Krypto kaufen
Bezahlen mit
USD
USD
Kaufen & Verkaufen
Hot
Kaufen und verkaufen Sie Krypto mit Apple Pay, Karten, Google Pay, Banküberweisung und mehr.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Gate Card
Krypto Zahlungskarte, die nahtlose globale Transaktionen ermöglicht.
Märkte
Handeln
Basic
Advanced
Futures
Futures
Hunderte von Verträgen in USDT oder BTC abgerechnet
TradFi
Gold
Trade global traditional assets with USDT in one place
Options
Hot
Mit Vanilla-Optionen im europäischen Stil handeln
Einheitliches Konto
Maximieren Sie Ihre Kapitaleffizienz
Futures-Kickoff
Bereiten Sie sich auf Ihren Futures-Handel vor
Futures-Ereignisse
Nehmen Sie an Events teil, um großzügige Belohnungen zu gewinnen
Demo-Handel
Nutzen Sie virtuelle Gelder, um risikofreien Handel zu erleben
Verdienen
Launch
CandyDrop
tag
Sammle Süßigkeiten, um Airdrops zu erhalten
Launchpool
Schnelles Staking, verdienen Sie potenziell neue Token
HODLer Airdrop
Halten Sie GT und erhalten Sie kostenlos massive Airdrops
Launchpad
Seien Sie frühzeitig beim nächsten großen Token-Projekt dabei
Alpha-Punkte
Handeln Sie On-Chain-Assets und genießen Sie Airdrop-Belohnungen!
Punti Futures
Guadagna punti Futures e richiedi le ricompene dell'airdrop
Investition
Community
Quadrat
Teilen Sie Ihren Beitrag und bleiben Sie über Krypto und mehr informiert
Live
moments live
Live-Krypto-Marktanalyse
Chat
Mit Krypto-Tradern chatten
Neues aus
Aktuelles aus dem Krypto-Bereich
Mehr
Werbeaktionen
Andere
TradFi
giveaways
Belohnungs-Hub
Gate Learn
Kurse
Artikel
GlossarRecherche
Gate Learn
Artikel
Stellen Sie Sicherheitsfragen

Stellen Sie Sicherheitsfragen

2024-02-25 03:16:41
Fortgeschrittene
BlockchainMakro-Trends
In diesem Artikel wird auf die Bedeutung von Sicherheitsproblemen eingegangen und Strategien zu deren Bewältigung diskutiert.

Besonderer Dank geht an Hudson Jameson, OfficerCIA und samczsun für das Feedback und die Überprüfung.

In der vergangenen Woche kursierte ein Artikel über ein Unternehmen, das 25 Millionen Dollar verlor , als ein Finanzangestellter davon überzeugt wurde, eine Banküberweisung an einen Betrüger zu senden, der vorgab, der CFO zu sein... über einen anscheinend sehr überzeugenden Deepfake-Videoanruf.

Deepfakes (z.B. KI-generierte gefälschte Audio- und Videodateien) tauchen sowohl im Krypto-Bereich als auch anderswo immer häufiger auf. In den letzten Monaten wurden Deepfakes von mir verwendet, um für alle Arten von Betrug zu werben, sowie für Hundemünzen. Die Qualität der Deepfakes verbessert sich rasant: Während die Deepfakes des Jahres 2020 peinlich offensichtlich und schlecht waren, werden die der letzten Monate immer schwieriger zu unterscheiden. Jemand, der mich gut kennt, könnte das kürzliche Video, in dem ich eine Hundemünze vertausche , immer noch als Fälschung identifizieren, weil ich darauf sage "Let's f*ing go", während ich "LFG" immer nur für "auf der Suche nach einer Gruppe" verwendet habe, aber Leute, die meine Stimme nur ein paar Mal gehört haben, könnten leicht überzeugt werden.

