Metamask 昨日發佈推文表示現在開始支援 EIP-4361,現在所有的用戶可以使用以太坊錢包進行身份驗證和批准交易,不需要提供額外的使用者名稱和密碼,只需用自己的私鑰對消息進行簽名,將大幅簡化身份驗證過程。
(前情提要:安卓惡意軟體GodFather「盜取2FA驗證碼」,逾200種加密錢包遭攻擊)
(背景補充:科普 | 以太坊EIP-4337「帳戶抽象(AA)」是什麼?往後錢包無註記詞!)
狐狸錢包Metamask 昨日發佈推文表示現在開始支援 EIP-4361,現在所有的用戶可以使用以太坊錢包進行身份驗證和批准交易,不需要額外的使用者名稱和密碼,只需用自己的私鑰對消息進行簽名,這對於經常與去中心化應用(dApps)互動的用戶來說,大大地增強了他們的體驗。
不需用戶名和密碼即可登錄
當我們登錄一個網站時,通常需要輸入用戶名和密碼。這些資訊會被傳送到該網站的伺服器,進行身份驗證並生成一個隨機的密鑰用於進一步的驗證,並將其儲存在 Cookie 中,使用這種連結方式將用戶名或電子郵件地址也一併給予了中心化的網路巨頭(例如:Facebook、Google)和電子郵件供應商託管。
與此不同的是,與去中心化應用程式(dApps)交互時是使用基於區塊鏈的身份驗證方式,EIP-4361 的目標是為了讓以太坊的帳戶可以使用類似的方式來驗證在區塊鏈之外的服務,而不是依賴中心化身份驗證服務。這樣可以提高身份驗證的互操作性,使得更多的鏈下服務可以使用以太坊帳戶進行身份驗證。
🦊MetaMask is now compatible with EIP-4361, aka Sign In with Ethereum!
This is part of our ongoing effort to make confirmations more legible to our community. Our implementation also offers a “domain binding” feature, which will detect signatures/approvals from malicious URLs. pic.twitter.com/2jkFRhLDsx
— MetaMask 🦊🫰 (@MetaMask) March 23, 2023
記住用戶的偏好
以太坊登錄對 Web3 也是非常重要的。通過連接錢包,用戶開始和區塊鏈進行交互,但連接錢包並沒有讓應用程式記錄用戶的任何訊息,只是為簡單的交互創建了一個前端顯示,現在開始用戶能夠和應用程式之間建立對話,像是登錄錢包後 Uniswap 可以記住你的流動性偏好,Aave 可以記得用戶最愛的借貸交易對……等等。
解析 ENS 數據
EIP-4361 與以太坊名稱服務 (ENS) 集成在一起,可以幫助提高以太坊身份驗證的效率和用戶體驗。ENS 可以讓用戶把自己的個人訊息,例如:用戶名、頭像、電子郵件地址等儲存在域名中,從而達到自我托管的效果。如此以來,就不需要把這些個人訊息儲存在中心化的服務上,也不需要使用傳統的電子郵件和密碼登錄方式。使用經過身份驗證、簽名的消息登錄到身份驗證的應用程式可能會成為未來的標準,完全消除電子郵件和密碼組合。
防止釣魚攻擊
因為引入一種標準的訊息格式,可以確保登錄服務的身份驗證訊息來自特定的發件人,並且該訊息具備一定的格式和內容,所以新的 EIP-4361 可以防止釣魚攻擊。此外,該標準格式還包含一些安全參數,例如過期時間、發送者地址等,這些可以進一步提高驗證訊息的安全性。
📍相關報導📍
Vitalik 撰文:如何為多簽錢包和社交恢復錢包選擇「守護者」?