科学技术

Web3 登录的未来是……电子邮件和密码?! 

02/04/2022
比特币以太币新闻

作者:Ambire 公关经理 Ivan Manchev

更广泛地采用加密和 DeFi 之前的挑战之一是密钥管理。 令人惊讶的是,电子邮件登录的 web2 概念可以解决这个问题——即使是以非托管方式。

关于种子短语

  1. 孤独 2. 眩光 3. 纯洁 4. 内心 5. 骗子 6. 电线。 …… ???

你还记得你第一次被要求写下助记词吗? 也许你很困惑: 

  • 为什么要把它写在纸上而不是直接粘贴到笔记中呢?
  • 您每次都需要编写所有这些东西来“登录”Web3 应用程序吗?
  • 你能把这些词改成更熟悉的词吗?
  • 呃,他们不能只要求密码或其他东西吗?

种子短语并没有那么糟糕,但如果你不知道密码学是如何工作的,它们看起来会非常奇怪。 大多数人不知道密码学是如何工作的。 

目前,99% 的 Web3 新手用户都拥有 Web2 经验,这源于多年来使用电子邮件/密码作为帐户和应用程序的身份验证。 虽然加密公司和钱包正在尽最大努力教育用户,但混乱似乎是不可避免的,并为总是潜伏的骗子打开了无数机会。 

试试这个实验——谷歌“Curve”或“Aave”或“Uniswap”并点击第一个广告结果。 尝试连接,您将体验到最常见的涉及助记词的社会工​​程骗局——网站模仿 Metamask 并向被误导的用户询问助记词。 (实际上不要那样做——至少不要写你的助记词,拜托!)

这种情况一直在发生,2021 年就是突出问题的一个很好的例子。 随着 NFT 的日益普及,去年有很多新用户加入了加密派对。 他们中的一些人很幸运地购买了 Bored Ape Yacht Club NFT,并看到它升值了 1000 倍……只是因为钱包密钥管理不善而被盗。

图片

那为什么我们仍然使用助记词而不是密码呢?

不幸的是,常见的以太坊地址是用私钥解锁的——一长串文本。 如果您拥有自己的密钥,您可以对您的地址做任何您想做的事情。 您可以将密钥保存在文件中并将其导入以解锁钱包,或者使用助记词助记符。 没有办法引入密码而不是私钥...... 

…好吧,实际上有一种方法,但代价是完全控制你的钱包。 一些服务为他们的用户保留私钥,并让他们使用密码来解锁他们的钱包。 这实现了入职,但打破了去中心化的核心原则之一,它与传统服务的工作方式没有太大区别。 您使用的服务可以在任何给定时刻切断您的访问权限。

但是如果我告诉你实际上有一种方法可以用电子邮件和密码解锁你的钱包,同时保留你的钥匙呢?

智能钱包来了

过去对智能钱包进行了很多讨论:您可能听说过一个类似的概念,称为“帐户抽象”。 

基本上,这个想法是每个以太坊账户都将是一个智能合约,这为增强加密用户体验提供了很多机会。 出于本文的目的,我们将重点关注密钥管理。 

智能钱包不是仅使用一个加密密钥来保护帐户,而是允许使用特定规则使用多个密钥。 例如,您可以设置一个由 2 个密钥控制的帐户,其中一个是您的移动设备,另一个是您的 Trezor 硬件钱包,移动设备具有有限的权限和日常支出,而 Trezor 是无限的。 或者,您可以通过允许由您最亲近的人控制的多重签名来恢复您的帐户,从而设置所谓的社会恢复。 

简而言之,智能钱包是可以由多个加密密钥控制的智能合约——这会“分散”对钱包的访问,并启用不同的设置,您可以在其中更改登录用户体验。

正如您此时可能已经猜到的那样,其中之一是使用电子邮件和密码。 

如何通过电子邮件和密码注册构建非托管智能钱包

我们已经知道智能合约钱包可以由两个或多个密钥控制。 在创建 Ambire 钱包时,我们决定在此功能的基础上进行构建并启用电子邮件/密码注册,而不会损害用户对帐户的所有权。 

Ambire 使用电子邮件和密码实现传统身份验证,如 Web2 应用程序。 这种身份验证模式是非托管的:它通过链上的两密钥多重签名工作。 其中一个密钥存储在浏览器存储中并使用用户密码加密,另一个密钥通过硬件安全模型 (HSM) 存储在我们的后端。

您不能仅使用两个密钥之一访问资金,例如,如果您是成功入侵用户(例如通过恶意软件)或 HSM 的攻击者。 

但是,恢复过程只能用一个键启动。 恢复过程是两个密钥之一的时间锁定更改。 如果恢复过程是无意的(例如由攻击者发起),任何其他密钥持有者都可以取消它。 但是,如果它是合法启动的(例如,如果您丢失了两个密钥中的一个或忘记了密码),您可以等待时间锁定,之后您将可以访问您的帐户。

总而言之,电子邮件/密码帐户是多重签名钱包,可以解锁:

  • 当提供 2 个签名时——在正常操作模式下使用; 或者
  • 当提供 1 个签名但带有时间锁时; 用于密码恢复,或者在 Ambire 后端变得不可用的情况下。

第二个密钥通常由特定于交易(从哈希派生)的确认码解锁,但也可以使用其他身份验证方法,例如 OTP 2FA 或 FaceID。

此模型的另一个好处是第二个密钥可以强制执行额外的安全规则,例如支出限制和检查恶意合同或调用(例如无限批准 EOA)。 由于 HSM 会在链下检查这些规则,因此可以轻松修改或增强它们。 此外,无需额外的 gas 成本即可执行复杂的检查,从而可以在未来使用 AI 或 ML。

如果您想了解更多关于此的信息,您应该查看 Ambire Wallet 的安全模型.

最近怎么样

在对我们的安全模型进行了两个月的快速测试后,我们于 45,000 月发布了 Ambire 钱包。 超过 3 名用户从那时起注册并猜测 - 大多数帐户都由电子邮件和密码控制。 目前,我们正致力于在今年上半年发布适用于 iOS 和 Android 的移动版钱包。 这将是对电子邮件+密码注册模式的真正考验,因为我们希望吸引没有 WebXNUMX 经验的人。 

如果您有兴趣尝试 Ambire 钱包,请前往 https://www.ambire.com/ 并在不到一分钟的时间内创建您的帐户。

资料来源:https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password