去中心化身份终局之战：理想的 Web3 身份验证是怎样的？

web3认证现在存在的问题

第一次玩StepN时，用户需求运用邮箱账号注册。完结注册后，需求导入/新建一个加密钱包，假如导入原有助记词（运用过有财物的钱包），会很忧虑助记词触网的安全问题。
假如新建一个钱包，也有同样的热钱包备份不妥的安全担忧。这是加密老用户的担忧，而关于一个web3新人，什么是助记词，怎样安全保管助记词，都是十分陌生且没有概念的，十分简略导致财物丢掉。

运用Mirror发布文章时，要链接钱包进行签名认证，它供给了一个比较友好的“remember me”功用，在一次签名后，能够在一段时间内（大约一周）不需再次签名，必定程度上便利了用户，但关于月更的我来说，每次都需求链接硬件钱包去签名，实在觉得繁琐，仅仅发布一个文章罢了。

更极点的例子，是现在的一些交际类web3运用，当需求关注人、发表谈论等操作时，都需求验证签名，为了便利大多人会专门搞一个热钱包（有安全意识的）。

但有些运用，由于涉及历史行为的标示以及空投等引诱，无可奈何仍是要用老地址去做验签，这种地址往往有许多财物在里边，假如签名不注意，就简略导致授权过大，然后导致一些不必要的财物丢掉。

假如有大额财物参加DeFi，常常会运用多签、硬件钱包等相对安全的根底设施。这些地址也或许会被用来买卖NFT，而NFT买卖许多时分需求签名授权。现在的运用签名信息不行直观，用户大多不太了解详细签名的内容，这很简略导致签名授权过大然后被黑。

这几个典型的场景，总结起来便是现在web3身份验证存在的不易用、不快捷和不安全等问题。

这些问题呈现的实质原因，大多是由于身份和账号没有被明晰界定，大部分情况下钱包即被认为是账号，又被认为是用户的身份。

而去中心化非保管钱包的开展，实践远远无法适配当前的web3开展速度。当DeFi呈现时，咱们选用这种形式还感觉不到太多问题。而当越来越多非金融类去中心化运用呈现时，这种认证办法就会凸显诸多问题。

