原文标题:《观点 | 为什么 「通用登录」 可能行不通?》 自人们开始探索区块链的非金融用例以来,Web 3.0 中的身份概念一直是讨论的焦点。 身份一般以 「通用登录(Universal Login)」的形式应用于网络,即,使用一个身份访问所有网页。本文将分析为什么通用登录对于 Web 3.0 来说不是上策。提示:通用登录的问题既不出在 「通用」上,也无关乎密码,而在于 「登录」。 通用登录的主要支持者之一UniLogin 已停止运营。Gas 价格飙升、DeFi 「贵族化」以及浏览器隐私的不断变化意味着浏览器本地存储的效用降低。 当新冠疫情还没有成为全球危机时,Bokky 在悉尼举办了一场 「带着你的啤酒来」区块链研讨会来探讨区块链背后的密码学原理。我记得有一个场景,当演讲者说到任何密码学签名都可用于登录网站之类的两方身份认证时,其他参与者脸上出现了惊讶的表情。 「也就是说,我们可以使用以太坊地址登录网站,不需要输入密码了?」 一位参与者问道。 「是的」演讲者回答,或者,你可以根据你的以太坊密钥生成一把 「钥匙」,来向网站隐藏你的真正地址。如果你的所有 「钥匙」都只有一个来源,你就能实现 「通用登录」 —— 获得一把能够打开所有门的 「万能钥匙」。 听了这位演讲者的话,研讨会的参与者都激动不已。我只能想象在其它城市的类似场景中出现过的同样令人大开眼界的画面。 密码学身份认证热潮演讲者说的没错,「通用登录」背后真正发挥作用的机制是密码学身份认证。自网络诞生以来,每隔十年就会有人尝试实现 「通用登录」。 如今,人们称赞 W3 的 Web Authentication API (一份发布于 2020 年关于如何使用密码学技术解决登录问题的规范)是先驱,但它不是什么新想法。W3 早在 2014 年就发布了 Web Authentication API 的前身 WebCrypto API,只是后者并不出名。 同样用于公钥登录的 HTML 表单元素 早在 2008 年就有了,但是很少有人知道,甚至没有网站使用它。等到了 HTML5,这个表单元素才真正发挥作用。时至今日,大多数浏览器已经在清理不常用功能时禁用了该元素。在经历过辉煌之后, 还是悄无声息地消亡了。 从小就迷恋密码学的我知道密码学身份认证技术只是迎来了又一次迭代。看到人们如此激动,我不禁感到诧异,希望这次迭代会有所不同。 如果 「通用登录」 这次真能成功,那一定会是个奇迹。除非…… 如果出现了新的用例会怎么样?就像 2008 年初那样,Web 2.0 用例让沉寂已久的 AJAX 技术死灰复燃? (责任编辑:admin) |