La semana pasada, hubo un pequeño alboroto en el mundo de la Web 3 cuando un nuevo protocolo, DeSo, anunció una actualización de su flujo de inicio de sesión de usuario. Anteriormente, el servicio de medios descentralizado había pedido a los usuarios que ingresaran su "frase inicial" en la interfaz web del proyecto, desafiando todas las mejores prácticas de seguridad generalmente aceptadas y generando críticas en toda la industria.
“Las extensiones de Chrome como MetaMask son más seguras, pero la mayoría de los usuarios principales nunca las instalarán. En lugar de gritarles a nuestros usuarios sobre las mejores prácticas de seguridad, hicimos algo radical: los conocimos donde están hoy”. explicó el fundador de DeSo, Nader Al-Naji. Sin embargo, el equipo descubrió que en realidad no se habían reunido con los usuarios en los que se les había dicho que "10% de las personas perdieron su semilla inmediatamente.”
Jill Gunter, columnista de CoinDesk, es socia de riesgo de Slow Ventures, donde invierte en proyectos criptográficos y Web 3 en etapas iniciales. También es cofundadora de Open Money Initiative, una organización de investigación sin fines de lucro que trabaja para garantizar el derecho a un sistema financiero libre y abierto.
Para abordar este problema, DeSo ahora ofrece a los usuarios la posibilidad de hacer una copia de seguridad automática de sus frases iniciales en Google Drive desde la aplicación. En todo caso, esto es incluso peor desde una perspectiva de seguridad que su flujo de inicio de sesión original.
Cuando se trata de frases semilla, la mejor práctica generalmente aceptada es nunca almacenarlas en ningún dispositivo que esté conectado (o haya estado conectado) a Internet. Estas frases de 12, 18 o 24 palabras son las que permiten a los usuarios recuperar los activos almacenados en una billetera digital determinada en caso de que pierdan o reemplacen el dispositivo que usaron para acceder a sus fondos. Las frases semilla son tan sensibles porque permiten que cualquiera que conozca sus palabras mágicas obtenga acceso a los activos asociados.
Leer más: DeSo quiere tu frase inicial. Que vengan y se lo lleven
La mayoría de las aplicaciones criptográficas y Web 3 alientan a los usuarios a escribir sus frases iniciales y almacenarlas en un lugar seguro, como un búnker o una caja de seguridad física. No le digas a nadie. No almacene la frase en un administrador de contraseñas en línea, dice la sabiduría, y mucho menos en su Google Drive. Y nunca ingrese su frase inicial en un formulario de sitio web, para que no sea víctima de un ataque de phishing.
Y, sin embargo, mi experiencia de interactuar con todo tipo de usuarios de criptografía y Web 3 sugiere que pocos tienen en cuenta esta sabiduría. Es fácil empatizar con la situación de DeSo.
He recibido muchos mensajes de amigos que solo incursionan ligeramente en criptografía pidiéndome ayuda para recordar "qué oración de 12 palabras" podrían haber usado para hacer una copia de seguridad de la billetera bitcoin que configuraron en 2017. (Como nota: a diferencia de una contraseña , los usuarios no deciden cuál debe ser su frase inicial, sino que se genera para ellos. Lo cual es otro punto de fricción y confusión que los usuarios deben superar).
He visto frases iniciales garabateadas en cuadernos que se dejan en mochilas debajo de los mostradores de los bares durante las criptoconferencias. He actuado como atención al cliente en proyectos criptográficos y los usuarios me han enviado mensajes con sus claves privadas (a pesar de mis advertencias de no hacerlo) pidiendo ayuda. He visto a usuarios publicar sus claves privadas en los canales de Discord. Yo mismo, hace solo un par de semanas, me encontré con 24 palabras garabateadas en una nota Post-It en el fondo de un bolso que usaba con frecuencia hace unos años. Dudo que alguna vez sepa a qué billetera está asociado.
A la luz de estas observaciones y experiencias, es tentador encogerse de hombros y decir que tal vez DeSo tenga razón. Para el usuario promedio que recién incursiona en Web 3 por primera vez, tal vez sea el enfoque más sensato para almacenar frases iniciales en algún lugar como Google Drive. Mejor allí que en un cajón de calcetines, ¿no?
El problema es que, incluso si hoy en día las apuestas para el usuario promedio son bajas para mantener sus claves en Google Drive, en el futuro las consecuencias pueden volverse significativas desde el punto de vista financiero. Parece que todos los años, los medios se obsesionan con algún otro pobre diablo que compró bitcoin en 2011, ganó cientos de millones de dólares, pero perdió su frase inicial y ya no puede acceder a los fondos (el tipo que perdió XNUMX millones en un basurero en Gales viene a la mente).
Si bien los usuarios de DeSo que almacenan sus frases iniciales en Google Drive no tendrán que preocuparse por perder el rastro de la frase inicial, tendrán que preocuparse de que su cuenta de Google se convierta en un objetivo para los piratas informáticos. Si muchos de los primeros en adoptar el protocolo se vuelven millonarios gracias a los activos que han almacenado en el sistema DeSo, de repente Google Drive se convertirá en un enorme señuelo para todos ellos. Esto es peligroso para los usuarios y, presumiblemente, una situación que a DeSo le gustaría evitar.
