Web3 không cần cụm từ ghi nhớ: AA × Passkey, liệu nó sẽ định hình thập kỷ tiếp theo của Crypto như thế nào?

Nếu bạn đã gắn bó với Web3 một thời gian, ngay cả khi bạn cẩn thận và may mắn chưa từng trải qua khoảnh khắc tồi tệ nhất là bị đánh cắp tài sản, chắc chắn bạn cũng đã từng nghe những lời kêu cứu tương tự như thế này trong cộng đồng:

"Tôi chưa bao giờ chụp ảnh màn hình, cũng không hề đưa cụm từ khôi phục ví cho ai cả. Tôi chỉ sử dụng ví như bình thường, vậy tại sao tài sản của tôi vẫn biến mất?" Điểm chung đáng buồn nhất trong những trường hợp này là các nạn nhân không hề biết ví của mình bị xâm phạm ở đâu.

Một số người vô tình cài đặt các tiện ích mở rộng trình duyệt bị xâm nhập; những người khác lưu trữ cụm từ ghi nhớ của họ trong phần ghi chú trên điện thoại, rồi chúng bị đồng bộ hóa với các máy chủ không xác định; một số người bị nhiễm phần mềm độc hại vào điện thoại, dẫn đến việc nội dung clipboard bị tải lên một cách âm thầm; và một số người thậm chí còn kết nối với các trang web giả mạo, nhập cụm từ ghi nhớ của họ, và chỉ trong vài giây, ví tiền của họ đã trống rỗng...

Đây không phải là sự phóng đại. Có thể nói rằng đằng sau phần lớn các vụ lừa đảo phishing trong không gian tiền điện tử thường có một lỗ hổng chung—các cụm từ ghi nhớ. Bài viết này cũng sẽ phân tích lý do tại sao các cụm từ ghi nhớ đang trở thành điểm yếu lớn nhất trong bảo mật tài sản, và cách thức trừu tượng hóa tài khoản (AA) và Passkey được kỳ vọng sẽ định nghĩa lại chủ quyền tài sản.

I. Những hạn chế của mô hình EOA: "Cụm từ ghi nhớ" trở thành lời nguyền

Chúng ta phải thừa nhận thực tế rằng vấn đề với các tài khoản EOA không phải là chúng "không đủ an toàn", mà là chúng đã phải gánh chịu quá nhiều trách nhiệm ngay từ đầu.

Như đã biết, trong mô hình EOA truyền thống, cụm từ ghi nhớ là nền tảng của thế giới tiền điện tử. Một cụm từ hạt giống gồm 12 hoặc 24 từ đại diện cho quyền kiểm soát tuyệt đối đối với tài sản trên chuỗi và là đặc điểm nổi bật nhất về bảo mật tiền điện tử trong mắt những người mới tham gia — "khóa riêng/cụm từ ghi nhớ là tài sản":

Chừng nào bạn còn giữ khóa này, không ai, dù là sàn giao dịch hay trình xác thực, có thể đóng băng, tịch thu hoặc thao tác thay mặt bạn. Tuy nhiên, sự phân quyền hoàn toàn này là con dao hai lưỡi, vừa thể hiện "quyền kiểm soát tuyệt đối" nhưng cũng hàm chứa một "điểm yếu duy nhất" không thể tránh khỏi.

Điều đầu tiên và quan trọng nhất là, không có cách nào quay lại được nữa. Một khi cụm từ ghi nhớ của bạn bị rò rỉ (ngay cả khi đó chỉ là ảnh chụp màn hình từ nhiều năm trước, miễn là nó được sao chép hoặc đồng bộ hóa), ví của bạn sẽ không bao giờ an toàn nữa và bạn không thể đặt lại cụm từ ghi nhớ của mình giống như cách bạn "thay đổi mật khẩu" trong ứng dụng ngân hàng/Alipay/WeChat.

Giải pháp duy nhất là từ bỏ ví và chuyển tài sản, điều này cũng có nghĩa là nếu kẻ tấn công nhanh hơn bạn, bạn sẽ không có cơ hội "hoàn tác" hoặc khôi phục tài sản.