web2都有哪些常用的认证场景

早期咱们运用网页类web2运用时，大多选用账号+暗码的认证办法拜访。为了便利许多网站设置的都是相同的暗码（这很不安全）。

随着移动运用的遍及，渐渐咱们习气了手机号+验证码的认证办法。即便是网页端，也渐渐的支撑了这种验证办法。

而为了更便利，咱们的许多运用都运用了根据微信/手机号一键验证等验证形式，暗码简直不再被运用。

随着生物辨认技能的开展，现在许多设备也都在选用刷脸、验证指纹等认证办法，验证码也在不断的被更新替代。

web2的身份验证正在往安全快捷的无暗码认证方向开展。

无暗码认证要比账号+暗码的办法安全许多，由于账号+暗码的办法存在弱口令问题和许多的被泄露数据，黑客能够利用大数据+撞库等办法破解。

假如有好的安全习气，现在的移动运用大多很难被盗。合作运用1password等运用（做到一运用一暗码），关于需求设置暗码的运用也相对比较安全。

再看金融类运用的认证开展，最早网银很不便利，要运用暗码卡转账。后来开展为运用usbkey的验证形式。

关于个人用户，现在手机网银简直与其他非金融运用是相同的体会，手机号+刷脸认证，刷脸/验证码转账等等，十分便利。

这也有必定安全隐患，假如手机被黑了，存在手机里银行账户被盗的危险。

关于企业用户，现在usbkey（数字证书）的验证办法依然连续。而像银行间通信，大多选用点对点加密的办法。

许多初次运用web3运用的用户都会宣布一个疑问，为啥这运用这么难用？最直观的便是大多是网页端拜访，而且用户认证普遍不行友好。

莫非web2中已被广泛选用的友好且安全的验证办法不能运用在web3么？

这里咱们就要说一下web3与web2最重要的一点不同，便是用户财物的自主可控（可具有）。

web2中，数据和财物都在中心化平大驾，实践用户很难具有自主权。

而web3中，去中心化的特点让用户从暗码学角度具有了自主权，your keys，your coins！

这也是为什么web3运用的认证办法，是让用户自主签名的原因。由于这些信息只有用户自己具有。

web3身份需求供给什么样的服务和才干

自行更改密钥

咱们常用的web2运用，每隔一段时间都能够重置暗码以确保安全性，防止暗码丢掉导致的信息泄露。

假如发现账号被盗了，咱们也能够及时修改暗码，或者经过申述等办法找回账号。

这种情况下，咱们的账号仍然能够继续运用，跟咱们账号相关的其他内容、数据和运用，都不需求从头授权或链接。

而关于去中心化钱包，一旦助记词/私钥丢掉，这个钱包就没办法再运用了。由于只需有人知道这个助记词/私钥，就能够动里边的财物，就能够验证各类运用。

在web2中，账号被盗一方面能够申述找回，另一方面也很简略进行各类禁用操作，只需有足够依据，就能够对或许的危险进行中心化的处理。比方向不同渠道申述，增加黑名单等等操作。

而在web3中，现在还没有一个能有用针对被盗账号的防范措施。一旦私钥丢了，这个账号就不再可用。但随着越来越多运用对身份行为的重视，咱们许多的链上行为都与账号地址有关，一个用了很久的地址，或许便是一笔可观的财富。假如弃之不用，就十分的惋惜。

是否有一种办法，能让咱们像web2替换暗码相同，在不变更账号（公钥地址）的情况下，对web3的钱包助记词/私钥进行自行更改呢？

多账号别离，身份聚合

现在在国内有许多面向个人用户的多账号别离/身份聚合的运用场景。

比方咱们在运用同享单车时，有时会用付出宝扫码开锁，有时分会用微信扫码开锁，经常自己都没留心，但都能打的开锁。

各种同享产品，只需上面有个码，咱们就会下意识的直接用微信/付出宝去扫，租充电宝、电车、雨伞等等。

这些运用运用起来十分便利，不需求咱们注册任何账号，也不需求供给许多的个人信息，只需求进行一次授权即可。

在这些场景里，租借各种设备时，咱们实践运用的仍是这些运用自身的账号，而这个账号是经过身份授权产生的。

咱们的许多身份信息和行为，都被聚合在一个叫“芝麻诺言”/“微信付出分”的系统里，这个便是咱们在互联网国际的聚合身份。

它是一套诺言评价系统，具有咱们的各类身份数据和诺言评级。不同运用经过与它的集成，能够申请一个授权，读取咱们的身份，并创建临时的账号。

只需咱们的诺言能到达这些运用的规划要求，咱们就能够平滑的运用。

关于企业级的运用，一个职工往往也会运用几十套各种不同系统，假如每个系统都有独立账号，回忆起来十分不便利。大多职工也都习气用相同的暗码，这样很不安全。

为了处理这一问题，有专门服务于企业级身份办理的处理计划IAM。能供给一套快捷安全的单点登录和共同账号暗码系统，既处理了安全问题，又让职工运用系统愈加快捷。

像以上这样的运用体会，在web3中也是被需求的。咱们希望在玩游戏，体会交际运用，参加DeFi挖矿时，都有不同的账号，但他们都能够运用一套便利的办法进行共同的安全的办理。

既能做到财物在不同账号的阻隔，也能做到身份在不同账号的互通。咱们自己能够决定像外部展示何种身份，能够操控哪些身份是显性的，哪些是隐形的，以及他们之间的行为联系。

灵敏的密钥办理

大部分的互联网用户都没有暗码办理的安全意识，常常运用一套暗码打遍天下。被用最多的安全保护措施便是不运用，比方不运用网银等等。

移动运用认证技能的开展演化，一方面是为了渠道运用能有更大的网络功效，另一方面也实在的提高了用户运用的安全和快捷性。比方验证码+刷脸+风控等办法，让一般的暗码泄露很难形成严重影响。

