作者:Vtalik,以太坊聯(lián)合創(chuàng)始人;翻譯:0xjs@喜來順財經(jīng)
過去一周,一篇關(guān)于一家公司損失 2500 萬美元的文章廣為流傳,原因是一名財務(wù)工作人員被說服向冒充 CFO 的騙子發(fā)送銀行電匯……而這似乎是一個非常令人信服的深度偽造視頻電話。
深度偽造(Deepfakes,即人工智能生成的虛假音頻和視頻)在加密貨幣領(lǐng)域和其他地方越來越頻繁地出現(xiàn)。在過去的幾個月里,我的深度偽造品被用來宣傳各種騙局,以及狗狗幣。深度偽造的質(zhì)量正在迅速提高:雖然 2020 年的深度偽造明顯且糟糕得令人尷尬,但過去幾個月的深度偽造卻變得越來越難以區(qū)分。熟悉我的人仍然可以識別最近的深度偽造我的視頻,因為它讓我說“l(fā)et's f***ing go”,而我只用“LFG”來表示“l(fā)ooking for group”,但只聽過幾次我聲音的人很容易被說服。
上述2500萬美元盜竊案的安全專家一致確認(rèn),這是企業(yè)運(yùn)營安全在多個層面上的一次罕見且令人尷尬的失敗:標(biāo)準(zhǔn)做法是在任何接近該規(guī)模的轉(zhuǎn)賬得到正式批準(zhǔn)之前都需要經(jīng)過多個級別的簽署。但即便如此,事實仍然是,?到2024年,一個人的音頻甚至視頻流不再是驗證其身份的安全方式。
這就提出了一個問題:什么才是安全的方式?
能夠安全地驗證人們的身份對于各種情況下的各種人來說都是有價值的:社交恢復(fù)或多簽名錢包的個人、批準(zhǔn)商業(yè)交易的企業(yè)、批準(zhǔn)個人使用的大額交易的個人(例如,投資初創(chuàng)公司、購買產(chǎn)品)房屋、匯款),無論是加密貨幣還是法定貨幣,甚至家庭成員在緊急情況下也需要相互驗證身份。因此,擁有一個能夠在即將到來的相對容易的深度偽造時代中生存下來的良好解決方案非常重要。
我在加密圈中經(jīng)常聽到的這個問題的一個答案是:“你可以通過從附加到你的 ENS/人性資料證明/公共 PGP 密鑰的地址提供加密簽名來驗證自己的身份”。這是一個有吸引力的答案。然而,它完全忽略了為什么在簽署交易時讓其他人參與是有用的。假設(shè)你是擁有個人多重簽名錢包的個人,并且你正在發(fā)送你希望一些共同簽名者批準(zhǔn)的交易。什么情況下他們會批準(zhǔn)?如果他們確信你是真正希望進(jìn)行轉(zhuǎn)移的人。如果是黑客偷了你的鑰匙,或者是綁匪,他們不會批準(zhǔn)。在企業(yè)環(huán)境中,你通常有更多的防御層;但即便如此,攻擊者也可能冒充經(jīng)理,不僅用于最終請求,還用于審批過程的早期階段。他們甚至可能通過提供錯誤的地址來劫持正在進(jìn)行的合法請求。
因此,在許多情況下,如果你使用密鑰簽名,其他簽名者會接受你就是你,這就破壞了整個要點:它將整個合約變成了 1-of-1 多重簽名,其中有人只需要控制你的單個密鑰即可為了竊取資金!
這是我們得到一個實際上有意義的答案的地方:?安全問題。
假設(shè)有人給你發(fā)短信,聲稱是你的朋友。他們用你以前從未見過的帳戶發(fā)短信,并聲稱丟失了所有設(shè)備。你如何確定他們是否是他們所說的那個人?
有一個顯而易見的答案:向他們詢問一些只有他們自己才知道的關(guān)于他們生活的事情。這些事情應(yīng)該是:
你知道
你希望他們記住
網(wǎng)上不知道
很難猜測
理想情況下,即使是黑客入侵過企業(yè)和政府?dāng)?shù)據(jù)庫的人也不知道
自然而然地要問他們的是共同的經(jīng)歷。可能的例子包括:
當(dāng)我們兩個最后一次見面時,我們在哪家餐廳吃的晚餐,你吃的是什么食物?