Thứ hai, nó là một "cái bẫy hoàn hảo" trong mắt tin tặc. Xét cho cùng, quyền hạn của cụm từ ghi nhớ quá lớn. Trojan, ví giả, plugin giả, trang web lừa đảo, dịch vụ khách hàng giả mạo, v.v., tin tặc không cần phải vượt qua hàng rào mã hóa mạnh mẽ của blockchain. Chúng chỉ cần vượt qua hàng rào phòng thủ của bạn. Tất cả các con đường tấn công cuối cùng đều hội tụ về cùng một mục tiêu, đó là khiến bạn giao nộp 12/24 từ đó.

Cuối cùng, đối với người dùng hiện đại đã quen với Face ID và thanh toán bằng vân tay, việc hiểu và lưu trữ an toàn một cụm từ ghi nhớ trên giấy là một rào cản nhận thức rất lớn. Điều này không chỉ cản trở việc áp dụng rộng rãi Web3, mà còn khiến mỗi tương tác đều đi kèm với gánh nặng tâm lý "Liệu mình có làm mất nó không?".

Nó giống như việc canh giữ một cánh cửa chỉ có thể mở bằng "cùng một chìa khóa", một chìa khóa vừa chịu ảnh hưởng bởi các thao tác hàng ngày của người dùng, vừa tiềm ẩn rủi ro từ tất cả các thiết bị và môi trường hệ thống.

Chính trong bối cảnh đó, bắt đầu từ năm 2022, ví khóa riêng không cần từ viết tắt/văn bản gốc, vượt qua giới hạn của EOA, đã dần trở thành một lĩnh vực nghiên cứu phổ biến. Từ công nghệ MPC đến ví CA, mọi người đều đang tìm kiếm một giải pháp tốt hơn—một giải pháp vừa có thể đảm bảo chủ quyền tài sản Web3 vừa đơn giản và an toàn như mở khóa điện thoại bằng Face ID.

Hiện nay, đứng trước thời điểm này, với sự kết hợp giữa công nghệ Tóm tắt Tài khoản (Account Abstraction - AA) và công nghệ Passkey, chúng ta thực sự có cơ hội chấm dứt kỷ nguyên thống trị của các cụm từ ghi nhớ trong thập kỷ tới.

II. Passkey: Biến chính mình thành chìa khóa

Nếu như Giải mã Tài khoản (Account Abstraction - AA) giải phóng các tài khoản khỏi "khóa riêng duy nhất", mở ra một kỷ nguyên mới về khả năng khôi phục, nâng cấp và cấu hình (đọc thêm: " Từ EOA đến Giải mã Tài khoản: Bước nhảy vọt tiếp theo của Web3 sẽ diễn ra trong 'Hệ thống Tài khoản'? "), thì Passkey chính là "chìa khóa tối thượng" thúc đẩy sự thay đổi về chất lượng trải nghiệm người dùng.

Nhiều người có thể vẫn chưa quen thuộc với thuật ngữ Passkey. Trên thực tế, là một công nghệ đăng nhập không cần mật khẩu dựa trên tiêu chuẩn FIDO, nó từ lâu đã được coi là tiêu chuẩn công nghệ không cần mật khẩu thế hệ tiếp theo mà các ông lớn công nghệ như Apple và Google đang tích cực thúc đẩy.

Trong thế giới tiền điện tử, tầm quan trọng của nó đặc biệt sâu sắc.

Nói một cách đơn giản, Passkey là một khóa kỹ thuật số được lưu trữ trong chip bảo mật của thiết bị (như điện thoại di động hoặc máy tính). Nó giúp bạn không cần phải nhớ, lưu hoặc nhập một cụm từ ghi nhớ; bạn chỉ cần sử dụng sinh trắc học (nhận diện khuôn mặt/vân tay) trên thiết bị của mình để đăng nhập.

Trên thực tế, nhiều người đã vô tình tận hưởng sự tiện lợi của Passkey: khi bạn đăng nhập vào một ứng dụng trên thiết bị Apple hoặc truy cập một trang web trên trình duyệt, bạn có thể hoàn thành tác vụ trước đây yêu cầu mật khẩu chỉ bằng cách "quét khuôn mặt"/vân tay/nhập mã PIN.