而web3运用，将身份主权交还给了用户，每个人对怎样办理密钥在常识和技能上有着十分大的差异。

即便是一些老韭菜，也经常范丢掉私钥的错误，不小心被垂钓或是由于电脑被黑导致热钱包被盗。

运用硬件钱包、冷钱包、多签钱包的门槛更高，一般关于没有技能布景的用户，很难实在掌握这些钱包的安全运用办法，一不小心有或许自己反而把密钥搞丢。

web3这种不友好也不是很安全的密钥办理办法，实在的阻止了许多人参加web3运用。

在web2中，咱们能够经过1password、google暗码办理等程序协助办理密钥。但

助记词和私钥的运用大多比较着重离线备份，或者存放在硬件钱包里，或者选用愈加安全的多签等技能。这些关于专业用户来说还好，关于web3用户来说就有一些难度了。

咱们是否能够像web2那样保管密钥？不需求抄写，不需求硬件。即安全，又能够快速的康复？

关于不同的运用需求，能够有不同的密钥办理策略，大额财物能够运用专业级安全计划。交际运用就运用一些快捷的办法，这样的人物授权别离，也让咱们在运用不同运用时不至于过多的忧虑安全和隐私问题。

让web3认证具有和web2相同的体会

前面提到的许多问题，以及相对应的处理计划，咱们现在看有一些web3项目现已在试图处理。

假如想让web3的运用体会与web2相似，个人认为需求合约钱包的大规模运用，这会完成现在许多不能完成的体会。比方康复密钥、无费用买卖、多账户危险阻隔等等。

ERC 4337 以太坊账户笼统

ERC4337是以太坊关于账户笼统的一个提案。它的提出首要意图是在不更改共同层协议的情况下，将用户账户升级为合约账户，这样做会带来十分多的优点。

现在，以太坊的账户类型分为外部账户（EOA）和合约账户。ERC4337的账户笼统计划，提出将两种账户类型减少为一种，即只保存合约账户。

ERC4337完成的账户笼统计划，能够为用户带来以下体会提高：

支撑交际康复：这个计划支撑用户为钱包账户设置多个守护者，能够在丢掉密钥的情况下协助康复钱包密钥。守护者能够是用户具有的其他安全钱包、家人或朋友，乃至是第三方机构。

这个功用能够让用户的钱包账户愈加安全，防止由于不了解助记词/私钥原理，或保管不善而导致的意外丢掉。能够像web2相同办理运用的账户，在发现不安全要素或丢掉密钥时，对钱包账户的密钥进行找回和重置。

支撑代建账户/代付手续费：这一功用能够让运用协助用户付出创建账户的gas费，也能够协助用户代付买卖手续费。乃至运用恣意的ERC20代币付出买卖手续费。简略说用户不需求自己入金就能够完整的体会web3运用。

这对普通用户来说十分有用，他们不需求付出创建账户的费用，乃至一些买卖也不需求付费。这能够完成0门槛用户引流，并为用户建好安全的web3钱包。关于游戏和交际类运用，尤其好用。

支撑账户升级：账户笼统的钱包是由智能合约操控，因而可对合约功用进行升级，可完成用户高度可自定义的才干，比方简化/个性化签名算法等。

关于ERC4337的完成，vitalik给出了一个路线图，其中包含：

短期：

• 让ERC-4337投产，支撑将EOA升级为智能合约账户

• 支撑ERC4337账户的易用的浏览器插件钱包

• 实施对Layer2友好的功用，短期在Layer2中推行ERC4337运用

中期：

• 实施Verkle树，下降gas本钱

• 增加可选的EOA到ERC4337的转化

• 增加crLIst逻辑

长时间：

• 考虑强制实行EOA转化，和单一的ERC4337账户

web3auth

Web3Auth供给了一种与web2相似的交际认证办法，能够让web3认证坚持与web2共同的运用体会。

Web3Auth是一项toB的运用，需求运用程序自主集成和装备后，用户才干体会到相应的认证体会，包含：

干流交际帐户登录和无密认证：用户可经过 Google、Twitter、GitHub 和其他 OAuth 供给商进行注册。用户还能够经过发送电子邮件的办法，进行无暗码设置的注册流程。