Sicherheitsexperten, denen ich den oben genannten Diebstahl in Höhe von 25 Millionen US-Dollar erwähnt habe, bestätigen übereinstimmend, dass es sich um ein außergewöhnliches und peinliches Versagen der betrieblichen Sicherheit von Unternehmen auf mehreren Ebenen handelte: Die Standardpraxis besteht darin, mehrere Stufen der Genehmigung zu verlangen, bevor eine Überweisung auch nur annähernd dieser Größe genehmigt werden kann. Trotzdem bleibt die Tatsache bestehen, dass ab 2024 ein Audio- oder sogar Videostream einer Person keine sichere Möglichkeit mehr ist, sich zu authentifizieren.

Das wirft die Frage auf: Was ist?

Kryptographische Verfahren allein sind nicht die Antwort

Die Möglichkeit, Menschen sicher zu authentifizieren, ist für alle Arten von Menschen in allen möglichen Situationen wertvoll: Einzelpersonen, die ihre Social Recovery- oder Multisig-Wallets wiederherstellen, Unternehmen, die Geschäftstransaktionen genehmigen, Einzelpersonen, die große Transaktionen für den persönlichen Gebrauch genehmigen (z. B. um in ein Startup zu investieren, ein Haus zu kaufen, Überweisungen zu senden), sei es mit Krypto oder mit Fiat, und sogar Familienmitglieder, die sich in Notfällen gegenseitig authentifizieren müssen. Daher ist es wirklich wichtig, eine gute Lösung zu haben, die die kommende Ära der relativ einfachen Deepfakes überleben kann.

Eine Antwort auf diese Frage, die ich in Krypto-Kreisen oft höre, lautet: "Sie können sich authentifizieren, indem Sie eine kryptografische Signatur von einer Adresse angeben, die an Ihr ENS-/Proof-of-Humanity-Profil / Ihren öffentlichen PGP-Schlüssel angehängt ist". Das ist eine ansprechende Antwort. Es geht jedoch völlig an dem Punkt vorbei, warum es überhaupt sinnvoll ist, andere Personen bei der Unterzeichnung von Transaktionen einzubeziehen. Angenommen, Sie sind eine Person mit einer persönlichen Multisig-Wallet und senden eine Transaktion, die von einigen Mitunterzeichnern genehmigt werden soll. Unter welchen Umständen würden sie es genehmigen? Wenn sie sich sicher sind, dass Sie derjenige sind, der die Übertragung tatsächlich will. Wenn es sich um einen Hacker handelt, der Ihren Schlüssel gestohlen hat, oder um einen Entführer, würden sie das nicht genehmigen. In einem Unternehmenskontext verfügen Sie in der Regel über mehrere Verteidigungsebenen. Aber selbst dann könnte sich ein Angreifer nicht nur für die letzte Anforderung, sondern auch für die früheren Phasen des Genehmigungsprozesses als Manager ausgeben. Sie können sogar eine legitime Anfrage in Bearbeitung übernehmen, indem sie die falsche Adresse angeben.

Und so tötet in vielen Fällen die andere Unterzeichner, die akzeptieren, dass Sie Sie sind, wenn Sie mit Ihrem Schlüssel unterschreiben, den ganzen Punkt: Es verwandelt den gesamten Vertrag in eine 1-zu-1-Multisig, bei der jemand nur die Kontrolle über Ihren einzigen Schlüssel übernehmen muss, um das Geld zu stehlen!

Hier kommen wir zu einer Antwort, die tatsächlich Sinn macht: Sicherheitsfragen.

Sicherheitsfragen

Angenommen, jemand schreibt dir eine SMS und behauptet, eine bestimmte Person zu sein, die dein Freund ist. Sie schreiben SMS von einem Konto, das Sie noch nie zuvor gesehen haben, und sie behaupten, alle ihre Geräte verloren zu haben. Wie stellen Sie fest, ob sie die sind, für die sie sich ausgeben?

