนทัศน์ใหม่ ซึ่งไม่ใช่การทำให้ผู้ใช้ต้องทำงานหนักขึ้นเพื่อเรียนรู้และปกป้องตนเอง แต่เป็นการทำให้ระบบฉลาดขึ้น

ยกตัวอย่างเช่น imToken Web เป็นแอปพลิเคชันบนเว็บที่ไม่เก็บรักษาข้อมูลของผู้ใช้ เน้นการใช้งานโทเค็น ออกแบบมาเพื่อให้ผู้ใช้สามารถสร้างหรือเข้าสู่ระบบบัญชีได้อย่างรวดเร็วและปลอดภัย โดยไม่ต้องตั้งค่าหรือสำรองข้อมูลคีย์ส่วนตัว/วลีช่วยจำ และเพลิดเพลินกับคุณสมบัติต่างๆ ของโทเค็นได้ทุกที่ทุกเวลา

ตัวอย่างเช่น การใช้ imToken Web จะทำให้คุณได้รับประสบการณ์การใช้งานที่ราบรื่นไร้ข้อจำกัด:

• ไม่มีข้อจำกัดในการเข้าใช้งาน: ไม่จำเป็นต้องหาปากกาและกระดาษมาคัดลอกคำศัพท์ 12 คำ และไม่ต้องกังวลว่าจะคัดลอกวลีช่วยจำผิด เพียงคลิกเพื่อเชื่อมต่อกระเป๋าเงินของคุณ ยืนยันด้วย Face ID/ลายนิ้วมือ และบัญชีของคุณจะถูกสร้างขึ้นทันที
• ไม่ได้รับผลกระทบจากความเสี่ยงจากการหลอกลวงทางอีเมล: เนื่องจากการเข้าสู่ระบบอาศัยรหัสผ่าน เว็บไซต์ปลอมจึงไม่สามารถผ่านการตรวจสอบโดเมนและไม่สามารถเรียกใช้ลายเซ็นได้ ดังนั้นรหัสส่วนตัวของคุณจึงไม่มีวันถูกเปิดเผย
• หมดกังวลเรื่องค่าแก๊ส: ในฐานะกระเป๋าเงิน AA, imToken Web รองรับการชำระค่าแก๊สโดยตรงโดยใช้ USDT/USDC ดังนั้นคุณจะไม่ประสบปัญหาไม่มี ETH ในบัญชีอีกต่อไป
• การใช้งานข้ามอุปกรณ์ได้อย่างราบรื่น: ด้วยความสามารถในการซิงโครไนซ์ระดับระบบ Passkey ของคุณจะสามารถซิงโครไนซ์โดยอัตโนมัติระหว่างอุปกรณ์ต่างๆ ในระบบนิเวศของ Apple หรือ Google แม้ว่าโทรศัพท์ของคุณจะหาย คุณก็สามารถเข้าสู่ระบบบัญชีระบบของคุณ (Apple ID / Google) บนอุปกรณ์ใหม่ ยืนยันข้อมูลไบโอเมตริก และบัญชีของคุณก็จะยังคงปลอดภัยและสามารถกู้คืนได้

สิ่งที่น่าสนใจยิ่งกว่านั้นก็คือ ประสบการณ์ที่เข้าถึงง่ายนี้เปิดโอกาสให้เกิดการปฏิสัมพันธ์ในรูปแบบใหม่ๆ อย่างสิ้นเชิง

จากข้อมูลนี้ คุณสามารถส่งโทเค็นบน imToken Web ได้เหมือนกับการส่งซองแดง ตัวอย่างเช่น หลังจากเลือก "ส่งผ่านลิงก์" ตั้งค่า "จำนวน" และ "วันหมดอายุของลิงก์" คุณสามารถสร้างลิงก์แล้วส่งให้ใครก็ได้ (แม้ว่าพวกเขาจะไม่มีกระเป๋าเงินดิจิทัล) ผ่านช่องทางใดก็ได้ เช่น WeChat, Twitter หรือ Telegram

ผู้รับไม่จำเป็นต้องตั้งค่าใดๆ ล่วงหน้า เพียงคลิกลิงก์เพื่อสร้างบัญชีได้อย่างปลอดภัยและสะดวกสบาย และรับสิทธิ์ในทรัพย์สินโดยใช้ "รหัสเข้าใช้งาน"

สรุปแล้ว

อนาคตของ Web3 ไม่ควรจำกัดอยู่แค่กลุ่มคนไอทีเท่านั้น

ในโลก Web3 ที่ไม่แน่นอนนี้ กระเป๋าเงินดิจิทัล ซึ่งรวบรวมเทคโนโลยีความปลอดภัยที่แข็งแกร่งที่สุด (AA และ Passkey) เข้าไว้ในประสบการณ์การใช้งานที่ง่ายที่สุด ช่วยลดเกณฑ์ความปลอดภัยและปรับปรุงประสบการณ์การใช้งานสำหรับทั้งผู้ใช้ใหม่และผู้ใช้เดิม จึงเป็นสิ่งที่ควรทำเพื่อสำรวจช่องทางการเข้าถึงข้อมูลในทศวรรษหน้า

ดังนั้น หากคุณเบื่อหน่ายกับความกังวลใจในการรักษาความปลอดภัยวลีช่วยจำของคุณ หากคุณเป็นห่วงว่าจะตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง หรือหากคุณแค่ต้องการแนะนำกระเป๋าเงินคริปโตที่ใช้งานง่ายให้กับเพื่อน นี่คือสิ่งที่คุณต้องการ

ดังนั้น ถึงเวลาแล้วที่จะมองไปข้างหน้าหรือลองใช้ชีวิตในอนาคตที่ปราศจากวลีช่วยจำ