Dezentralisierte Services: Herausforderungen für Produkt und Usability - Teil II
13. Dez 2018 - Geschrieben von Andree Huk
Es ist wahrscheinlich keine Überraschung, dass die Benutzererfahrung von Blockchain-basierten Services und Anwendungen hinweg noch nicht großartig ist. In diesem zweiten Beitrag möchte ich die grundlegenden Gründe für die Herausforderungen und Auswirkungen auf die...
Ein Grund dafür ist zum Teil, dass die Unternehmer immer noch hauptsächlich für Nerds und sich selbst entwickeln. Diese Tatsache wiederum ist auf die aktuellen technischen Grundlagen zurückzuführen (verglichen mit herkömmlichen zentralisierten Services), die es sehr schwierig machen, Experiences für den Mainstream zu entwerfen und zu entwickeln.
In diesem zweiten Beitrag möchte ich die grundlegenden Gründe für die oben genannten Punkte und die Auswirkungen auf die Benutzerfreundlichkeit näher erläutern. Heute werde ich eine Alternative zu dem sehr konventionellen Anmeldeverfahren für zentralisierte Dienste untersuchen. Den ersten Teil findest du hier.
Die Herausforderung besteht darin, dezentrale Experiences mit ihren zentralen Gegenpolen auf Augenhöhe zu bringen, insbesondere in Bezug auf die ganzheitliche UX und Benutzerfreundlichkeit.
• • •
Du fragst dich vielleicht, warum der Aufruhr? Tatsächlich sieht es oberflächlich gesehen ziemlich gleich aus. Unter der Oberfläche ist es das nicht. Im Allgemeinen gab der erste Teil einen kleinen technischen Hintergrund, um den Unterschied zwischen dezentraler und zentraler webbasierter Software und Dienstleistung zu verstehen. Diesen Unterschied zu verstehen ist extram wichtig. Der Hauptunterschied ist folgender: Dezentrale Dienste funktionieren ohne einen zentralen Server. Daher wird ein viel Logik auf das Frontend, also den Browser, übertragen.
Technische Unterschiede inspirieren zu neuen Ansätzen. Krypto-Software-Designer und -Entwickler müssen sich an unterschiedliche technische Paradigmen halten. Auf der anderen Seite müssen auch sie ihre Ansätze vereinfachen, um die Reichweite ihrer Produkte zu vergrößern und die Akzeptanz im Mainstream zu erreichen.
Der erste Teil ging auf die Auswirkungen konventioneller Anmeldeverfahren ein, die in dezentralen Diensten eingesetzt werden. In diesem zweiten Teil werfen wir einen Blick auf ein neues Anmeldeverfahren für die dezentrale Zukunft: die so genannte Mnemonic- oder Seed Phrase.
Wir werden die Vorteile und potenziellen Fallstricke untersuchen.
Neue Ansätze für alte Probleme
Due to its technical differences to centralized services, the crypto industry uses various methods for user or account creation. One method in particular is deployed frequently, called a mnemonic phrase (or seed or passphrase). Waves has deployed such a sign-up, account creation method. Waves uses a 15-word seed or passphrase as the sole means for account creation. Other services, like BitBay’s upcoming web marketplace, will use a 12-word phrase.
Such passphrases will be randomly generated and shown to the user. Here is a typical example:
Aufgrund ihrer technischen Unterschiede zu zentralisierten Diensten verwendet die Kryptoindustrie verschiedene Methoden zur Benutzer- oder Kontoerstellung. Insbesondere eine Methode wird häufig eingesetzt, die als Mnemonic Phrase (Seed- oder Passphrase) bezeichnet wird. Waves hat solch eine Methode zur Erstellung von Anmeldungen und Konten eingeführt. Waves verwendet einen 15-Wörter-Seed oder Passphrase als einziges Mittel zur Kontoerstellung. Andere Dienste, wie z.B. der kommende Web-Marktplatz vonBitBay wird ein 12-Wort-Mnemonic verwenden.
