پیش از صحبت راجع به موضوع اصلی، نگاهی به معنی واژهی mnemonic (نمونیک) میاندازیم. بر اساس آنچه در ویکیپدیا آمده است، ابزار یادآور (mnemonic device)، یا ابزار تقویت حافظه (memory device)، به هر شیوه یادگیریای گفته میشود که به حفظ و بازیابی (یادآوری) اطلاعات در حافظه انسان کمک میکند.
یادآور از ابزارهای ویژهای مانند کدگذاری دقیق، سرنخهای بازیابی، و تصویرسازی استفاده میکنند تا تمامی اطلاعات ارائهشده را به شیوهای کدگذاری کنند که ذخیرهسازی و بازیابی مناسب آنها امکانپذیر باشد.
یادآورها کمک میکنند تا اطلاعات اصلی با چیزی دستیافتنیتر و معنادارتر ارتباط پیدا کنند – که به نوبه خود موجب حفظ و نگهداری مناسبتر اطلاعات میشود. یادآورهایی که معمولاً با آنها مواجهیم در لیستها و به فرم شنیداری مورد استفاده قرار میگیرند، مانند شعرهای کوتاه، سرواژهها، یا عبارتهای به یاد ماندنی، اما یادآورها را میتوان برای انواع دیگر اطلاعات و به اشکال بصری و لامسه نیز استفاده کرد.
کاربرد آنها بر اساس این واقعیت است که ذهن انسان اطلاعات فضایی (مکانی)، شخصی، شگفتآور، فیزیکی، جنسیتی، طنزآلود، یا برعکس برانگیزاننده احساسات را آسانتر به خاطر میآورد تا اطلاعات انتزاعی و غیرشخصی را.
بهعنوان مثل، برای به خاطر سپردن ۱۰ سیستم اندامی بدن انسان، میتوان از یک عبارت به یادماندنی مانند NICER DRUMS استفاده کرد:
- Nervous (سیستم عصبی)
- Integumentary (دستگاه پوششی)
- Circulatory (دستگاه گردش خون)
- Endocrine (دستگاه غدد درونریز)
- Respiratory (دستگاه تنفسی)
- Digestive (دستگاه گوارش)
- Reproductive (دستگاه تولیدمثل یا سیستم تناسلی)
- Urinary (دستگاه ادراری)
- Muscular (سیستم عضلانی)
- و Skeletal (سیستم اسکلتی)
عبارت یادآور
در دنیای ارز دیجیتال عبارت یادآور (به انگلیسی: mnemonic phrase، mnemonic recovery phrase یا mnemonic seed) فهرستی است از کلماتی که تمام اطلاعات موردنیاز جهت بازیابی کیف پول بیت کوین و یا سایر ارزهای دیجیتال را ذخیره میکنند. نرمافزار کیف پول معمولاً یک عبارت یادآور پشتیبان ایجاد میکند و از کاربر میخواهد آن را بر روی کاغذ یادداشت کند. اگر کامپیوتر کاربر از کار بیفتد یا هارد درایو آن خراب شود، میتوانن همان نرمافزار کیف پول قبلی را مجدداً دانلود کند و با استفاده از عبارت پشتیبانی که یادداشت کرده بودع، بیت کوینهای خود را پس بگیرد.
هر فرد دیگری که عبارت پشتیبان را بفهمد میتواند بیت کوینها را بدزدد، بنابراین بایستی مانند طلا یا پول نقد در جای امن نگهداری شود. مثلاً، نباید این عبارت را در هیچ وبسایتی تایپ کرد.
عبارتهای یادآور روشی عالی برای پشتیبانی و ذخیره بیت کوین میباشند، به همین دلیل تقریباً تمامی کیف پولهای محبوب و مشهور از این شیوه استفاده میکنند.