支撑Web3 钱包与密钥办理：可授权用户运用自主挑选的钱包或密钥办理。比方用户能够运用他们现有的钱包登录或挑选密钥办理（导入助记词），并将其直接连接到运用程序。

web3auth能够为用户供给相似web2的注册和认证体会，只需求经过第三方交际认证即可完结。

一起，web3auth还支撑非保管的公钥根底设施（SSS 2/3 Shamir’s Secret Sharing），这种办法极大便利了不懂办理密钥的用户，一起做到既是非保管钱包（用户彻底自主掌握财物），又无需用户自行保管密钥。

假如觉得这种非保管办法不行安全，用户也可挑选选用自己常用的钱包进行链接登录，比方ledger、phantom等。浏览器插件钱包keplr便是用web3auth扩展，用户可自行体会。

unipass

UniPass是多链共同加密身份运用，供给根据电子邮件的非保管交际康复钱包处理计划。能够经过无密钥的办法操控用户的加密身份。还能够经过加密办法验证多链地址乃至交际帐户。

在前端功用上，unipass与web3auth相似，都有供给交际认证、交际康复钱包等功用。相对已完成功用，unipass的2022年产品规划中提到的才干，与本文锁希望的去中心化身份演进有许多契合之处，其中包含：

web3身份聚合：根据暗码学完成多链多账户的聚合。经过这种聚合办法，能够将用户在不同链上不同地址的行为聚合到一个身份ID中，完成信任的传递。简略说便是能够最大程度提高用户的链上行为评分。

web2身份验证：在智能合约中供给验证电子邮件地址、Twitter 账户、Discord 账户的才干，然后在 Web3 中原生供给 Web2 身份信息。

单点登录与拜访门户：经过运用unipass id，进行多运用的共同登录。并为用户供给共同的web3门户导航。

账户命名

身份标识关于身份辨认十分重要，web3中每个账户都是一长串相似乱码的字母+数字，这难于回忆和辨认。

ENS

ENS是一个根据以太坊区块链的分布式、开放和可扩展的命名系统。其推出的xxx.eth服务，将可读称号映射到了0x123xxx…的标识符，这在必定程度上缓解了这种辨认困难。

Nametag

Nametag 的方针是成为建立在区块链上的通用命名服务，用户经过铸造、存储、买卖和运用唯一命名的 NFT 作为他们的通用用户名。

LENS

Lens 是Polygon上的 Web3 交际图谱协议。它的方针是形成一个彻底可组合的、用户具有的交际图谱。该协议从一开端就选用模块化规划，允许第三方根据协议开发新功用，一起确保用户具有的内容和交际联系不可变。

其中ENS和Nametag是想成为根底命名服务让其他运用都来引证和适配。而Lens是想做交际根底设施，自带的xxx.lens有点相似微信名。最终哪种办法会在web3中更受欢迎，还有待时间验证。

