Em várias postagens no Habré, a solução para autenticação sem senha do REMME já foi mencionada. O CEO da empresa, Alexander Momot, foi o orador da nossa Kiev Blockchain & Bitcoin Conference. Ele disse o que há de errado com as senhas e como é organizado seu sistema de autenticação com um registro distribuído. Sob o corte - decodificação de seu discurso.
1. Senhas são inconvenientes
Segundo Alexander, a ideia do REMME surgiu com ele em 2014: ele participou da Ethereum ICO e um ano e meio depois disso decidiu verificar sua carteira. Mas, como se viu, esqueci a senha. Apenas três dias depois, depois de examinar muitas opções, foi possível encontrar a combinação certa. Depois disso, Alexander pensou seriamente que as senhas eram uma coisa extremamente inconveniente, e algo mais deveria substituí-las.
Hoje, o usuário médio da Internet possui dezenas de contas. Para eles, a maioria usa apenas 3-4 combinações de senhas. O banco de dados das 1000 senhas mais populares (12345678, qwerty, abc123 etc.) abre 90% de todas as contas no mundo. Mas mesmo aqueles que usam senhas únicas complexas e as mantêm em um local inacessível não estão imunes a violar o sistema: os métodos tradicionais de proteção têm outras fraquezas.
2. Ataques cibernéticos causam enormes prejuízos aos negócios
A principal vulnerabilidade de muitos sistemas é o servidor principal. Se houver um ponto central de falha, o sistema poderá ser invadido. Na maioria das vezes isso acontece devido ao fator humano. De acordo com Alexander, 100% das contas na troca Kraken são hackeadas precisamente por esse fator, inclusive por meio de phishing, roubo de informações do canal, uso de senhas repetidas, força bruta e invasão do servidor (a fonte de informação são informações privilegiadas). E é em uma troca que tem a reputação de ser a mais segura.
Como exemplo, Alexander também mencionou ataques cibernéticos na Ucrânia em infraestruturas críticas e vídeos em que um carro inteligente é invadido. Ele também citou estatísticas do Deutsche Bank, que faz centenas de milhares de ataques todos os anos, e vários exemplos de hacks de alto perfil nas trocas de criptomoedas: Coincheck (roubado meio bilhão de dólares, as circunstâncias do hack são desconhecidas) e Bitfinex (800 bitcoins roubados; há informações de que o administrador da bolsa caiu no habitual phishing).
O REMME também encontrou tentativas de phishing quando realizou uma venda de token. Mas, como a empresa é especializada em segurança cibernética, os ataques não tiveram êxito.
Portanto, na maioria dos casos, os ataques cibernéticos são direcionados a um servidor central e usam o fator humano. O dano total deles todos os anos é de US $ 6-7 trilhões.
3. A cura para phishing - autenticação de site
O REMME trabalha em cibersegurança em dois mercados em paralelo. Em primeiro lugar, eles emitem certificados de segurança para sites com proteção contra hackers e falsos. Não é um mercado muito grande, estimado em US $ 2 bilhões.Um análogo conhecido é o que o Google oferece: um meio de verificar a validade de um certificado.
Em segundo lugar, a empresa atua no mercado de gerenciamento de acesso. Agora, nesta área, existe uma solução como 2fa - autorização de dois fatores. Entre os recursos de criptomoeda, não é muito popular, mas grandes empresas, bancos, empresas financeiras compõem um grande mercado, que agora está avaliado em US $ 10 bilhões.Em poucos anos, atingirá aproximadamente US $ 15 bilhões.
Segundo Alexander, em qualquer tecnologia que entre no mercado, deve haver três qualidades: simplicidade, segurança e valor para os negócios. Caso contrário, não se tornará popular.
Um exemplo negativo, na opinião dele, é a autenticação de dois fatores na troca de criptografia Bittrex. Ao autorizar, você deve inserir um login e senha; ao digitar a partir de um novo endereço IP, você também deve passar pela confirmação por e-mail e depois inserir o login e a senha novamente. Este 2fa complica o processo de autorização no site, muitos simplesmente o desativam. A norma atual em tecnologia é esta: para fazer algo melhor e mais seguro, eles geralmente complicam.
4. 2fa simples em blockchain e mensageiros
O REMME é baseado na tecnologia SSL TLS existente. Este é um certificado usado para verificar um site. Mas no projeto esse certificado é usado de maneira diferente. Ele não apenas mostra a validade do site, mas também confirma a identidade do usuário, garantindo seu acesso ao servidor.
