MetaMask secara resmi mengumumkan dukungannya untuk EIP-4361. Banyak teman yang bingung tentang protokol ini. Di permukaan, ini tidak jauh berbeda dengan tanda tangan biasa. Artikel ini menjelaskannya untuk semua orang. Pertama, Anda harus memahami bahwa EIP-4361 sebenarnya cukup kecil. Tapi ladang yang bisa diperluas di belakangnya sangat besar.

EIP4361 adalah proposal standar spesifikasi teknis yang terkait dengan login Ethereum. Login Ethereum SiwE (Masuk dengan Ethereum) adalah metode otentikasi terdesentralisasi yang memungkinkan pengguna untuk mencapai login dan kontrol terpadu menggunakan Identitas Ethereum mereka, daripada mengandalkan nama pengguna/tradisional. otentikasi kata sandi yang digunakan oleh perusahaan terpusat. Dalam wawancara sebelumnya, Vitalik telah mengusulkan tiga peluang terbesar untuk Web3 pada tahun 2023, termasuk login Ethereum. Dia mengatakan bahwa teknologi apa pun yang membantu Ethereum mengambil hak login dari monopoli terpusat seperti Facebook, Google dan Twitter pada akhirnya akan memungkinkan Ethereum untuk mendapatkan lebih banyak dominasi pasar dalam aplikasi Internet, sehingga sistem login adalah apa yang Vitalik yakini akan menjadi langkah selanjutnya dalam perjuangan tersebut.

Faktanya, untuk Ethereum, saya bisa merasakan kegelisahan internal sekarang. Meskipun posisi Ethereum saat ini tampaknya tidak tergoyahkan, tekanan kompetitif yang dihadapinya saat ini juga sangat tinggi, terutama dengan platform berkinerja tinggi seperti aptos dan sui oleh kosmos Rantai aplikasi adalah rantai industri, jadi inilah mengapa Ethereum harus bertekad untuk beralih ke POS, terlibat dalam Layer, melakukan sharding, dan tindakan lainnya juga menghadap ke sisi C. Area entry-level seperti ENS dan login masuk lebih dalam. Ia sangat terikat dengan sisi C untuk membuat paritnya sendiri. Perlu juga dicatat bahwa ada tiga pendukung di balik EIP4361, yaitu Ethereum Foundation, ENS dan Spruce. Kecuali Ethereum Foundation, dua lainnya adalah perusahaan DID. Semacam level tersebut dapat dikatakan sebagai dua DI. Perusahaan D bekerja sama dengan Ethereum Foundation untuk menetapkan standar industri, sehingga standar tersebut tidak dapat sepenuhnya netral. Anda dapat melihat bahwa pengikatan ke ENS dalam dokumen tersebut cukup mendalam, termasuk kemampuan untuk mengurai nama domain ENS, dll. adalah situs resmi SiwE: https://login.xyz/

Di antara mereka, ENS sudah akrab bagi semua orang, tetapi Spruce relatif asing. Hampir tidak ada laporan dan interpretasi tentangnya di wilayah Tiongkok. Misinya adalah memungkinkan pengguna mengontrol data pribadi mereka, dan telah menerima modal dari banyak bintang termasuk Dukungan A16Z, YC, dll., area yang dibagi dari kategori milik DID Identitas kedaulatan diri SSI dalam kategori umum memungkinkan individu untuk mengontrol data identitasnya sendiri, termasuk memutuskan aplikasi pihak ketiga mana yang dapat menggunakannya, cara menggunakannya, dll. Jadi jika kita sering memahami DID untuk membuktikan siapa Anda melalui data pengumpulan, dan SSI berfokus pada otorisasi, penggunaan, dan pengelolaan tingkat data.

Sebelum berbicara tentang login Ethereum ke SiwE, Anda perlu terlebih dahulu membahas tentang sistem login akun tradisional dan tanda tangan dompet koneksi yang ada, lalu Anda dapat memahami perbedaan dan kelebihan SiwE.