Para la industria, existe un problema aún mayor con el enfoque de DeSo. Es enseñar a los usuarios a hacer cosas que son peligrosas sin explicarles adecuadamente cuáles son los riesgos. DeSo no está educando a los usuarios ni mitigando los riesgos que les piden que asuman. DeSo simplemente está tomando atajos y creando hábitos problemáticos que los usuarios se llevarán cuando usen otras aplicaciones Web 3.
La experiencia del usuario de acceder e interactuar con las criptomonedas sigue siendo un problema sin resolver. Web 3 y crypto casi definitivamente piden a los usuarios que asuman más responsabilidad cuando interactúan con Internet. Las responsabilidades y los desafíos surgen mucho más allá del problema del almacenamiento de frases iniciales. Muchos defensores incondicionales de la criptografía abogan por que los usuarios ejecuten sus propios nodos para los protocolos con los que interactúan. Los usuarios tienen que navegar regularmente por exploradores de bloques para ver los detalles de la transacción, envolver y desenvolver activos en diferentes estándares de token y, por supuesto, lidiar con tarifas costosas, opacas e impredecibles.
Gran parte de la criptografía invierte lo que Web 2 ha entrenado a los usuarios para que esperen y se sientan cómodos. Con las aplicaciones confiables, gratuitas y transparentes de Web 2, los usuarios pueden transferir a través de dispositivos que se abren y despliegan con una simple mirada o un zumbido en un reloj de pulsera, a menudo sin siquiera ingresar una contraseña. Eso contrasta marcadamente con Web 3 y su experiencia intensiva en seguridad y aislada en dispositivos que pide a los usuarios que naveguen por flujos inescrutables, a menudo con poca educación o instrucción integrada en el producto.
Y ahí radica una parte clave de la solución de experiencia del usuario: la educación. No debemos pensar tan poco en los usuarios que tengamos que tomar atajos por ellos, como lo hace DeSo. Después de todo, un principio fundamental de la criptografía radica en el empoderamiento del individuo. Enseñe a los usuarios sobre sus opciones y los riesgos asociados (incluidas, de hecho, las opciones de almacenar una frase inicial en Google Drive) y permítales elegir.
Cuando pienso en la experiencia del usuario de Web 3 hoy en día, a menudo vuelvo a mis primeras experiencias con una computadora e Internet. Recuerdo que, cuando tenía 5 o 6 años, miré cómo mi tío instalaba una computadora Gateway para mis padres en nuestra sala familiar y nos conectaba, por primera vez, a Internet de acceso telefónico. Estaba usando todo tipo de jerga que se volvería nativa para nosotros durante los próximos 10 años, pero para mis padres era claramente extraña e incómoda.
El "sistema operativo", el "módem", la "dirección IP". Todavía puedo recordar el aura de escepticismo y agotamiento que mis padres parecían compartir una vez que mi tío se fue esa tarde. Como si estuvieran pensando: "No hay forma de que alguna vez descubramos cómo usar esto".
Más información: DeSo lanza un fondo de $50 millones para un ecosistema social descentralizado
¡Pero todos lo descubrimos! Es posible que el usuario promedio de una computadora no pueda brindarle una explicación precisa y técnicamente precisa de la función que desempeña un sistema operativo en su computadora, o por qué se necesita un módem o cómo se obtiene una dirección IP. Pero miles de millones de nosotros hemos descubierto cómo actualizar un sistema operativo, conectar un módem y conectarse a redes Wi-Fi. Parte de esto se debe a la innovación en la experiencia del usuario, pero gran parte simplemente se debe a la educación del usuario combinada, lo que es más importante, con fuertes incentivos para que los usuarios se pongan al día. Una vez que vislumbré lo que esa vieja computadora de escritorio conectada a Internet podía ofrecerme, me propuse entender lo que necesitaba para poder usarla. Neopets y America Online fueron suficientes para motivarme a descifrarlo en toda su complejidad.
Lo mismo es, y seguirá siendo, cierto para las criptomonedas y la Web 3. Con una propuesta de valor lo suficientemente fuerte, las preocupaciones sobre los usuarios que se resisten y se agitan ante la posibilidad de descargar un complemento de Chrome o tener que almacenar de forma segura una frase de 12 palabras disminuirán. para los constructores de productos. Eso no quiere decir que no debamos seguir trabajando para mejorar estas experiencias. Es solo para decir que no debemos asumir que tenemos que ir a las medidas extremas de tomar atajos para los usuarios a bordo. Deberíamos darles más crédito que eso. Y si lo que se necesita para que los usuarios elijan su producto es tomar atajos, entonces tal vez debería volver a examinar si su producto realmente proporciona el valor suficiente.
Source: https://www.coindesk.com/layer2/2022/01/19/the-right-and-wrong-way-to-get-web-3-adoption/