Trải nghiệm này gây nghiện vì nó vừa liền mạch lại vừa an toàn. Do đó, nếu ví Web3 hỗ trợ Passkey, về mặt lý thuyết, người dùng có thể hoàn toàn tránh việc chạm vào khóa riêng tư của mình. Hơn nữa, bằng cách kết hợp trừu tượng hóa tài khoản, ngay cả bước tính phí gas cũng có thể được trừu tượng hóa, tạo ra trải nghiệm "liền mạch" chưa từng có.

Vậy tại sao Passkey lại có khả năng chống lừa đảo tốt hơn hẳn so với chế độ EOA? Bởi vì nó sở hữu hai siêu năng lực mà các chế độ cụm từ ghi nhớ truyền thống không bao giờ có được:

• Khóa riêng tư của bạn sẽ không bao giờ rời khỏi thiết bị và không thể bị "lừa đảo": Cụm từ ghi nhớ là một chuỗi ký tự mà bạn có thể gửi cho người khác, nhưng mật khẩu được gắn liền với thiết bị phần cứng của bạn. Khóa riêng tư sẽ không bao giờ rời khỏi phần cứng chính của thiết bị và tin tặc không thể khiến bạn "nhập" dấu vân tay hoặc dữ liệu khuôn mặt thông qua các trang web lừa đảo hoặc các tiện ích mở rộng trình duyệt bị giả mạo.
• Loại bỏ tận gốc các trang web giả mạo: Đây cũng là một trong những tính năng nổi bật của Passkey. Dựa trên cơ chế liên kết WebAuthn / FIDO2, giao thức Passkey sẽ buộc xác minh tên miền của trang web hiện tại. Điều này có nghĩa là ngay cả khi bạn vô tình truy cập vào một trang web lừa đảo (chẳng hạn như nhiều trang web giả mạo imToken gửi tin nhắn quấy rối), thiết bị của bạn sẽ phát hiện ra rằng tên miền không khớp và từ chối thực hiện xác minh sinh trắc học. Đây là một cơ chế phòng vệ cấp hệ thống không phụ thuộc vào phán đoán thủ công của bạn.

Đồng thời, Passkey mang đến trải nghiệm mượt mà, không yêu cầu cụm từ ghi nhớ, ảnh chụp màn hình hay bản sao lưu; việc đăng nhập, ký tên và xác thực có thể được hoàn tất chỉ bằng cách chạm dấu vân tay hoặc quét khuôn mặt.

Đây chính là lý do tại sao Passkey, kết hợp với AA, có thể được xem trong thế giới Web3 như một giải pháp đồng thời nâng cao cả trải nghiệm người dùng và bảo mật, chứ không phải là một bản vá khiến người dùng phải thận trọng hơn khi học cách sử dụng.

III. Triết lý về bảo mật và trải nghiệm Web3 thế hệ tiếp theo

Từ góc nhìn này, khi AA kết hợp với Passkey, chúng ta cuối cùng có thể xây dựng một mô hình tài khoản trực quan hơn, an toàn hơn và hướng tới tương lai hơn.

Bạn có thể hiểu triết lý mới về an toàn và trải nghiệm này như sau:

• Chính con người là chìa khóa: tài khoản được bảo vệ bởi chính thiết bị, và Face ID/vân tay là chữ ký của bạn;
• Cách ly vật lý: Bảo mật được thực hiện ở cấp độ phần cứng, được lưu trữ trong một chip bảo mật và không thể bị xuất khẩu hoặc đọc bởi Trojan;
• Đồng bộ hóa trên đám mây: Với các phương thức đồng bộ hóa như iCloud, tài khoản của bạn có thể được đồng bộ hóa an toàn trên nhiều thiết bị;
• Bảo vệ hệ thống: Vấn đề không phải là khiến người dùng phải tốn nhiều công sức hơn để phân biệt giữa các trang web thật và giả, mà là làm cho hệ thống thông minh hơn và tự động chặn các rủi ro.

