‘Je hoeft alleen twaalf woorden op te schrijven – iedereen kan dat.’
Deze uitspraak hoor je waarschijnlijk het vaakst als het over zelfbeheer van bitcoin gaat. Het klinkt simpel: een paar woorden opschrijven, dat lukt iedereen toch? Kritiek en bezwaren worden afgedaan als angst, twijfel en onzekerheid. Al die FUD zou zogenaamd verdwijnen met die ene zin: ‘Haal je munten van Coinbase af, nu!’
Maar zo werkt het niet.
Dit is een misleidend beeld. Het is net zo simplistisch als zeggen: ‘Schieten is alleen mikken en de trekker overhalen – dat kan iedereen.’ Veilig schieten vraagt om veel meer. Je moet eerst begrijpen wat een vuurwapen is en welke gevolgen het gebruik ervan kan hebben. Gevolgen die niet terug te draaien zijn.
Een vuurwapen is geen speelgoed. Het is een instrument dat levens kan beëindigen. Zonder dat besef gaan mensen er te achteloos mee om. Als iemand door onvoorzichtig gebruik schade aanricht, is dat onomkeerbaar.
Je kunt de tijd niet terugdraaien of iemand weer tot leven wekken. Net zo min als je een verzonden bitcointransactie kunt terughalen.
Twaalf woorden opschrijven is geen oplossing op zich. Gebruikers moeten eerst echt begrijpen wat die twaalf woorden betekenen. Ze moeten beseffen dat die woorden hun geld vertegenwoordigen. En dat die geheim en veilig bewaard moeten worden om hun bitcoin te beschermen. Alleen iets opschrijven betekent nog niet dat het besef er ook daadwerkelijk is.
Daarna moeten ze die twaalf woorden ook nog daadwerkelijk fysiek beveiligen om ze geheim te houden.
Kunnen mensen hun mnemonic seed überhaupt fysiek veilig bewaren? Hebben ze een kluis? Wonen ze samen met anderen? Moeten ze rekening houden met een partner of kinderen? Brengt samenwonen extra personen in huis? En zijn die te vertrouwen?
Wat met oplichters, hackers en social engineers? Is iemand waakzaam genoeg om te herkennen met wie hij of zij te maken heeft? Begrijpen ze wat kwaadwillende actoren proberen te bereiken, zoals toegang tot hun sleutels? Weten ze hoe je software controleert die niet via de App Store wordt gedownload? En zien ze het verschil tussen een betrouwbare en frauduleuze app die wél in de App Store staat?
En hoe zit het met compatibiliteit op de langere termijn? Werkt een bepaald apparaat of softwarepakket met afwijkende standaarden, zoals eigen back-upsystemen? Snappen gebruikers die technische keuzes überhaupt? Of leidt het er uiteindelijk toe dat ze toch derde partijen moeten vertrouwen, die misbruik kunnen maken van de situatie als hun wallet of back-up over tien jaar niet compatibel blijkt met nieuwe oplossingen?
En dan hebben we het nog niet eens over hardwarewallets gehad. Kan iemand de integriteit van zo’n apparaat beoordelen? Sterker nog: zijn de meeste mensen überhaupt in staat te bepalen of de architectuur en het achterliggende bedrijf betrouwbaar zijn?
Dit zeg ik niet om mensen af te schrikken van zelfbeheer of om defaitistisch te klinken. Het is een realiteitstoets. Bitcoin heeft mensen nodig die hun cryptoactiva zelf beheren en gebruiken, zodat het netwerk op lange termijn gedecentraliseerd blijft. Zolang dat proces eng en onwennig aanvoelt, zullen mensen het simpelweg vermijden.
Zo simpel is het. Mensen keer op keer waarschuwen om geen fouten te maken, voorkomt die fouten niet. Blijven herhalen dat ze niet bang hoeven te zijn, neemt die angst niet weg. Doen alsof technische valkuilen niet bestaan omdat jij of ik ermee overweg kunnen, helpt de gemiddelde gebruiker niet verder.
Er zijn genoeg hulpmiddelen om deze problemen aan te pakken. Multisignature-schema’s maken sleutelrotatie mogelijk en bieden ruimte voor hulp bij vergissingen. Schnorr-multisig gaat nog een stap verder, met minder complexiteit voor de gebruiker. Beide benaderingen kunnen profiteren van aanvullende verbeteringen die de privacy versterken.
De manier waarop interfaces zijn ontworpen, kan gebruikers stevig beschermen tegen oplichters. Ook de architectuur van wallets en apparaten speelt daarbij een rol. In sommige gevallen kan die zelfs aanvalsvectoren elimineren of ze onschadelijk maken wanneer ze beperkt blijven tot één apparaat of softwarepakket.
Zelfs nu, meer dan tien jaar nadat ik voor het eerst een Bitcoin-multisignaturewallet gebruikte, is het nog steeds omslachtig, onduidelijk en soms gewoonweg onmogelijk om zo’n wallet op te zetten met meerdere onafhankelijke softwarepakketten.
Als we willen dat mensen op grote schaal hun cryptoactiva zelf beheren – wat cruciaal is voor de decentralisatie van Bitcoin – dan moeten die obstakels worden weggenomen. Interfaces moeten écht intuïtief zijn. Oplossingen moeten onderling compatibel zijn, ongeacht de vendor of software. Gebruikers hebben iets nodig dat lijkt op de ondersteuning die ze gewend zijn binnen het traditionele financiële systeem. Let op: cryptoactiva zijn zeer risicovol. Je kunt je volledige inleg verliezen. Resultaten uit het verleden bieden geen garantie voor de toekomst.
Zonder verandering zal vrijwel niemand de controle over zijn eigen fondsen nemen. Zolang er geen goede tools worden ontwikkeld en verbeterd, en zolang systemen niet op elkaar aansluiten, blijft zelfbeheer voor veel mensen buiten bereik.
Er moet worden geëxperimenteerd met dit soort oplossingen. Ze moeten grondig worden getest en verder worden verfijnd. Uiteindelijk moeten ze aansluiten op wat een doorsnee gebruiker echt nodig heeft om zich veilig te voelen bij zelfbeheer – én om daadwerkelijk veilig te zijn.
Voelt men zich er niet veilig bij, dan doet men het simpelweg niet.