Sistem login akun tradisional menggunakan nomor ponsel, alamat email, kata sandi, dll. untuk menyimpan akun pengguna secara terpusat dan melakukan login dan verifikasi. Akun pengguna disimpan sepenuhnya dalam database terpusat, sehingga terdapat masalah seperti pembatalan akun, transfer akun, dan kebocoran data. dan masalah lainnya, telah melalui dua tahap pengembangan secara total. Sebelum munculnya Alibaba, sebuah perusahaan Internet raksasa dengan ekologinya sendiri, sistem akun pengguna dikelola secara independen oleh setiap perusahaan atau bahkan setiap produk. Secara umum, akan ada tabel Pengguna untuk menyimpan semua informasi akun pengguna. termasuk nama pengguna, kata sandi, nomor ponsel, alamat email, dll., Setiap kali pengguna mendaftar, sebagian data akan disimpan di tabel Pengguna. Saat login selanjutnya, nama pengguna dan kata sandi akan dimasukkan untuk dicocokkan. Sangat merepotkan bagi pengguna untuk mengelola sendiri kata sandi akun dalam jumlah besar , dan mudah untuk kehilangan dan melupakannya. Banyak pengguna akan melakukan ini demi kenyamanan Akibatnya, segera setelah database suatu produk bocor, peretas akan menggunakan serangan credential stuffing untuk masuk ke semua produk secara berkelompok, dengan begitu banyak akun, ditambah dengan manajemen terpusat, risikonya sangat tinggi, tetapi itu akan terjadi digunakan nanti. Setelah sejumlah besar verifikasi ponsel, tahap menyakitkan untuk mengganti nomor ponsel setiap kali muncul lagi.

Kemudian, ketika Tencent dan Alibaba membangun matriks dan ekosistem produk mereka sendiri, sangat sulit bagi pengguna untuk masuk di antara produk mereka dan berpindah akun yang berbeda. Masalah terbesarnya adalah akun di antara setiap produk terisolasi, menyebabkan Tencent dan Alibaba melakukan hal yang sama tidak dapat sepenuhnya "menggunakan data pengguna", Misalnya, jika saya menggunakan Taobao untuk membeli seprai dan kemudian memesan makanan untuk dibawa pulang dari Ele.me, maka melalui analisis data, saya sebenarnya dapat dicap sebagai "pemuda lajang yang bekerja". Namun, karena ini adalah dua produk, setiap produk memiliki produknya sendiri karakteristiknya sendiri. sistem akun, jadi sangat mustahil untuk mengetahui hubungan antara pengguna kedua produk ini. Baik menggunakan akun terpadu untuk pencocokan dan identifikasi, seperti menggunakan nomor ponsel untuk mendaftar, sehingga semua produk yang menggunakan nomor ponsel yang sama adalah orang yang sama, dan yang lainnya adalah menggunakan metode masuk tunggal atau login terpadu , seperti login WeChat terbaru yang umum digunakan. Gambar berikut adalah diagram alur login WeChat. Pengguna yang menggunakan WeChat sebagai metode login menghindari proses registrasi ulang akun dan pengelolaan akun yang berlebihan. Untuk produk pihak ketiga, ini menurunkan ambang batas pengguna untuk akuisisi pelanggan yang lebih baik. Untuk WeChat, lebih banyak pengguna dan produk pihak ketiga menggunakan WeChat As portal masuk akun, ini dapat sangat meningkatkan hambatan persaingannya.

Sistem login toC dapat menggunakan solusi perusahaan tingkat ekologis seperti Tencent dan Alibaba. Sistem login toB juga menghadapi masalah yang lebih merepotkan, karena seiring berkembangnya perusahaan, produk yang digunakan secara internal akan beragam, dan sumbernya mencakup pihak ketiga. pengadaan yang disesuaikan dan vendor SaaS, penelitian mandiri, dll., ditambah dengan banyaknya karyawan yang melibatkan sejumlah besar izin, keamanan data, dan masalah lainnya, jadi bagaimana memungkinkan puluhan ribu karyawan menggunakan ratusan produk internal dengan lancar dan aman juga merupakan masalah yang perlu dipecahkan, seperti Authing, Perusahaan Okta seperti Alibaba Cloud menyediakan solusi sistem masuk tunggal untuk bisnis.

Di atas adalah evolusi utama sistem identitas akun yang dialami Web2 tradisional dalam 20 tahun terakhir. Perbedaan paling intuitif dalam pengalaman Web3 untuk pengguna biasa adalah mereka dapat menggunakan semua produk Web3 dengan satu dompet cara langsung bagi pengguna untuk mengalaminya Ini telah mencapai arti dari jaringan blok global, atau itu adalah realisasi sebenarnya dari jaringan "Internet".