Es gibt eine offensichtliche Antwort: Fragen Sie sie nach Dingen, die nur sie über ihr Leben wissen. Dies sollten Dinge sein, die:

  1. Weißt du
  2. Du erwartest, dass sie sich erinnern
  3. Das Internet weiß es nicht
  4. Sind schwer zu erraten
  5. Im Idealfall weiß selbst jemand, der Unternehmens- und Regierungsdatenbanken gehackt hat, nicht

Das Natürliche, worüber man sie fragen sollte, sind gemeinsame Erlebnisse. Mögliche Beispiele sind:

  • Als wir uns das letzte Mal gesehen haben, in welchem Restaurant haben wir gegessen und was hast du gegessen?
  • Welcher unserer Freunde hat diesen Witz über einen alten Politiker gemacht? Und welcher Politiker war es?
  • Welchen Film haben wir kürzlich gesehen, der dir nicht gefallen hat?
  • Sie haben mir letzte Woche vorgeschlagen, mit mir über die Möglichkeit zu sprechen, dass sie uns bei der Recherche helfen könnten ?

Aktuelles Beispiel für eine Sicherheitsfrage, die kürzlich jemand verwendet hat, um mich zu authentifizieren.

Je einzigartiger Ihre Frage ist, desto besser. Fragen, die genau am Rande stehen, bei denen jemand ein paar Sekunden nachdenken muss und vielleicht sogar die Antwort vergisst, sind gut: Aber wenn die Person, die Sie fragen, behauptet, sie vergessen zu haben, stellen Sie ihr unbedingt drei weitere Fragen. Die Frage nach "Mikro"-Details (was jemandem gefallen oder nicht gefallen hat, bestimmte Witze usw.) ist oft besser als "Makro"-Details, da erstere für Dritte in der Regel viel schwieriger zu finden sind (z. Wenn auch nur eine Person ein Foto des Abendessens auf Instagram postet, können moderne LLMs schnell genug sein, um dies zu erfassen und den Ort in Echtzeit bereitzustellen). Wenn Ihre Frage potenziell erraten werden kann (in dem Sinne, dass es nur wenige potenzielle Optionen gibt, die Sinn machen), stapeln Sie die Entropie, indem Sie eine weitere Frage hinzufügen.

Die Leute hören oft auf, sich mit Sicherheitspraktiken zu beschäftigen, wenn sie langweilig und langweilig sind, daher ist es gesund, Sicherheitsfragen unterhaltsam zu gestalten! Sie können eine Möglichkeit sein, sich an positive gemeinsame Erlebnisse zu erinnern. Und sie können ein Anreiz sein, diese Erfahrungen überhaupt zu machen.

Ergänzungen zu Sicherheitsfragen

Keine einzelne Sicherheitsstrategie ist perfekt, daher ist es immer am besten, mehrere Techniken zu kombinieren.

  • Vorab vereinbarte Codewörter: Wenn Sie zusammen sind, einigen Sie sich absichtlich auf ein gemeinsames Codewort, mit dem Sie sich später gegenseitig authentifizieren können.
  • Vielleicht einigt ihr euch sogar auf einen Schlüssel zur Nötigung: ein Wort, das du unschuldig in einen Satz einfügen kannst, der der anderen Seite leise signalisiert, dass du genötigt oder bedroht wirst. Dieses Wort sollte gebräuchlich genug sein, damit es sich natürlich anfühlt, wenn du es verwendest, aber selten genug, dass du es nicht versehentlich in deine Sprache einfügst.
  • Wenn Ihnen jemand eine ETH-Adresse sendet, bitten Sie ihn, diese auf mehreren Kanälen zu bestätigen (z. Signal und Twitter DM, auf der Website des Unternehmens oder auch über einen gemeinsamen Bekannten)
  • Schützen Sie sich vor Man-in-the-Middle-Angriffen: Signal-"Sicherheitsnummern", Telegram-Emojis und ähnliche Funktionen sind alle gut zu verstehen und zu beachten.
  • Tägliche Limits und Verzögerungen: Verhängen Sie einfach Verzögerungen bei schwerwiegenden und irreversiblen Handlungen. Dies kann entweder auf Richtlinienebene (mit den Unterzeichnern im Voraus vereinbaren, dass sie N Stunden oder Tage warten, bevor sie unterschreiben) oder auf Codeebene (Auferlegung von Limits und Verzögerungen im Smart-Contract-Code) erfolgen

Ein potenziell ausgeklügelter Angriff, bei dem sich ein Angreifer in mehreren Schritten eines Genehmigungsprozesses als Führungskraft und Zuwendungsempfänger ausgibt. Sicherheitsfragen und Verzögerungen können dies verhindern. Es ist wahrscheinlich besser, beides zu verwenden.