طرز کار عبارت یادآور
توضیح بسیار سادهای درباره شیوه عمل عبارتهای یادآور وجود دارد. نرمافزار کیف پول فهرست واژگانی دارد که از دیکشنری گرفته شده است، به هر لغت یک عدد اختصاص داده میشود. عبارت یادآور را میتوان به یک عدد تغییر داد که بهعنوان سید (seed) در کیف پول قطعی (deterministic wallet) استفاده میشود و تمام زوج کلیدهای مورداستفاده در کیف پول را تولید میکند. فهرست واژگان زبان انگلیسی دارای ۲۰۴۸ واژه برای استاندارد BIP39 است، بنابراین اگر عبارت یادآور حاوی فقط ۱۲ واژه تصادفی باشد، ۲۰۴۸^۱۲ = ۲^۱۳۲ تعداد ترکیب، ممکن میشود و عبارت ۱۳۲ بیت امنیت خواهد داشت. اما برخی از دادههای استاندارد BIP39 تصادفی نیستند، پس امنیت واقعی یک عبارت یادآور ۱۲ واژهای BIP39 فقط ۱۲۸ بیت است. این میزان امنیت قدرتی تقریباً برابر با تمام کلیدهای خصوصی بیت کوین دارد، به همین دلیل به عقیده اکثر متخصصین بهاندازه کافی امن است.
عبارت عبور یادآور یا عبارت یادآور دو مرحلهای
عبارتهای یادآور نیز مانند تمام پشتیبانها میتواند مقدار زیادی بیت کوین ذخیره کند. از آنجایی که ارزش کیف پول شما ممکن است بسیار زیاد باشد، در بسیاری از کیف پولها میتوانید برای عبارت یادآور خود رمز عبور قرار دهید. این کار به معنای امنیت بیشتر کلیدهاست.
همچنین تماشا کنید: کلمات عبور شما چگونه در شبکه امن باقی می ماند؟
از این رمز میتوان برای ایجاد یک عبارت یادآور دو مرحلهای استفاده کرد که در آن «یک چیزی که دارید» و «یک چیزی که میدانید» هر دو برای باز کردن بیت کوین ضروری میباشند.
شیوه ایجاد عبارت عبور دو مرحلهای به این صورت است که کیف پول ابتدا یک عبارت یادآور میسازد و از کاربر درخواست رمز عبور میکند. و سپس هم عبارت یادآور و هم واژه اضافی هر دو برای بازیابی کیف پول موردنیاز میباشند. کیف پول الکتروم و سایر کیف پولها این عبارت عبور را «افزونه سید» (seed extension)، «افزونه یادآور» (mnemonic extension) یا «واژه ۲۵ ام ۱۳/ام» مینامند.
استاندارد BIP39 روشی برای عبارت عبور محافظ یک سید یادآور ارائه میدهد. در استاندارد الکتروم نیز از طرح مشابهی استفاده میشود. اگر یک عبارت عبور موجود نباشد، از یک رشته خالی (empty string) “” بهجای آن استفاده میکنیم.
الکتروم از سید استفاده میکند، سید یک عبارت تصادفی است که در ساخت کلید خصوصی شما بهکار میرود. مثل:
slim sugar lizard predict state cute awkward asset inform blood civil sugar
میتوان بهطور کامل کیف پول را از روی سید آن بازیابی کرد. برای این منظور، کافی است گزینه «restore wallet» (برگرداندن کیف پول) را در شروع اپلیکیشن کیف پول انتخاب کنید.
بازیابی رمز عبور امکانپذیر نیست. اما میتوانید کیف پول خود را با استفاده از عبارت سید (seed phrase) برگردانید و سپس رمز عبور انتخاب کنید. اگر هم رمز عبور و هم عبارت سید خود را فراموش کنید راهی برای برگرداندن پول خود ندارید. به همین دلیل است که الکتروم از شما میخواهد تا عبارت سید خود را بر روی کاغذ یادداشت کنید.
برای برگرداندن کیف پول با استفاده از عبارت سید کافی است یک کیف پول جدید بسازید، «نوع» را انتخاب کنید، سپس گزینه «I already have a seed» (از قبل سید دارم) را انتخاب کنید و عملیات را با وارد کردن عبارت سید خود ادامه دهید. به همین سادگی!
نگرانیهای موجود درباره عبارتهای یادآور
پاول پوئی (Paul Puey) مدیرعامل و مؤسس Edge، معتقد است که نشان دادن کلیدها بر صفحهنمایش تلفن همراه یا تایپ کردن آن در موبایل، نشان دهنده مشکل امنیتی بزرگی است که دلیل آن را در ادامه توضیح میدهیم.
