En varias publicaciones en Habré, ya se mencionó la solución para la autenticación sin contraseña de REMME. El CEO de la compañía, Alexander Momot, fue el orador de nuestra Conferencia Kiev Blockchain & Bitcoin. Dijo qué está mal con las contraseñas y cómo se organiza su sistema de autenticación con un registro distribuido. Bajo el corte - decodificación de su discurso.
1. Las contraseñas son inconvenientes
Según Alexander, la idea de REMME se le ocurrió en 2014: participó en Ethereum ICO y un año y medio después de eso decidió revisar su billetera. Pero, como resultó, olvidé la contraseña. Solo tres días después, después de clasificar muchas opciones, fue posible encontrar la combinación correcta. Después de eso, Alexander pensó seriamente que las contraseñas son una cosa extremadamente inconveniente, y que algo más debería reemplazarlas.
Hoy, el usuario promedio de Internet posee docenas de cuentas. Para ellos, la mayoría usa solo combinaciones de 3-4 contraseñas. La base de datos de las 1000 contraseñas más populares (12345678, qwerty, abc123, etc.) abre el 90% de todas las cuentas del mundo. Pero incluso aquellos que usan contraseñas complejas y únicas y las mantienen en un lugar inaccesible no son inmunes a romper el sistema: los métodos tradicionales de protección tienen otras debilidades.
2. Los ataques cibernéticos causan grandes pérdidas a las empresas
La principal vulnerabilidad de muchos sistemas es el servidor principal. Si hay un punto central de falla, entonces el sistema puede ser pirateado. Muy a menudo esto sucede debido al factor humano. Según Alexander, el 100% de las cuentas en el intercambio de Kraken son pirateadas precisamente por este factor, incluido el phishing, el robo de información del canal, el uso de contraseñas repetidas, la fuerza bruta y el pirateo del servidor (la fuente de información es información privilegiada). Y está en un intercambio que tiene la reputación de ser el más seguro.
Como ejemplo, Alexander también mencionó los ciberataques en Ucrania en infraestructura crítica y videos donde se piratea un automóvil inteligente. También citó estadísticas de Deutsche Bank, que realiza cientos de miles de ataques cada año, y varios ejemplos de piratas de alto perfil de intercambios de criptomonedas: Coincheck (robado medio billón de dólares, se desconocen las circunstancias del pirateo) y Bitfinex (800 bitcoins robados; hay información de que el administrador del intercambio cayó en los habituales phishing).
REMME también encontró intentos de phishing cuando realizaron una venta de tokens. Pero, como la compañía se especializa en ciberseguridad, los ataques no tuvieron éxito.
Entonces, en la mayoría de los casos, los ataques cibernéticos se dirigen a un servidor central y usan el factor humano. El daño total de ellos cada año es de $ 6-7 billones.
3. La cura para el phishing: autenticación del sitio
REMME trabaja en ciberseguridad en dos mercados en paralelo. En primer lugar, emiten certificados de seguridad para sitios con protección contra piratería informática y falsificación. Este no es un mercado muy grande, estimado en alrededor de $ 2 mil millones. Un análogo conocido es lo que ofrece Google: un medio para verificar la validez de un certificado.
En segundo lugar, la empresa opera en el mercado de gestión de acceso. Ahora, en esta área, existe una solución como 2fa: autorización de dos factores. Entre los recursos de criptomonedas, no es muy popular, pero las grandes empresas, bancos y compañías financieras conforman un gran mercado, que ahora está valorado en $ 10 mil millones. En unos años, alcanzará aproximadamente $ 15 mil millones.
Según Alexander, en cualquier tecnología que ingrese al mercado, debe haber tres cualidades: simplicidad, seguridad y valor para el negocio. De lo contrario, no se hará popular.
Un ejemplo negativo, en su opinión, es la autenticación de dos factores en el intercambio de cifrado Bittrex. Al autorizar, debe ingresar un nombre de usuario y contraseña; al ingresar desde una nueva dirección IP, también debe pasar por confirmación por correo y luego ingresar nuevamente el nombre de usuario y la contraseña. Este 2fa complica el proceso de autorización en el sitio, por lo que muchos simplemente lo desactivan. La norma actual en tecnología es esta: para hacer algo mejor y más seguro, generalmente lo complican.
4. 2fa simple en blockchain y mensajeros
REMME se basa en la tecnología SSL TLS existente. Este es un certificado que se utiliza para verificar un sitio. Pero en el proyecto este certificado se usa de manera diferente. No solo muestra la validez del sitio, sino que también confirma la identidad del usuario, asegurando su acceso al servidor.
