Potser no és sorprenent que el sistema d’inici de sessió a Internet és essencialment tan antic com Internet. A les dècades de 1960 i 1970, a mesura que es van formar les primeres xarxes d’ordinadors, també ho va fer la necessitat de l’autenticació dels usuaris. ARPANET, el predecessor d’Internet actual, va implementar els primers sistemes d’inici de sessió formals quan va començar a operar l’any 1969. Aquests sistemes pioners requerien que els usuaris introduïssin un nom d’usuari i una contrasenya per accedir als recursos de la xarxa, cosa que milers de milions de persones farien bilions de vegades en els anys transcorreguts. .
Amb l’aparició de la World Wide Web a principis dels anys noranta, els inicis de sessió basats en web es van convertir ràpidament en un element bàsic, proporcionant una porta d’entrada a experiències digitals personalitzades. No obstant això, aquestes primeres incursions en l’autenticació d’usuaris sovint es van veure afectades per estàndards de seguretat sorprenentment laxos. Molts desenvolupadors de l’època van veure pocs problemes a l’hora d’emmagatzemar les contrasenyes com a text senzill o, sorprenentment, d’incorporar-les directament al codi HTML.
A mesura que Internet va madurar, també ho va fer el nostre enfocament de la seguretat d’inici de sessió. La introducció de llenguatges d’script del costat del servidor com PHP a mitjans dels anys 90 va permetre un emmagatzematge i verificació de contrasenyes més segurs. Els algorismes de xifratge i hash es van convertir en una pràctica estàndard i l’autenticació de dos factors va sorgir com una capa addicional de seguretat.
Malgrat l’autenticació de dos factors i els gestors de contrasenyes, i malgrat els salts i límits fets en altres aspectes de la nostra vida digital, la combinació bàsica de nom d’usuari i contrasenya s’ha quedat com un convidat no desitjat.
L’escala del repte d’inici de sessió
Introduïu blockchain, o no. Perquè, malgrat que la cadena de blocs fa passos i límits a les indústries, des de la sanitat fins a la logística, els inicis de sessió són una àrea on la tecnologia de registre distribuït (DLT) no ha demostrat ser útil.
D’acord, parlem del perquè. Per context, LastPass va realitzar una enquesta que va afirmar que “l’usuari mitjà té ~ 70 contrasenyes per gestionar i que els usuaris podrien iniciar sessió de 20 a 30 vegades al dia”. NordPass, en una enquesta similar, va afirmar que “els usuaris mitjans passen uns 15 minuts cada dia iniciant sessió i tancant els comptes”. Entre 30 segons i 1 minut per inici de sessió, això significa que l’enquesta de NordPass implicaria aproximadament entre 15 i 30 inicis de sessió al dia.
Per ser conservador, suposem el nombre més baix aquí: 15 inicis de sessió al dia. El món té una població de 8.000 milions de persones, de les quals el 85% té accés a telèfons intel·ligents, que podria ser un proxy per accedir a la tecnologia on es requereixin inicis de sessió.
Per tant, una estimació molt aproximada d’inicis de sessió a tot el món per dia és de 0,85 x 8 mil milions x 15 inicis de sessió, la qual cosa equival a ~ 102 mil milions d’inicis de sessió al dia, o 1,2 milions per segon.
El problema del cost i l’escalabilitat
Ethereum, una de les plataformes blockchain més populars, només pot gestionar al voltant de 6 verificacions de prova de coneixement zero per segon. Perquè la cadena de blocs substitueixi els sistemes d’inici de sessió tradicionals, necessitaríem la capacitat de gairebé 200.000 cadenes de blocs semblants a Ethereum que funcionin simultàniament, i això és abans de tenir en compte altres transaccions que es produeixen en aquestes xarxes. En poques paraules, blockchain en la seva forma actual no té l’escalabilitat per gestionar fins i tot una fracció de les demandes d’autenticació diàries del món.
Però la capacitat no és l’únic problema. El cost de verificar els inicis de sessió en una cadena de blocs com Ethereum podria ser extremadament elevat. Com a cas base, suposem que el cost en unitats de gas per inici de sessió és el cost mínim absolut per transacció a Ethereum, que és de 21.000 unitats de gas. Com a referència, ara mateix, Ethereum té un preu de 2.400 dòlars per ETH. Desglossem-ho.