ظاهراً پاول با جان مک آفی (John McAfee)، هکر با تجربه و بنیانگذار نرمافزار ضدویروس معروف مک آفی، جلسهای برگزار کرده و درباره امنیت بیت کوین گفتگو کردند. جان که مدتهاست در جامعه هکرهاست، دو مورد را بهعنوان بزرگترین تهدید برای دستگاههای ما بیان میکند، و پاول نیز با او موافق است:
- کیلاگرها (Keyloggers)
- بدافزار تصویربرداری از صفحهنمایش (screen capture malware)
امروزه هم سیستمعامل اندروید و هم iOS امکان شخصیسازی صفحهکلید (custom keyboard) دارند و احتمال زیادی وجود دارد که یکی از آنها در مورد کلیدهای شما تجسس کرده و آن را برای گروهی خرابکار بفرستد. با یک پشتیبان سید ۱۲ الی ۲۴ واژهای، تضمین میکنیم که کلید خصوصی خود را در ظرفی نقره پیشکش مهاجمان کردهاید. واژهها را بر روی صفحهنمایش نشان دهید و تمام، یک ویروس تصویربرداری از صفحهنمایش آن را بهدست خواهد آورد. و اگر از کاربر خواسته شود که واژهها را برای تأیید بکاپ (پشتیبان) وارد کند (بسیاری از کیف پولها این کار را انجام میدهند)، یک کی لاگر شما را شکست میدهد (به تمام آن اطلاعات دست پیدا میکند).
برخی از کیف پولها ادعا میکنند امنیت بسیار بالایی دارند زیرا از تراشه عنصر امن (Secure Element) برای ذخیره کلیدها در سختافزار تلفن استفاده میکنند. اما اگر کلیدها بر روی صفحهنمایش نشان داده شوند و یا بر روی گوشی همراه تایپ شوند تمام آن امنیت سختافزاری زیر سؤال خواهد رفت.
پس راهحل چیست؟
پاول معتقد است که ما به روشی آشناتر و در عین حال امن برای حفاظت در مقابل آن دو فرم بدافزاری که به آنها اشاره شد نیازمندیم. راهحل آن این است که هرگز نباید به کاربرها کلیدهایشان را نشان داد. هرگز نباید آن را بر روی صفحهنمایش آورد. و هرگز نباید از کاربرها خواست که آن را در موبایل خود تایپ کنند. ولی در عوض میتوان آن را با یک مجموعه مجزای اعتبار بخش مانند یک رمز عبور قوی رمزگذاری کرد، و سپس در پشتصحنه با استفاده از روش تأیید هویت دو مرحلهای (2FA) برای محافظت از آن، آن را پشتیبانی کرد. اگر یک کی لاگر یا تصویربردار صفحهنمایش (screen grabber) پسورد رمزگذاری شما را ببیند، با این حال اطلاعات رمزگذاری شده را ندارد تا آن را رمزگشایی کند. برای رمزگشایی آن یک بردار حمله (attack vector) کاملاً جدید موردنیاز است فقط برای اینکه بتوان به خود دادهها دست پیدا کرد.
سخن آخر
اگر قصد دارید وارد بازار ارزهای دیجیتال شوید، امن نگه داشتن کیف پول یکی از مهمترین موارد است. انجام این کار فقط وظیفه شماست و راههای زیادی برای افزایش حفاظت و امنیت وجود دارد.
هیچ روش امنیتی کامل و بدون نقص نیست و بهصورت یک مقیاس خطی از کمترین امنیت به بیشترین امنیت نیست. بلکه موضوع مهم این است که کدام بردار حمله شما را بیشتر نگران میکند.
راهحلهایی عالی مانند کیف پولهای سختافزاری در بازار موجود است، اما سرمایهگذاری اولیهای نیز طلب میکنند. وقتی پای امنیت سرمایه به میان میآید، مبلغ مورد ریسک بسیار قابلتوجه میشود.
منبع: captainaltcoin