Vitalik新文:后深度伪造时代下如何保证信息安全?
Tiêu đề gốc: Đặt câu hỏi bảo mật
Tác giả gốc: Vitalik
Bản tổng hợp gốc: Luccy, BlockBeats
Ghi chú của biên tập viên: Vào ngày 4 tháng 2, một nhân viên tài chính của một công ty đa quốc gia đã bị lừa 25 triệu USD trong một cuộc gọi hội nghị qua video. Kẻ lừa đảo đã sử dụng công nghệ deepfake để mạo danh giám đốc tài chính của công ty. Nhân viên này ban đầu nghi ngờ một email lừa đảo sau khi nhận được một tin nhắn có chủ đích từ giám đốc tài chính của công ty có trụ sở tại Vương quốc Anh vì tin nhắn nói về sự cần thiết của một thỏa thuận bí mật. Tuy nhiên, sau cuộc gọi video, nhân viên này đã gác lại những nghi ngại ban đầu khi những người tham dự có vẻ ngoài giống đồng nghiệp mà anh ta biết nhưng thực tế tất cả đều là sản phẩm giải trí deepfake.
Về vấn đề này, Vitalik tin rằng mã hóa không giải quyết được mọi vấn đề, đồng thời chỉ ra rằng việc tận dụng cơ sở thông tin mà con người vốn có khả năng ghi nhớ tốt, việc đặt câu hỏi bảo mật đáng được đưa vào quy trình làm việc bên cạnh các lớp bảo vệ khác. Nhưng ông cũng cho rằng dù vấn đề an ninh có ích nhưng vẫn chưa đủ nhân đạo. BlockBeats biên dịch văn bản gốc như sau:
Đặc biệt cảm ơn Hudson Jameson, Cán bộ CIA và samczsun vì những phản hồi và đánh giá của họ.
Có một bài viết vào tuần trướcbài báoMột câu chuyện đang lan truyền về một công ty đã thua lỗ 25 triệu USD sau khi một nhân viên tài chính bị lừa gửi tiền cho một kẻ lừa đảo giả danh CFO, dường như thông qua một cuộc gọi video deepfake rất thực tế.
Gần đây, deepfake—âm thanh và video giả do trí tuệ nhân tạo tạo ra—đã xuất hiện với tần suất ngày càng tăng trong không gian tiền điện tử và hơn thế nữa. Trong vài tháng qua, các video deepfake của tôi đã được sử dụng để rao bán nhiều trò lừa đảo và Dogecoin. Chất lượng của các video deepfake đang được cải thiện nhanh chóng và mặc dù các video deepfake của năm 2020 khá tệ nhưng chúng ngày càng trở nên khó phân biệt trong những tháng gần đây. Những người biết rõ về tôi vẫn có thể nói rằng video tôi bán Dogecoin là giả vì tôi đang nói đi thôi trong video và tôi chỉ sử dụng LFG có nghĩa là tìm kiếm nhóm, nhưng những người chỉ nghe giọng nói của tôi vài lần có thể dễ dàng bị lừa.
Tôi đã đề cập đến vụ trộm 25 triệu đô la được đề cập ở trên với các chuyên gia bảo mật và tất cả họ đều đồng ý rằng đó là một thất bại bất thường và đáng xấu hổ về an ninh hoạt động của công ty ở nhiều cấp độ và thông lệ tiêu chuẩn là phải yêu cầu hơn 100% số tiền trước khi phê duyệt bất kỳ giao dịch chuyển nhượng nào. của bất kỳ nơi nào gần mức đó.Nhưng thực tế là kể từ năm 2024, việc phát trực tuyến âm thanh hoặc thậm chí video của một người không còn là cách an toàn để xác nhận danh tính của họ nữa.
Điều này đặt ra câu hỏi: Cách an toàn để xác thực là gì?
Chỉ riêng phương pháp mã hóa sẽ không giải quyết được vấn đề
Khả năng xác minh danh tính của mọi người một cách an toàn là điều quan trọng đối với tất cả mọi người trong mọi tình huống:các cá nhân cần khôi phục lạiVí đa chữ ký hoặc ví phục hồi xã hội, doanh nghiệp cần phê duyệt cho các giao dịch kinh doanh, cá nhân cần phê duyệt cho các giao dịch lớn cho mục đích sử dụng cá nhân (ví dụ: đầu tư vào một công ty khởi nghiệp, mua nhà, gửi tiền), cho dù sử dụng tiền điện tử hay tiền tệ pháp định hay thậm chí các thành viên gia đình cần liên lạc với nhau khác trong trường hợp xác minh khẩn cấp. Vì vậy, chúng ta cần một giải pháp tốt có thể đương đầu với kỷ nguyên video deepfake sắp tới.