Para mostrar más claramente el principio de REMME, Alexander citó el aeropuerto como un ejemplo. A la llegada del pasajero a otro país, su documento se verifica en la base. Si un ciudadano no está en la lista de personas buscadas, es admitido en el país. REMME funciona de manera similar: el estado del certificado (activo / inactivo) se encuentra en la cadena de bloques. Si el certificado está activo, se puede permitir al usuario. El segundo factor es la confirmación de la identidad del usuario en el Telegrama o en cualquier otro mensajero. El resultado es la autenticación de dos factores en dos clics. No se ingresan datos y los ataques de phishing se vuelven imposibles.
La cadena de bloques en REMME se usa solo para almacenar el estado del certificado. Esta información está disponible públicamente, no necesita ser encriptada. Además, todos los datos del usuario (por ejemplo, una clave privada, un certificado de computadora) se almacenan en él y no en el servidor. Toda la información necesaria se puede tomar del certificado. Esto también resuelve el problema de almacenar datos de usuario.
Según Alexander, los desarrolladores de REMME ahora están resolviendo el problema de la integración en las empresas tradicionales. Algunos de los clientes de la compañía (telecomunicaciones, plantas de energía) usan sistemas SCADA de Siemens, ABB, General Electric. Por lo tanto, las soluciones REMME deben integrarse del lado del fabricante de estos programas. Luego, las empresas pueden simplemente conectar la autenticación REMME en un producto en caja.
REMME ofrece a los usuarios pagar un certificado de $ 1. Esto es más barato que el promedio del mercado, donde su costo alcanza los $ 500. Los nodos en la cadena de bloques REMME tienen derecho a emitir un certificado: si se observa un consenso, con una probabilidad del 100%, el certificado será válido. La probabilidad de que sea secuestrado o de que algo le suceda es extremadamente baja, porque no hay una autoridad central para llevar a cabo tal ataque. El token se usa para emitir un certificado: para esto, se debe enviar una moneda virtual a la dirección del nodo; entonces el nodo de la red blockchain permitirá que se genere. Se necesitan más tokens para elevar su nodo. Además, se utiliza una pequeña cantidad con cada transacción para proteger la red de DDoS.
5. Una buena cadena de bloques personalizada es la confiabilidad
REMME funciona en una cadena de bloques personalizada, pero los tokens de proyecto tienen el estándar ERC-20. La razón principal para elegir este estándar es la necesidad de integrarse en los intercambios existentes y otros servicios. Se eligió blockchain personalizado por razones de seguridad y confiabilidad. La interacción se lleva a cabo a través del mecanismo de migración entre blockchain (el token ERC-20 se transfiere a la blockchain interna).
Alexander explicó por qué el proyecto REMME no se creó originalmente en la cadena de bloques Ethereum: "Hacemos algo en Ether, y luego el empleado de la planta nuclear no puede iniciar sesión en el sistema; personalmente, no quisiera que esta situación ocurriera". Según Alexander, la red de Vitalik Buterin se encuentra ahora en una etapa temprana de desarrollo. La probabilidad de que algo le pase al "éter" es bastante alta, y los creadores del proyecto no lo niegan. REMME cree que al concluir contratos comerciales, deben correr riesgos. Además, la tarea de los desarrolladores era crear una cadena de bloques con alto ancho de banda, ya que los clientes potenciales de la empresa (telecomunicaciones) tienen cientos de millones de usuarios. Las capacidades de Ethereum a este respecto parecían insuficientes para los desarrolladores.
7. Fichas y dólares
En REMME, el precio del certificado se fija en dólares, pero el costo del token es bastante volátil y se determina en el intercambio. Por lo tanto, hay una tasa de relación token-certificado. Como explica Alexander, dicho sistema está diseñado para la conveniencia de los socios, porque necesitan una figura fija para construir presupuestos. Ahora el precio del certificado es de $ 1 por año para un usuario, y el precio del token, según coinmarketcap.com, es de $ 0.019. El equipo del proyecto ha establecido oportunidades para el crecimiento del precio del token: cada nodo recibirá el 90% del valor del certificado. De estos, recibirá el 45% de inmediato, y el 45% será bloqueado por un período de un año y gradualmente será liberado. Esto creará condiciones para el crecimiento del precio del token.
Alexander Momot habló en la Blockchain & Bitcoin Conference Kyiv en la transmisión de Desarrollo y Tokenización (la segunda transmisión fue Finanzas y Regulación). Otros oradores incluyeron al Ministro de Infraestructura, Vladimir Omelyan, jefe de la Agencia Estatal de Gobernanza Electrónica, Alexander Ryzhenko, presidente del Grupo de Inversión de Ucrania, Mark Ginsburg, socio de CKR LAW LLP Gordon Einstein.
Nuestra próxima conferencia blockchain en la CEI se llevará a cabo en Tbilisi el 20 de junio . Detalles y programa - en el sitio web oficial .