Tất cả những điều này tạo nên một mô hình mới, không phải là bắt người dùng phải nỗ lực hơn để học hỏi và bảo vệ hệ thống, mà là làm cho hệ thống trở nên thông minh hơn.

Lấy imToken Web làm ví dụ. Đây là một ứng dụng web phi lưu giữ dữ liệu, tập trung vào token, được thiết kế để cho phép người dùng nhanh chóng và an toàn tạo hoặc đăng nhập vào tài khoản mà không cần thiết lập hoặc sao lưu khóa riêng/cụm từ ghi nhớ, và tận hưởng nhiều tính năng của token mọi lúc, mọi nơi.

Ví dụ, khi sử dụng imToken Web, bạn sẽ có trải nghiệm "bốn không" gần như không có rào cản:

• Không rào cản gia nhập: Không cần phải tìm giấy bút để chép 12 từ, và không cần lo lắng về việc chép sai cụm từ ghi nhớ. Chỉ cần nhấp chuột để kết nối ví, xác minh bằng Face ID/vân tay, và tài khoản của bạn sẽ được tạo ngay lập tức;
• Không bị ảnh hưởng bởi rủi ro lừa đảo trực tuyến: Vì quá trình đăng nhập dựa trên mật khẩu, các trang web giả mạo không thể vượt qua quá trình xác minh tên miền và do đó không thể kích hoạt chữ ký điện tử, vì vậy khóa riêng tư của bạn sẽ không bao giờ bị lộ;
• Không còn lo lắng về phí gas: Là một ví AA, imToken Web hỗ trợ thanh toán gas trực tiếp bằng USDT/USDC, vì vậy bạn sẽ không bao giờ bị kẹt vì không có ETH trong tài khoản nữa.
• Tính năng chuyển vùng thiết bị liền mạch: Với khả năng đồng bộ hóa cấp hệ thống, Passkey của bạn có thể được tự động đồng bộ hóa trên các thiết bị thuộc hệ sinh thái Apple hoặc Google. Ngay cả khi điện thoại của bạn bị mất, bạn chỉ cần đăng nhập vào tài khoản hệ thống (Apple ID / Google) trên thiết bị mới, xác minh sinh trắc học và tài khoản của bạn sẽ vẫn an toàn và có thể khôi phục được.

Điều thú vị hơn nữa là trải nghiệm không rào cản này mở ra những cách thức tương tác hoàn toàn mới.

Dựa trên điều này, bạn thậm chí có thể gửi token trên imToken Web giống như gửi lì xì. Ví dụ, sau khi chọn "Gửi qua liên kết", thiết lập "số lượng" và "thời hạn liên kết", bạn có thể trực tiếp tạo một liên kết và sau đó gửi cho bất kỳ ai (ngay cả khi họ không có ví) thông qua bất kỳ kênh nào như WeChat, Twitter hoặc Telegram.

Người nhận không cần thiết lập gì trước; chỉ cần nhấp vào liên kết để tạo tài khoản một cách an toàn và thuận tiện, sau đó nhận tài sản bằng "khóa truy cập".

Tóm lại

Tương lai của Web3 không nên chỉ dành riêng cho giới chuyên gia công nghệ.

Trong thế giới đầy bất ổn của Web3, ví điện tử, tích hợp các công nghệ bảo mật mạnh mẽ nhất (AA & Passkey) vào trải nghiệm người dùng đơn giản nhất, từ đó giảm thiểu ngưỡng bảo mật và cải thiện trải nghiệm cho cả người dùng mới và người dùng hiện tại, chính là điều mà họ nên làm để khám phá các điểm truy cập trong thập kỷ tới.

Vậy nên, nếu bạn đã chán ngấy với nỗi lo lắng về việc bảo vệ cụm từ ghi nhớ của mình, nếu bạn lo sợ trở thành nạn nhân tiếp theo của một cuộc tấn công lừa đảo, hoặc nếu bạn chỉ muốn giới thiệu một ví tiền điện tử "dễ sử dụng" cho bạn bè, thì đây là dành cho bạn.

Vậy nên, đã đến lúc hướng tới hoặc thử một tương lai không cần đến các cụm từ ghi nhớ.