Sicherheitsfragen sind schön, denn im Gegensatz zu so vielen anderen Techniken, die scheitern, weil sie nicht menschenfreundlich sind, bauen Sicherheitsfragen auf Informationen auf, die sich Menschen von Natur aus gut merken können. Ich verwende seit Jahren Sicherheitsfragen, und es ist eine Angewohnheit, die sich eigentlich sehr natürlich und nicht unangenehm anfühlt und es wert ist, in Ihren Arbeitsablauf aufgenommen zu werden - zusätzlich zu Ihren anderen Schutzebenen.

Beachten Sie, dass "individuelle" Sicherheitsfragen, wie oben beschrieben, ein ganz anderer Anwendungsfall sind als "Unternehmens-zu-Einzelperson"-Sicherheitsfragen, z. B. wenn Sie Ihre Bank anrufen, um Ihre Kreditkarte zu reaktivieren, nachdem sie zum 17. Mal deaktiviert wurde, nachdem Sie in ein anderes Land gereist sind, und sobald Sie die 40-minütige Warteschlange mit lästiger Musik überwunden haben, erscheint ein Bankangestellter und fragt Sie nach Ihrem Namen. Ihr Geburtstag und vielleicht Ihre letzten drei Transaktionen. Die Art von Fragen, auf die eine Person die Antworten kennt, unterscheidet sich stark von denen, auf die ein Unternehmen die Antworten kennt. Daher lohnt es sich, diese beiden Fälle ganz getrennt voneinander zu betrachten.

Die Situation jeder Person ist einzigartig, und daher unterscheiden sich die Arten von eindeutigen Informationen, die Sie mit den Personen teilen, bei denen Sie sich möglicherweise authentifizieren müssen, für verschiedene Personen. Es ist im Allgemeinen besser, die Technik an die Menschen anzupassen und nicht die Menschen an die Technik. Eine Technik muss nicht perfekt sein, um zu funktionieren: Der ideale Ansatz besteht darin, mehrere Techniken gleichzeitig zu kombinieren und die Techniken auszuwählen, die für Sie am besten geeignet sind. In einer Post-Deepfake-Welt müssen wir unsere Strategien an die neue Realität anpassen, was jetzt leicht zu fälschen ist und was noch schwer zu fälschen ist, aber solange wir das tun, ist es weiterhin durchaus möglich, sicher zu bleiben.

Verzichtserklärung:

  1. Dieser Artikel ist ein Nachdruck von [Vitalik Buterin], Alle Urheberrechte liegen beim ursprünglichen Autor [Vitalik Buterin]. Wenn es Einwände gegen diesen Nachdruck gibt, wenden Sie sich bitte an das Gate Learn-Team , das sich umgehend darum kümmern wird.
  2. Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und stellen keine Anlageberatung dar.
  3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verbreiten oder Plagiieren der übersetzten Artikel verboten.