Solche Passphrasen werden nach dem Zufallsprinzip generiert und dem Benutzer angezeigt. Hier ist ein typisches Beispiel:
rubber detect gallery cigar maze program small visual salmon pony cash center update follow effort
Auch wenn dieser 12-Wort-Mnemonic aus eher einfachen Wörtern besteht, ist es ist immer noch nicht ganz einfach sich später daran zu erinnern. Tatsächlich ist auch die richtige Reihenfolge unglaublich wichtig. Um sicherzustellen, dass du deinen Mnemonic aufschreiben und merken kannst, fordert die Benutzeroberfläche dich normalerweise auf diesen in irgendeiner Weise zu wiederholen. Waves insbesondere fordert dich auf die 15 Wörter von links nach rechts in der richtigen Reihenfolge Wort für Wort aufzulisten. Du kannst erst dann fortfahren, wenn die Reihenfolge korrekt ist.
Dieser Schritt soll sicherstellen, dass du die Phrase aufschreibst und dass die Bedeutung der Passphrase als Hauptschlüssel für den Zugriff auf das Konto klar verstanden wird.
Wenn du dich bei deinem Konto anmelden möchtest, musst du das Passphrase korrekt eingeben. Was passiert jedoch, wenn ein Wort zufällig ausgetauscht wird: Eigentlich nicht viel. Du kannst dich nicht mehr einloggen. Tatsächlich erlaubt das Wechseln eines Wortes nicht sofort, sich in einem anderen Konto anzumelden. Das wäre natürlich nicht sicher. Tatsächlich ist es sehr unwahrscheinlich, dass ein Benutzer eine gültige Passphrase für dein Konto erstellt, indem er die Wörter neu mischt. Dieser Vorfall ("Collision" in Nerd Sprache) ist technisch gesehen nicht unmöglich, aber sehr unwahrscheinlich.
Diese Wortkombination ist für diesen Benutzer ziemlich einzigartig. Das muss es natürlich auch sein.
Nachdem du deine mnemonische Passphrase generiert hast, hast du alles, was du für die Nutzung des betreffenden Dienstes benötigst. Du merkst jetzt gegebenfalls an, dass das Aufschreiben einer so langen Passphrase extram nervig ist. Nun, es ist sicherlich mehr Arbeit als das Top-Passwort "123456" oder "Passwort", welche bei Linkedin vor einigen Jahren geklaut wurden. Solch ein Passphrase ist eine ganze Ecke sicherer. Und wir reden letztlich auch von barer Münze.
Das Komplexe einfacher machen
Um dies für den Nutzer noch zu verbessern, schlägt Waves beispielsweise vor, ein Konto mit Benutzername und Passwort hinzuzufügen (nennen wir dieses Konto "Easy Access"). Damit wird also praktisch eine herkömmliche Registrierungsmethode genutzt (jedoch keine E-Mail-Adresse, wohlgemerkt). Der Unterschied besteht natürlich darin, dass der Browser diese Daten nicht auf einem Server speichert. Dieses wird in verschlüsselter Form im Browser gespeichert.
Der springende Punkt dabei ist, dass, wenn Sie den Browser-Cache leeren, alle Daten – die enthaltenen Kontoinformationen – gelöscht werden. Andererseits musst du die Passphrase wieder eingeben.
In beiden Fällen ergeben sich dadurch potenziell Usability- und Sicherheitsprobleme:
Erstens wird den meisten Benutzern nicht klar sein, dass das "Easy Access"-Konto kein Ersatz für die Passphrase ist. Es wird nur als eine etwas einfachere und konventionellere Form der Anmeldung angeboten.
Zweitens ist einem Benutzer nicht klar, dass das Löschen des Browser-Cache auch das lokale (Easy Access) Konto entfernt. Natürlich wird dadurch der Zugriff auf den Dienst nicht verhindert. Es mag jedoch eine große Überraschung sein, dass man nun wieder die Passphrase eingeben muss.
