Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
Metamask, il più grande fornitore di wallet non custodiali del settore crypto, ha appena sganciato una bomba che verrà ricordata a lungo dagli addetti ai lavori. In un blog post pubblicato ieri, è stata annunciata una nuova funzionalità chiamata “Social Login” che consente agli utenti di accedere ai propri portafogli web3 tramite account Google o Apple.
Vi lasciamo immaginare cosa può significare un level-up del genere ed in che misura si riesce a migliorare la user experience sul wallet e facilitare l’onboarding di nuovi “normies”. Da sempre la necessità di salvare e custodire una frase segreta di 12 parole, detta “seed phrase” rappresenta un grosso limite di accessibilità per i meno esperti.
D’ora in poi invece tutti saranno in grado di scaricare il proprio portafoglio digitale ed accedere in qualsiasi momento senza più preoccupazione. O forse no, perchè a questo punto di preoccupazioni ne nascono di nuove. Di cosa stiamo parlando? Lo scopriamo in questo articolo. Leggi fino in fondo.
Punto di svolta per Metamask: arriva finalmente il social login
Metamask non è il primo wallet a lanciare un meccanismo simile: altri competitor, come ad esempio Abstract con il suo wallet ABS, hanno già dato la possibilità agli utenti di accedere con funzioni social. Altri come Coinbase Wallet hanno introdotto sistemi semplificati simili con i backup cifrati della chiave privata su ICloud o Google Drive.
La cosa più rilevante, però, è che adesso questa feature sia stata lanciata da Metamask, che vanta il primato di wallet più diffuso in tutto il mondo. Ora tutti i 100 milioni di utenti registrati, più quelli che saranno attirati da una gestione più smart, potranno utilizzare i propri account Google o Apple per creare, accedere o ripristinare il proprio crypto wallet.
Non ci sono più seccature: il compito della custodia della cosiddetta “recovery seed phrase” (SPR) non ricade più sull’utente finale, o quantomeno in superficie. Questa frase viene criptata e protetta di un sistema che la rende accessibile solo tramite il collegamento dell’account social, abbinamento ad una password scelta dall’utente.
Ci stiamo muovendo nella direzione giusta per portare la vera mass adoption nel settore: Non possiamo di certo pensare che persone che non hanno la minima confidenza con la tecnologia possano cimentarsi in pratiche di self-custody. L’industria crypto è già complessa di suo, con nomi e concetti del tutto singolare: servono cose semplici ed intuitive, alla portata di tutti
Come funziona tecnicamente il social login di Metamask
Il social login di Metamask è stato pensato per dare la possibilità agli utenti di entrare facilmente sul proprio account Metamask, senza però abbandonare il concetto di “sovranità dei fondi”. In poche parole, la seed phrase non sparisce dal processo: viene comunque generata, ma “nascosta” e gestita in modo più semplice. L’utente resta comunque l’unico possessore delle crypto.
Come riportato dallo sviluppatore Francesco Andreoli, il social login utilizza una tecnologia chiamata “Threshold Oblivious Pseudorandom Function” (TOPRF), combinata con il noto meccanismo “Shamir’s Secret Sharing” che serve a distribuire e frammentare le chiavi su più server indipendenti. Questo garantisce un certo livello di sicurezza contro attacchi esterni.
In pratica:
- La seed phrase viene generata localmente, senza essere mostrata dall’utente e subito cifrata
- viene suddivisa in più frammenti così che nessuno possa conservarla interamente
- solo l’utente, attraverso il login con Google/Apple e l’inserimento della propria password, può far sì che questi “frammenti” vengano ricomposti per ottenere l’accesso al wallet.
Specifichiamo che Metamask non può in alcun modo recuperare le password dei clienti, qualora venissero perse. Nessuna singola entità può accedere a tutti gli elementi necessari per recuperare la seed phase, altrimenti perderemmo il concetto di sovranità assoluta del wallet.
La differenza con l’account abstraction
I più smanettoni ricorderanno sicuramente il tema dell’account abstraction (AA), soprattutto dopo la recente implementazione dell’hard fork Pectra sulla blockchain di Ethereum, ed in particolare dell’EIP-7702. In maniera simile al social login, si era parlato di come l’account abstraction potesse eliminare l’ostacolo della gestione manuale della seed phrase.
In questo caso però parliamo di una soluzione differente: l’AA rappresenta una modifica più profonda al modello degli account su Ethereum, che fino ad ora sono stati sempre considerati come “EOA (Externally Owned Account)”, coperti da chiave privati. Ecco questi wallet con la nuova implementazione diventano smart accounts, dunque molto più efficienti e capaci di essere recuperati tramite account terzi in via social.
Il social login è invece differente perché il wallet Metamask resta un EOA legato ad una chiave privata. Non c’è nessuna trasformazione dell’account sottostante. Cambia solo l’interfaccia e l’esperienza di accesso, ma non l’architettura centrale.
Il tema della sicurezza: si rischia qualcosa in più con il social login di Metamask?
Arriviamo al tema probabilmente più delicato di questo argomento, che sintetizziamo con questa domanda: utilizzando il social login vi è la stessa sicurezza di un accesso manuale tramite seed phrase? La risposta banalmente è no. Non possiamo avere contemporaneamente la botte piena e la moglie ubriaca.
Innanzitutto, accedendo tramite account social, si aggiunge una componente di terza parte aggiuntiva di cui doversi fidare, ossia Google o Apple. Se l’account viene compromesso o bloccato, potrebbe mettere a rischio i fondi nel wallet. Si genera in poche parole una superficie di attacco amplificata, oltre alla seed phrase stessa (che rimane), che dipende da fattori esterni.
Non è diciamo il massimo a livello di sicurezza, ma comunque un buon compromesso per i normies. Ci si affida a Google o Apple piuttosto che fidarsi della propria capacità di custodia. Rimane comunque un elemento che deve essere gestito al 100% dall’utente, ossia la password agganciata all’account social, che come abbiamo detto non può essere recuperata.
Piccole tips
Se state pensando di impostare il social recovery, potete farlo dalla vostra estensione browser Metamask alla versione 13.0.0 o successive. Mi raccomando però, quantomeno abilitate la protezione 2FA sugli account che collegate, e se possibile create un account apposito che non utilizzate quotidianamente.
Se gestite fondi consistenti, considerate l’idea di custodire la seed phrase invece che trovare comodi escamotage. Magari abbinate anche un hardware wallet come Ledger o Trezor. In tal caso create prima un nuovo account sull’hardware wallet e poi collegate a Metamask per non salvare le chiavi internamente al vostro dispositivo.