Trong giới tiền điện tử, một câu trả lời cho câu hỏi này mà tôi thường nghe là: Bạn có thể xác thực chính mình bằng cách cung cấp chữ ký mật mã cho ENS/hồ sơ bằng chứng con người/địa chỉ khóa PGP công khai của bạn. Câu trả lời thật hấp dẫn. Tuy nhiên, nó hoàn toàn bỏ qua lý do tại sao việc có người khác tham gia khi ký kết một thỏa thuận lại hữu ích. Giả sử bạn đại diện cho một người dùng cá nhân có ví cá nhân có nhiều chữ ký và bạn đang gửi một giao dịch cần có sự chấp thuận của một số người đồng ký tên. Trong hoàn cảnh nào họ sẽ chấp thuận nó? Khi họ tin rằng bạn là người thực sự muốn thực hiện việc chuyển giao. Nếu họ xác định rằng người giao dịch là hacker đã đánh cắp chìa khóa của bạn hoặc kẻ bắt cóc, họ sẽ không chấp thuận giao dịch. Trong môi trường doanh nghiệp, thường có nhiều lớp bảo vệ hơn; nhưng ngay cả khi đó, kẻ tấn công vẫn có thể mạo danh người quản lý và không chỉ trong yêu cầu cuối cùng mà còn trước đó trong quá trình phê duyệt. Họ thậm chí có thể chiếm đoạt các yêu cầu hợp pháp đang được thực hiện bằng cách cung cấp địa chỉ không chính xác.
Vì vậy, trong nhiều trường hợp,Để những người ký khác chấp nhận bạn ký bằng chìa khóa của mình để xác nhận bạn là bạn sẽ phá vỡ toàn bộ mục đích: nó biến toàn bộ hợp đồng thành một đa chữ ký 1-1 chỉ yêu cầu kiểm soát khóa duy nhất của bạn. Có thể ăn cắp tiền!
Đây là câu trả lời chúng tôi nghĩ ra và thực sự có ý nghĩa:Câu hỏi bảo mật.
câu hỏi bảo mật
Giả sử ai đó gửi cho bạn một tin nhắn văn bản tự xưng là bạn bè của bạn. Họ nhắn tin từ một tài khoản mà bạn chưa từng thấy trước đây, tuyên bố rằng họ đã mất tất cả thiết bị. Làm thế nào để bạn xác định xem họ có phải là người thật hay không?
Có một câu trả lời rõ ràng: hãy hỏi những điều chỉ họ mới biết, những điều phải liên quan đến:
Bạn biết
Những gì bạn mong đợi họ nhớ
Những gì Internet không biết
Khó đoán
Lý tưởng nhất là ngay cả những người đã xâm phạm cơ sở dữ liệu của công ty và chính phủ cũng không biết về nó
Hãy thoải mái hỏi họ về những trải nghiệm được chia sẻ, chẳng hạn như:
Lần cuối chúng ta gặp nhau, bạn ăn tối ở nhà hàng nào và ăn gì?
Ai trong số những người bạn của chúng ta đã kể chuyện cười về một chính khách thời xưa? Đó là chính trị gia nào?
Bạn không thích bộ phim mà chúng ta đã xem gần đây sao?
Tuần trước bạn đã đề nghị tôi nói chuyện với người này người kia để xem liệu họ có thể giúp chúng ta nghiên cứu về XXX không?
Một ví dụ thực tế gần đây về câu hỏi bảo mật mà ai đó đã sử dụng để xác minh danh tính của tôi
Câu hỏi của bạn càng độc đáo thì càng tốt. Tốt nhất là những câu hỏi khó mà mọi người cần suy nghĩ trong vài giây và thậm chí có thể quên câu trả lời, nhưng nếu người bạn đang hỏi khẳng định đã quên, hãy nhớ hỏi họ thêm ba câu nữa. Yêu cầu chi tiết vi mô (điều ai đó thích hoặc không thích, câu chuyện cười cụ thể, v.v.) thường tốt hơn yêu cầu chi tiết vĩ mô, vì những chi tiết trước đây thường khó để bên thứ ba vô tình tìm ra, ví dụ: ngay cả khi chỉ một người Đăng ảnh bữa tối lên Instagram và LLM hiện đại có thể nhanh chóng chụp ảnh đó và cung cấp vị trí trong thời gian thực. Nếu câu hỏi của bạn có khả năng bị đoán, tức là chỉ có một vài lựa chọn hợp lý có thể xảy ra, thì hãy thêm một câu hỏi khác để tăng entropy.