Suposem que una unitat de gas a Ethereum costa 5 gwei i 1 gwei equival a 1/1.000.000.000 ETH. Això significa que 240 milions de verificacions d’inici de sessió, cadascuna amb 21.000 gasos, costarien uns 60,5 milions de dòlars al dia, amb un preu d’Ethereum de 2.400 dòlars per ETH.
I per acabar, tot aquest cost es cremaria a Ethereum, és a dir, ningú de la xarxa n’obtindria cap ingressos.
Això no és sostenible.
Els inicis de sessió simplement no poden costar tant com verificar una transacció en un llibre major públic. La descentralització de la cadena de blocs, tot i que ofereix una gran seguretat i transparència, inclou una prima financera que fa que sigui poc pràctic per a alguna cosa tan mundana però omnipresent com iniciar sessió al vostre lloc web preferit.
Quadrat del cercle
Tot i així, les proves de coneixement zero (ZKPs) ofereixen una mica d’esperança en un paisatge d’altra manera desolador. Els ZKP permeten als usuaris demostrar la seva identitat sense revelar cap informació sensible, molt lluny del món actual, on les dades personals es troben disperses per milers de bases de dades, cadascuna d’elles un objectiu potencial per als pirates informàtics. En teoria, els inicis de sessió basats en blockchain amb ZKP podrien introduir una nova era de privadesa, una en què les contrasenyes i els noms d’usuari són relíquies del passat.
Però la teoria i la pràctica poques vegades s’alineen tan clarament. Tot i que els ZKP poden resoldre alguns problemes de privadesa, introdueixen altres problemes, com ara la necessitat de recursos computacionals importants i l’alt cost actual de verificar aquestes proves.
Com s’ha esmentat anteriorment, Ethereum lluita amb aquestes demandes i, mentre que altres cadenes de blocs com zkVerify estan treballant per reduir els costos dràsticament, la tecnologia no està del tot preparada per a un desplegament generalitzat. I després hi ha el repte de l’experiència d’usuari. La majoria dels usuaris d’Internet no són experts en criptografia, de manera que qualsevol sistema nou ha de ser tan fluid com la combinació actual, encara que defectuosa, de nom d’usuari i contrasenya.
Tampoc s’han d’ensumar els problemes d’UX. El fet que alguna cosa sigui tècnicament superior, no vol dir necessàriament que s’adopti àmpliament (preneu el sistema operatiu Linux com a gran exemple). La indústria ha de combinar totes dues coses si vol tenir èxit.
Tot i que els inicis de sessió no haurien de suposar cap cost directe, sovint ho fan, amagats als serveis que utilitzem. Worldcoin ofereix una solució d’inici de sessió basada en blockchain que utilitza exploracions de retina per autenticar els usuaris amb proves de coneixement zero, verificades a la cadena de blocs Optimism. Tot i que aquest procés costa només 0,0033 dòlars per inici de sessió, quan s’escala a 240 milions d’inicis de sessió al dia, la despesa assoleix els 800.000 dòlars diaris insostenibles.
Tot i que es tracta d’una reducció del 98,5% en comparació amb Ethereum, el sistema funciona en una capa diferent i més centralitzada, intercanviant descentralització per escalabilitat. En canvi, serveis al núvol com AWS Cognito ofereixen una alternativa molt més barata, amb un cost de 0,0025 dòlars per usuari al mes, cosa que fa que l’opció de cadena de blocs sigui un 98,5% més cara. És evident que els inicis de sessió de blockchain tenen marge de millora.
Aleshores, on ens deixa això? Blockchain té els ingredients per interrompre els inicis de sessió, si no una recepta clara per fer-ho. A mesura que els avenços en eficiència de costos i escalabilitat, com ara les solucions de capa 2 alimentades amb coneixement zero, continuen desenvolupant-se, podríem estar apropant-nos a un punt d’inflexió. Si bé els sistemes basats en blockchain actualment lluiten per competir amb la infraestructura de baix cost i alta velocitat de proveïdors de núvol com Amazon i Google, la balança s’està inclinant al seu favor.