Para mostrar mais claramente o princípio do REMME, Alexander citou o aeroporto como um exemplo. Após a chegada do passageiro em outro país, seu documento é verificado na base. Se um cidadão não estiver na lista de pessoas procuradas, ele é admitido no país. O REMME funciona de maneira semelhante: o status do certificado (ativo / inativo) está no blockchain. Se o certificado estiver ativo, o usuário poderá ser permitido. O segundo fator é a confirmação da identidade do usuário no telegrama ou em qualquer outro mensageiro. O resultado é autenticação de dois fatores em dois cliques. Nenhum dado é inserido e os ataques de phishing se tornam impossíveis.
O blockchain no REMME é usado apenas para armazenar o status do certificado. Esta informação está disponível ao público, não precisa ser criptografada. Além disso, todos os dados do usuário (por exemplo, uma chave privada, um certificado de computador) são armazenados nele, e não no servidor. Todas as informações necessárias podem ser obtidas do certificado. Isso também resolve o problema de armazenar dados do usuário.
Segundo Alexander, os desenvolvedores do REMME agora estão resolvendo o problema da integração nos negócios tradicionais. Alguns dos clientes da empresa (telecomunicações, usinas de energia) usam sistemas SCADA da Siemens, ABB, General Electric. Portanto, as soluções REMME devem ser integradas ao lado do fabricante desses programas. Em seguida, as empresas podem simplesmente conectar a autenticação REMME a um produto in a box.
A REMME oferece aos usuários o pagamento de um certificado de US $ 1. Isso é mais barato que a média do mercado, onde seu custo chega a US $ 500. Os nós no blockchain REMME têm o direito de emitir um certificado: se for observado consenso, com uma probabilidade de 100%, o certificado será válido. A probabilidade de ele ser seqüestrado ou de que algo lhe aconteça é extremamente baixa, porque não há autoridade central para realizar esse ataque. O token é usado para emitir um certificado: para isso, uma moeda virtual deve ser enviada para o endereço do nó; então o nó da rede blockchain permitirá que seja gerado. São necessários mais tokens para aumentar seu nó. Além disso, uma pequena quantidade é usada em cada transação para proteger a rede contra DDoS.
5. Um bom blockchain personalizado é a confiabilidade
O REMME trabalha em uma blockchain personalizada, mas os tokens de projeto têm o padrão ERC-20. O principal motivo para a escolha desse padrão é a necessidade de integrar trocas existentes e outros serviços. A blockchain personalizada foi escolhida por razões de segurança e confiabilidade. A interação é realizada através do mecanismo de migração entre blockchain (o token ERC-20 é transferido para o blockchain interno).
Alexander explicou por que o projeto REMME não foi originalmente criado no blockchain Ethereum: "Fazemos algo no Ether e, em seguida, o funcionário da usina nuclear não pode fazer login no sistema - eu pessoalmente não gostaria que essa situação acontecesse". Segundo Alexander, a rede da Vitalik Buterin está agora em um estágio inicial de desenvolvimento. A probabilidade de que algo aconteça com o "éter" é bastante alta, e os próprios criadores do projeto não negam isso. A REMME acredita que, ao concluir contratos comerciais, eles devem assumir riscos. Além disso, a tarefa dos desenvolvedores era criar uma blockchain com alta largura de banda, já que os clientes em potencial da empresa (telecomunicações) têm centenas de milhões de usuários. Os recursos do Ethereum a esse respeito pareciam insuficientes para os desenvolvedores.
7. Fichas e dólares
Na REMME, o preço do certificado é fixado em dólares, mas o custo do token é bastante volátil e é determinado na bolsa. Portanto, há uma taxa de relacionamento de certificado de token. Como Alexander explica, esse sistema é construído para a conveniência dos parceiros, porque eles precisam de um valor fixo para gerar orçamentos. Agora, o preço do certificado é de US $ 1 por ano para um usuário, e o preço do token, de acordo com coinmarketcap.com, é de US $ 0,019. A equipe do projeto estabeleceu oportunidades para o aumento do preço do token: cada nó receberá 90% do valor do certificado. Destes, ela receberá 45% imediatamente, e 45% serão bloqueados por um período de um ano e gradualmente serão liberados. Isso criará condições para o crescimento do preço do token.
Alexander Momot falou na Blockchain & Bitcoin Conference Kyiv no fluxo de Desenvolvimento e Tokenização (o segundo fluxo foi Finanças e Regulamentação). Outros palestrantes incluíram o ministro da Infraestrutura, Vladimir Omelyan, chefe da Agência Estadual de Governança Eletrônica Alexander Ryzhenko, presidente da Ucraniana Investment Holding Mark Ginsburg, sócio do CKR LAW LLP Gordon Einstein.
Nossa próxima conferência blockchain na CIS será realizada em Tbilisi em 20 de junho . Detalhes e programa - no site oficial .