我們的哪個朋友開了一個關(guān)于古代政治家的玩笑?那是哪位政客?
我們最近看了哪部電影你不喜歡?
你上周建議我與____討論他們幫助我們進(jìn)行____研究的可能性?
最近有人用來驗證我身份的安全問題的實際示例。
你的問題越獨(dú)特越好。那些處于人們必須思考幾秒鐘甚至可能忘記答案的邊緣的問題是好的:但如果你問的人?確實聲稱已經(jīng)忘記了,請確保再問他們?nèi)齻€問題。詢問“微觀”細(xì)節(jié)(某人喜歡或不喜歡什么,特定的笑話等)通常比“宏觀”細(xì)節(jié)更好,因為前者通常更難讓第三方意外地挖掘出來(例如,即使有人在 Instagram 上發(fā)布了一張晚餐照片,現(xiàn)代LLM很可能足夠快地捕捉到該照片并實時提供位置)。如果你的問題可能是可猜測的(從某種意義上說,只有幾個潛在的選項有意義),請通過添加另一個問題來增加熵。
如果安全實踐枯燥乏味,人們通常會停止參與,因此讓安全問題變得有趣是健康的!它們可以成為記住積極的共同經(jīng)歷的一種方式。它們可以成為真正擁有這些經(jīng)歷的動力。
沒有哪一種安全策略是完美的,因此最好將多種技術(shù)堆疊在一起。
預(yù)先商定的密碼:當(dāng)你們在一起時,特意商定一個共享密碼,以后可以用它來相互驗證。
甚至可能就脅迫詞達(dá)成一致:你可以無意中將一個詞插入到句子中,從而悄悄地向?qū)Ψ桨l(fā)出信號,表明你正在受到脅迫或威脅。這個詞應(yīng)該足夠常見,以便你在使用它時感覺很自然,但也足夠罕見,以便你不會意外地將其插入到你的演講中。
當(dāng)有人向你發(fā)送 ETH 地址時,請他們通過多個渠道進(jìn)行確認(rèn)(例如 Signal 和 Twitter DM、公司網(wǎng)站,甚至通過共同的熟人)
防范中間人攻擊:信號“安全號碼”、Telegram表情符號?和類似功能都很容易理解和提防。
每日限制和延遲:簡單地對后果嚴(yán)重且不可逆轉(zhuǎn)的行動施加延遲。這可以在策略級別(預(yù)先與簽名者達(dá)成一致,他們將在簽名前等待 N 小時或天)或在代碼級別(在智能合約代碼中施加限制和延遲)來完成
一種潛在的復(fù)雜攻擊,攻擊者在審批流程的多個步驟中冒充高管和受讓人。
安全問題和延遲都可以防止這種情況發(fā)生;兩者都使用可能會更好。
安全問題很好,因為與許多其他因不人性化而失敗的技術(shù)不同,安全問題建立在人類天生擅長記住的信息之上。我多年來一直使用安全問題,這是一種實際上感覺非常自然且不尷尬的習(xí)慣,除了其他保護(hù)層之外,還值得納入你的工作流程中。
請注意,上述“個人對個人”安全問題與“企業(yè)對個人”安全問題的用例截然不同,例如當(dāng)你去另一個國家旅行,信用卡停用 17次后你致電銀行重新激活時,當(dāng)你排完 40 分鐘的煩人音樂隊列后,銀行員工就會出現(xiàn),詢問你的姓名、生日,也許還有你最近的三筆交易。個人知道答案的問題類型與企業(yè)知道答案的問題類型有很大不同。因此,值得單獨(dú)考慮這兩種情況。
每個人的情況都是獨(dú)一無二的,因此你與可能需要進(jìn)行身份驗證的人所擁有的獨(dú)特共享信息的種類對于不同的人來說是不同的。一般來說,最好是讓技術(shù)適應(yīng)人,而不是讓人適應(yīng)技術(shù)。一項技術(shù)不需要完美才能發(fā)揮作用:理想的方法是同時將多種技術(shù)疊加在一起,然后選擇最適合你的技術(shù)。在后深度偽造的世界中,我們確實需要調(diào)整我們的策略以適應(yīng)現(xiàn)在容易偽造和仍然難以偽造的新現(xiàn)實,但只要我們這樣做,保持安全仍然是完全可能的。
喜來順財經(jīng)