Gnosis Safe

关于web3用户来说，相对web2有一个更为重要的需求是自主的安全性，全部身份应该是建立在自主可控的安全根底之上。

相关于一个简略助记词导入的metamask热钱包，硬件钱包会更安全。防止了助记词被黑、垂钓等危险。

在硬件钱包之上，还有更安全的多重签名处理计划，首要面向安排/社区/大额资金的办理需求。

关于一般个人，硬件钱包就现已相对比较安全了。但关于安排而言，还要考虑单点危险、作恶危险、授权危险等等，因而选用多签会更符合大额资金安全办理的需求。

Gnosis Safe 是一个可在多链运转的智能合约钱包，需求最少人数同意买卖才干执行（M-of-N）。

Safe是一个智能合约账户，供给的才干包含：多签、限制转账金额、白名单转账、绑缚买卖、紧急冻结/康复账户、预设条件触发操作等。

一种理想化的去中心化身份认证架构

上文的许多铺垫，是为了能更好的提出一种架构。它能更好的协助用户进入web3运用，一起能获得更大的安全性和更好的体会感。

在web3里，钱包、账户、身份的概念有些含糊，没有明晰区分，往往钱包便是账户，账户被作为身份。

实践身份是一个调集，而账户是咱们运用运用的具象载体，是身份的外延。而加密钱包是咱们账户的一种载体和验证办法。

去中心化身份能够被分为三个层次，分别是：外显身份、署理身份和主权身份。

署理身份

署理身份是一系列专属功用的账户，比方交际账户、游戏账户、买卖账户、DeFi账户、匿名账户等等。

在这个模型中，全部的署理账户都能够是主权账户操控的合约账户，在产生危险时能够运用主权账户重置密钥，防止财物丢掉。一起能够连续各种行为画像。

这些署理账户是用户不同身份人物的署理，他们之前具有独立用途和安全鸿沟。防止运用一个账户什么都做，在安全的根底上又能供给快捷的体会。

比方交际账户中没有财物，专门用于登录各种运用，转评赞。游戏账户专门用于玩链上游戏，跟NFT账户能够共用或是别离。而NFT账户有能够专做一个貔貅账户，只买不卖，防止被黑。当要卖时再临时授权挂单。

为什么要选用这种按照人物别离的账户设置？

实践咱们在运用web2运用时，大多时分也都是每个运用运用了不同的账户，他们之间没有共同的联系，账户名相同也是咱们的片面挑选。

而交际登录流行后，咱们大多选用微信、gmail等认证办法，这种实践也是授权在运用中建立了一个新的账户映射，而不是直接运用gmail等作为账户主体。

在这个形式下，微信和gmail更相似咱们的主权身份，他们能够康复咱们在不同运用中被忘记的账户，或是重置这些账户的暗码。

人物别离的优点，是能够将危险阻隔，能够提高运用不同运用的体会。咱们不需求每次关注人时，都翻开硬件钱包授权。而在需求操作财物时，又能够进行更杂乱的策略授权，防止不小心或歹意的被盗。

运用署理账账户，咱们会忧虑署理账户产生的行为无法同享，会下降咱们在一些场景下的评级。这个问题实践能够经过外显身份的设置来处理。

外显身份

外显身份是一系列凭据、标识、行为、联系、名誉的调集。

咱们能够简略的了解外显身份便是一个个身份标签，首要作用是便利外部联系对咱们的身份进行标识。

比方ens、lens等便是一个标识的外显身份，他们的作用是在交际联系上让身份愈加易读。

poap是一类行为轨道的外显身份，它首要是标记咱们参加了哪些活动，相似的还有galaxy、rabbithole等。

在vitalik的SBT论文中，提到灵魂绑定token的许多用途，实践都是这种外显身份的才干规模。比方咱们的交际联系、诺言、学历证书等等，都能够选用SBT的办法，与咱们的身份进行绑定。

在实践运用层面，外显身份实践能够与署理身份合一，他们能够便是同一个账户地址，仅仅在逻辑层面加以区别会更好的为用户供给服务，或是便于运用进行规划和体会提高。

比方有些用户愈加注重安全和隐私，那么这种外显身份就能够是独立的账户，专门用户外部的展示和联系构建。

而署理身份的行为映射彻底能够经过隐私核算完结，既能够让咱们的身份更像一个整体，又能够让用户能够灵敏的操控向外部展示哪些身份特征。更进一步，咱们能够灵敏的构建多个外显身份，能够有更实在的，也能够有更匿名的。这样会下降用户运用的心里门槛。

在技能层面，要完成这种规划，现在的做法能够选用链上署理的形式，相似在链上签署一个授权，记录署理身份和外显身份的授权联系。一旦外显身份有什么问题，能够从头签署授权去更新或禁用身份行为的授权。听橙皮书关于DID那期播客，有讲到unipass便是选用了这种链上授权形式。

另一种更隐私的办法，能够选用合约账户+零常识证明的办法，以一种外部无法获取直接联系，而能够证明用户的身份不是伪造的办法，来完成这种身份特点的相关和外显。

选用这种外显身份与署理身份别离的规划办法，直观优点便是让用户的微信账号与银行账号别离。而不是他人知道你的微信号，就能够直接看你银行财物，乃至能够看你的钱从哪赚的，怎样亏的。

主权身份

Not Your Keys, Not Your Coins.