Solange man über die Passphrase verfügt, kann man den lokalen (d.h. nur im Browser gespeicherte) "Easy Access"-Konten entfernen und wiederherstellen.
Daher spielt es keine Rolle, ob Sie sich nicht an das Passwort für das Easy Access-Konto erinnern. Sie können das Konto in der Benutzeroberfläche entfernen oder den Cache leeren und dann die Passphrase erneut eingeben.
Nun, für Nerds ist es offensichtlich, dass man die mnemonische Passphrase jedoch nicht zurücksetzen kann. Ich bin sicher, dass dies für den durchschnittlichen Benutzer zunächst nicht so offensichtlich sein wird. Zweitens kann sich der durchschnittliche Benutzer fragen, ob die Anmeldung später nach einer E-Mail-Adresse fragen wird.
Selbst wenn man nach einer E-Mail-Adresse gefragt wirst, kann ein Benutzer die Passphrase nicht zurücksetzen. Hier wird die E-Mail nur für die Kommunikation mit dem Benutzer verwendet. Indem ich nicht nach einer E-Mail-Adresse neben der Generierung von Passphrasen frage, würde ich schätzen, dass die Wahrscheinlichkeit verringert wird, dass der durchschnittliche Benutzer denkt, dass er die Passphrase später zurücksetzen könnte. Das ist auch gut so.
Auf der anderen Seite mögen sich einige fragen, warum Sie ein lokales Konto benötigen, wenn die Passphrase alles ist, was Sie brauchen. Nun, die Nerds sind mit einer solchen Passphrase einverstanden, aber wird es der durchschnittliche Benutzer auch nutzen? Die Nerds können einen Passwortmanager (wie 1Password) verwenden, der die lange Passphrase kopieren und einfügen kann, ohne dass eine kürzere Form erforderlich ist. Wird der durchschnittliche Benutzer das Tool auch haben? Wahrscheinlich nicht.
Wird diese neue Methode funktionieren?
Ich habe die Probleme mit dem Passphrase als dem "Easy Access"-Konto untersucht. Ich habe leider noch nicht genügend qualitative oder quantitative Daten gesehen, die besagen ob diese Methoden funktionieren oder nicht. Ich würde vermuten, dass diese weit davon entfernt sind wirklich großartige Methoden zu sein. Da die Industrie und Technologie noch jung ist, wird wahrscheinlich eine neue technische Methode erfunden, auf welcher Basis dann Designer und Entwickler neue Anmeldeparadigmen konzipieren werden.
Das Gute an dieser Methode ist jedoch, dass sie impliziert, dass "dieser Dienst anders funktioniert". Daher kann ein Benutzer bei der Registrierung für einen dezentralen Dienst mehr Sorgfalt walten lassen. Auf der anderen Seite bringt es potenzielle Probleme mit sich, wie z.B. diese halten sich nicht an die Konventionen für die Accounterstellung, die bereits über Jahre gelernt wurden. Obwohl, gegebenfalls würde ich dies als großen Vorteil sehen.
Last but not least hast du vielleicht bemerkt, dass du (da keine E-Mail verwendet wird) beliebig viele Konten (z.B. Adressen oder mnemonische Passphrasen) anlegen kannst. Sie benötigen nicht mehr E-Mail-Konten. So kannst du beispielsweise einfach die erste Passphrase (und die Kontoadresse) verwenden, um dich mit dem Dienst vertraut zu machen. Wenn du nicht gerade Geld an diese erste Adresse überweist, kannst du die Anmeldeinformationen einfach vergessen.
Erstelle einfach eine neue Adresse und somit Konto - alles ohne Server im Hintergrund.
Wie die Vor- und Nachteile dieser neuen Methode im Vergleich zu herkömmlichen Registrierungsmethoden stehen, (Teil eins), wird in einem kommenden Artikel untersucht.
Die Welt wird digital. Wir begleiten innovative Unternehmen, diese Herausforderungen zu meistern. Was ist Ihr nächster Schritt?
Sprechen Sie mit Andree Huk
via +49 30 5557 7174 oder [email protected].