Mọi người thường ngừng tham gia vào các hoạt động bảo mật nếu các câu hỏi bảo mật nhàm chán, vì vậy hãy làm cho các câu hỏi bảo mật trở nên thú vị. Chúng có thể là một cách để ghi nhớ những trải nghiệm tích cực được chia sẻ và có thể là động lực để thực sự có được những trải nghiệm đó.
Đã thêm vấn đề bảo mật
Không có chiến lược bảo mật nào là hoàn hảo, vì vậy tốt nhất bạn nên kết hợp nhiều kỹ thuật lại với nhau.
Mật khẩu thỏa thuận trước: Khi ở bên nhau, hãy cố ý thống nhất một mật khẩu chung để sau này có thể dùng mật khẩu đó xác thực lẫn nhau.
Bạn thậm chí có thể đồng ý về nút hoảng loạn: một từ mà bạn có thể vô tình chèn vào câu để gợi ý cho người khác rằng bạn đang bị ép buộc hoặc bị đe dọa. Từ này phải đủ phổ biến để bạn cảm thấy tự nhiên khi sử dụng nó, nhưng đủ hiếm để bạn không vô tình chèn nó vào bài phát biểu của mình.
Khi ai đó gửi cho bạn địa chỉ ETH, hãy yêu cầu họ xác nhận địa chỉ đó trên nhiều kênh (chẳng hạn như tin nhắn riêng tư trên Signal và Twitter, trên trang web của công ty hoặc thậm chí thông qua những người quen biết chung).
Ngăn chặn các cuộc tấn công trung gian: “Số an toàn” của Signal, biểu tượng cảm xúc của Telegram và các tính năng tương tự rất đáng để hiểu và cảnh giác.
Giới hạn và độ trễ hàng ngày: Đơn giản chỉ cần áp đặt độ trễ đối với các hoạt động có mức độ quan trọng cao và không thể đảo ngược. Điều này có thể được thực hiện ở cấp chính sách (thỏa thuận trước với người ký rằng họ đợi N giờ hoặc ngày trước khi ký) hoặc ở cấp mã (áp đặt các hạn chế và trì hoãn trong mã hợp đồng thông minh).
Một cuộc tấn công có khả năng nâng cao là để kẻ tấn công mạo danh người điều hành và người được cấp quyền ở nhiều bước trong quy trình phê duyệt. Cả vấn đề bảo mật và sự chậm trễ đều có thể ngăn chặn điều này và tốt nhất bạn nên sử dụng cả hai.
Các câu hỏi bảo mật rất hữu ích vì không giống như nhiều công nghệ khác, chúng thất bại không phải vì không thân thiện mà vì chúng không đủ thân thiện với người dùng. Các vấn đề bảo mật dựa trên thông tin mà con người có khả năng ghi nhớ tốt một cách tự nhiên. Tôi đã sử dụng các câu hỏi bảo mật trong nhiều năm và đây thực sự là một thói quen rất tự nhiên và không gây khó chịu, đáng để đưa vào quy trình làm việc của bạn bên cạnh các lớp bảo vệ khác.
Xin lưu ý rằng các vấn đề bảo mật giữa cá nhân được mô tả ở trên là các trường hợp sử dụng rất khác so với các vấn đề bảo mật doanh nghiệp với cá nhân, chẳng hạn như gọi điện thoại sau khi vô hiệu hóa thẻ tín dụng của bạn nhiều lần vì bạn đã đi du lịch đến một quốc gia khác. Đến ngân hàng để kích hoạt lại thẻ tín dụng của bạn, sau đó xếp hàng chờ 40 phút với âm nhạc, nhân viên ngân hàng xuất hiện và hỏi tên, ngày sinh và có thể cả ba giao dịch gần đây nhất của bạn. Các loại câu hỏi mà các cá nhân biết câu trả lời rất khác với các loại câu hỏi mà doanh nghiệp biết câu trả lời. Vì vậy, cần xem xét riêng hai trường hợp này.
Hoàn cảnh của mỗi người là khác nhau, vì vậy loại thông tin riêng biệt mà bạn chia sẻ với người mà bạn cần xác minh danh tính sẽ khác nhau. Thông thường, việc áp dụng công nghệ cho phù hợp với hoàn cảnh của con người sẽ tốt hơn là làm cho con người thích ứng với công nghệ. Một kỹ thuật không cần phải hoàn hảo mới có tác dụng, cách tiếp cận lý tưởng là kết hợp nhiều kỹ thuật cùng lúc và chọn kỹ thuật phù hợp nhất với bạn. Trong thời kỳ hậu deepfake, chúng ta cần điều chỉnh chiến lược của mình để thích ứng với thực tế mới về những gì ngày nay dễ làm giả và những gì vẫn khó giả mạo, nhưng miễn là chúng ta làm điều đó, việc giữ an toàn vẫn hoàn toàn có thể xảy ra. .