Teilen

Inhalt

Kryptographische Verfahren allein sind nicht die Antwort

Sicherheitsfragen

Ergänzungen zu Sicherheitsfragen

Crypto Calendar
Tokens Unlock
Wormhole will unlock 1,280,000,000 W tokens on April 3rd, constituting approximately 28.39% of the currently circulating supply.
W
-7.32%
2026-04-02
Tokens Unlock
Pyth Network will unlock 2,130,000,000 PYTH tokens on May 19th, constituting approximately 36.96% of the currently circulating supply.
PYTH
2.25%
2026-05-18
Tokens Unlock
Pump.fun will unlock 82,500,000,000 PUMP tokens on July 12th, constituting approximately 23.31% of the currently circulating supply.
PUMP
-3.37%
2026-07-11
Tokens Unlock
Succinct will unlock 208,330,000 PROVE tokens on August 5th, constituting approximately 104.17% of the currently circulating supply.
PROVE
2026-08-04
sign up guide logosign up guide logo
sign up guide content imgsign up guide content img
Sign Up

Verwandte Artikel

Was ist Tronscan und wie kann man es im Jahr 2025 verwenden?
Einsteiger

Was ist Tronscan und wie kann man es im Jahr 2025 verwenden?

Tronscan ist ein Blockchain-Explorer, der über die Grundlagen hinausgeht und Wallet-Verwaltung, Token-Verfolgung, Einblicke in Smart Contracts und Teilnahme an der Governance bietet. Bis 2025 hat er sich mit erweiterten Sicherheitsfunktionen, erweiterten Analysen, Cross-Chain-Integration und verbesserter mobiler Erfahrung weiterentwickelt. Die Plattform umfasst nun eine erweiterte biometrische Authentifizierung, Echtzeit-Transaktionsüberwachung und ein umfassendes DeFi-Dashboard. Entwickler profitieren von KI-gestützter Analyse von Smart Contracts und verbesserten Testumgebungen, während Benutzer einen vereinheitlichten Multi-Chain-Portfolio-Blick und eine gestenbasierte Navigation auf mobilen Geräten genießen.
2023-11-22 18:27:42
Was ist Bitcoin?
Einsteiger

Was ist Bitcoin?

Bitcoin ist ein dezentralisiertes digitales Währungssystem, das den direkten Werttransfer zwischen Nutzern sowie die langfristige Speicherung von Vermögenswerten ermöglicht. Entwickelt von Satoshi Nakamoto, arbeitet es unabhängig von zentralen Autoritäten. Die Integrität und der Betrieb des Systems werden stattdessen gemeinschaftlich mithilfe von Kryptografie und einem dezentralen Netzwerk sichergestellt.
2022-11-21 10:38:01
Verständnis von KRC-20-Token: Der Token-Standard des Kaspa-Ökosystems
Erweitert

Verständnis von KRC-20-Token: Der Token-Standard des Kaspa-Ökosystems

Erkunden Sie KRC-20-Token im Kaspa-Ökosystem. Verstehen Sie ihre Bedeutung, lernen Sie, wie man sie prägt und handelt, und entdecken Sie Top-Projekte und -Werkzeuge, die Innovationen für den Token-Standard des Kaspa-Ökosystems vorantreiben.
2024-10-21 05:46:03
Was ist Pyth Network?
Einsteiger

Was ist Pyth Network?

Pyth Network hat gerade seinen nativen Token $PYTH eingeführt und 2,55 Milliarden Token als Airdrop an Community-Mitglieder und Benutzer verteilt. Über 75.000 Wallets kommen für den Airdrop in Frage und ziehen große Aufmerksamkeit auf dem Markt auf sich.
2023-12-15 17:25:24
Chainlink 2.0 - Ein Spielwechsler?
Erweitert

Chainlink 2.0 - Ein Spielwechsler?

Das Wachstumspotenzial des Kryptomarktes und seiner Anwendungen wird eine große Nachfrage nach hochwertigen Orakeldiensten erzeugen. Chainlink scheint sehr gut positioniert zu sein, um von dieser Bewegung zu profitieren und der führende Anbieter dieser Art von Dienstleistungen zu bleiben.
2022-12-16 10:47:55
Was ist Coti? Alles, was Sie über COTI wissen müssen
Einsteiger

Was ist Coti? Alles, was Sie über COTI wissen müssen

Coti (COTI) ist eine dezentrale und skalierbare Plattform, die reibungslose Zahlungen sowohl für traditionelle Finanz- als auch für digitale Währungen unterstützt.
2023-11-02 09:09:18