Apabila anda mencipta akaun dalam satu perkhidmatan pesanan peribadi, biasanya anda memilih satu kata laluan. Setakat itu, segalanya biasa. Apa yang tidak begitu biasa ialah apa yang berlaku di bawahnya.
Dalam kebanyakan perkhidmatan, kata laluan anda ialah kunci kepada segalanya. Jika anda kehilangannya, anda kehilangan akses. Jika ia dicuri daripada anda, anda kehilangan segalanya. Identiti anda, mesej anda, fail anda. Segalanya bergantung pada satu perkara yang anda tulis dengan papan kekunci pada satu petang Selasa.
24 perkataan tersebut berfungsi dengan cara lain. Ia bukan satu kata laluan yang anda pilih. Ia satu kunci yang dihasilkan oleh sistem secara rawak, dengan 256 bit entropi sebenar. Supaya anda mendapat gambaran: memecahkan kunci tersebut melalui serangan kekerasan akan memerlukan lebih banyak tenaga daripada yang akan dihasilkan oleh matahari sepanjang hayatnya. Ia bukan satu metafora. Ia satu pengiraan matematik.
Dua kunci untuk dua pintu
Kata laluan anda menyambungkan anda ke perkhidmatan. Ia kunci pintu masuk. Jika anda melupakannya, anda boleh masuk melalui pintu belakang dengan 24 perkataan anda. Jika kata laluan anda dicuri, anda boleh mengubahnya dalam sekelip mata tanpa ada perkara lain berubah.
24 perkataan anda adalah perkara lain. Ia adalah perwakilan kunci induk anda. Kunci daripada mana identiti kriptografi anda diterbitkan, kunci yang melindungi data anda, kunci yang mengenal pasti anda di hadapan kenalan anda. Jika anda kehilangan 24 perkataan dan juga kata laluan tersebut, data anda tidak boleh dipulihkan. Seperti dalam Bitcoin. Dan itu, walaupun kedengaran kasar, ialah tepat apa yang anda mahukan daripada satu sistem yang selamat.
Kerana alternatifnya ialah seseorang boleh memulihkan data anda untuk anda. Dan jika seseorang boleh memulihkan data anda, dia juga boleh mengaksesnya.
Kertas adalah penting
Catat 24 perkataan anda pada satu kertas. Satu kertas sebenar, jenis yang sepanjang hayat itu. Simpannya di tempat yang selamat. Bukan dalam telefon anda, bukan dalam nota digital, bukan dalam satu e-mel kepada diri sendiri. Satu kertas di dalam laci, di dalam peti besi, atau di mana anda menyimpan perkara yang penting.
Ia mungkin nampak ketinggalan zaman. Tetapi satu kertas tidak boleh digodam secara jarak jauh, tidak boleh dipintas melalui internet, dan tidak memerlukan bateri. Kadangkala teknologi tertua ialah yang paling selamat.
Bagi sesiapa yang mahu mendalami
24 perkataan tersebut mengikut standard BIP39, yang digunakan oleh dompet Bitcoin. Ia mewakili 256 bit entropi yang dihasilkan oleh CSPRNG sistem pengendalian (crypto.getRandomValues). Daripada 256 bit tersebut kunci identiti diterbitkan (Ed25519 untuk tandatangan + X25519 untuk pertukaran) melalui HKDF-SHA256 dengan domain separation. Kata laluan membalut kunci ini dengan Argon2id + AES-256-GCM sebelum menghantarnya ke pelayan. Pelayan menyimpan blob tersulit tersebut tetapi tidak boleh membacanya.