这是web3最重要的根底，是个人财物神圣不可侵犯的保证。

对密钥的安全办理，一直是参加加密游戏的最重要一课，许多人由于保管不善而丢掉财物。

而怎样安全的保管密钥，相对来说也是一件比较专业的事，新用户很难短时间掌握，需求许多的实践和许多次打破心理防线，才干实在自己安全的用非保管钱包办理财物。

密钥便是咱们的主权身份，它宣誓了全部都是自己可控的。而不像web2那样说被禁用就被禁用。

而密钥的安全办理，必定是选用去中心化非保管的办法。这让咱们能随时对自己的账户有操控权。

假如是个人运用，到硬件钱包这一层现已相对比较安全。假如是一个安排/社区来运用，能够选用多签的办法。

在未来架构中，这一身份能够是咱们最不常运用的身份。只需求在创建署理身份时，用它来授权即可。当署理身份存在危险时，咱们能够用它来充值署理身份的密钥，确保全部财物都在自己最终的可控规模。

关于web3新人，这种主权身份实践也能够选用第三方服务来完成。这是一种根据去中心化非保管的计划，比方像web3auth的SSS计划。这也下降了新人运用密钥的门槛。

以上提到的三个身份层次，他们实践上能够是辩证共同的整体，极点情况他们便是一个地址罢了，全部身份都汇聚到一个公钥地址，现在许多用户也是在这么运用。

但这样的运用办法不行安全，许多人因而丢掉了财物。由于许多心理阻止，也无法实在让各类账号很好的组合起来，让一些本是积极建造的用户，在链上评分上不会很好。

现在的身份账户系统，并没有像web2那种更好的服务于用户。在web3，最重要的便是财物全部权问题，而用户与链上财物的联系，便是经过身份来桥接的。

只有处理好身份的联系，才干更好的让用户运用链上财物，运用各种web3运用。

经过将去中心化身份进行分层规划，一方面能够让专业人做专业事，各项目假如能环绕一个大的共同方向去做，也能更快更好的完成高度可组合的身份产品矩阵，实在的让用户得到实惠。

另一方面，也是为了能让用户更好的了解web3的身份账户概念，在先进来的前提下，经过更多的运用来渐渐了解和熟悉身份的安全办理。

由于web3的身份是属于个人的，因而需求咱们自己对自己的身份财物负责。

最终，咱们其实具有的是一个身份调集（钱包账户调集）。

在上面的举例中，看似有许多身份概念很杂乱。但实践假如有这样的运用，它能够将这些元素汇聚在一个运用中，让用户实践没有这些杂乱概念的感知，仅仅去用就好了。

未来开展

要到达这个理想化的架构，咱们要做哪些事：

• 专业化web3身份认证服务商

• toB先行，各DAPP选用web3身份认证组件

• 标准化认证服务、接口和流程

• 易用化用户注册、认证流程

• 供给署理账户才干，完成账户间的身份授权（链上）

• 支撑浏览器插件的合约钱包

• 支撑直接在web3的移动运用选用交际化认证

• 许多web3运用对合约账户的支撑和安全的密钥办理

• 面向个人用户的一站式综合服务

• ERC4337的实施，完成账户笼统

• 安全多签和硬件钱包的遍及

• 去中心化非保管的密钥根底设施

关于个人用户，咱们能够做些什么：

• 根据现有条件，区分自己的账户人物

• 运用不同人物的账户参加不同类型运用，危险阻隔

• 安全保管好助记词/私钥，学习相关常识

• 测验运用新式web3认证根底运用

关于专业身份认证、DID、交际等运用能够做些什么：

• 供给更安全的合约账户功用

• 测验供给代付注册、买卖费等才干

• 测验向web2浸透认证才干，乃至是替代

阅读原文可搜集NFT：https://x.mirror.xyz/ryklG3EkLTollhnloi8sm0-QPuAuv0LOUVqa_pYEwkw