Namun, karena karakteristik aset dalam rantai, setiap orang bertanggung jawab atas keamanannya sendiri. Tidak ada lagi platform pihak ketiga seperti Web2 yang memiliki tanggung jawab dan kewajiban untuk memastikan keamanan dana pengguna. pengguna akan terkena sejumlah besar penipuan phishing. Dalam lingkungan situs web, aset dapat dicuri selama tanda tangan dan otorisasi yang relevan dilakukan, terutama saat ini. Dompet yang diwakili oleh metamask mengungkapkan terlalu sedikit informasi saat berinteraksi, dan keterbacaannya sangat buruk. Orang-orang dengan latar belakang non-teknis bahkan tidak dapat memahami apa arti jendela pop-up yang sering kali meminta tanda tangan dan otorisasi, jadi mereka perlu memahaminya. meminta Standar ketat ditetapkan untuk tindakan yang diizinkan oleh tanda tangan pengguna, dan pengguna mendapat informasi lengkap tentang konten yang akan dieksekusi.

EIP-4361 memperjelas proses standar bagaimana akun Ethereum diautentikasi melalui layanan off-chain, sehingga otentikasi terjadi dengan menandatangani format pesan standar yang disusun menggunakan detail sesi, mekanisme keamanan, dan cakupan, yaitu Parameter bidangnya adalah ditampilkan, menyediakan infrastruktur bagi pengembang untuk membuat lapisan identitas terpadu untuk aplikasi Web2 dan Web3. Proses ini gratis bagi pengguna. Mereka hanya perlu menandatangani pesan dan tidak perlu melakukan transaksi dengan blockchain gas kepada para penambang.

Seperti yang tertulis dalam dokumentasi, "Sebagai perusahaan web2, Anda akan memiliki kesempatan untuk menjadi pengguna web3 "Titik kontak pertama dan membantu mereka mengontrol identitas digital mereka." SiwE berharap dapat menstandardisasi proses menghubungkan login lengkap tanda tangan pengiriman dompet, sehingga lebih banyak produk Web2 dapat mengaksesnya dan menjadi Opsi login, seperti saat kita menggunakan produk tertentu, kita dapat memilih metode login termasuk login Google, login Twitter, dan login Facebook. Selanjutnya, kita dapat memasang login Ethereum dan menyematkannya melalui pintu masuk login untuk mencakup produk web2 dalam jumlah yang sangat besar.

Motivasi produk web2 ini untuk terhubung ke SiwE adalah bahwa mereka dapat menyediakan layanan yang sesuai berdasarkan aset on-chain yang diungkapkan pengguna. Artinya, jika Anda masuk dengan Google atau Twitter, Anda hanya menyelesaikan tindakan masuk, tetapi jika Anda masuk dengan Ethereum, Anda dapat masuk berdasarkan kegigihan pengguna. Jika ada aset, kami dapat memberikan layanan yang lebih spesifik. Jika Anda memiliki NFT tertentu, Anda bisa mendapatkan diskon 20%.

Tautan ke proposal untuk EIP-4361 adalah sebagai berikut: https://eips.ethereum.org/EIPS/eip-4361 Gambar di bawah menunjukkan pesan template SiwE, ABNF lengkap dan gaya jendela pop-up yang sesuai yang transparan dengan cara yang sangat standar. Isi Pesan yang ingin dijalankan pengguna, URI URL yang meminta login, versi saat ini, ID rantai login, Nonce untuk mencegah serangan replay, waktu validitas login Dikeluarkan AT dan waktu akhir Berakhir PADA.

Diantaranya, ABNF adalah bentuk Augmented Backus–Naur, yang merupakan sistem formal yang menggambarkan suatu bahasa sebagai protokol komunikasi dua arah. Ini juga merupakan fokus dari EIP-4361, yang menstandarkan proses login.

Seperti disebutkan di atas, ada ENS di belakang EIP-4361, jadi proposal tersebut juga menyertakan penyematan ENS yang relatif dalam. SiwE dapat digunakan untuk mengurai data ENS, termasuk nama ENS, avatar ENS, dan sumber daya apa pun yang dapat diurai yang ditentukan dalam dokumen ENS ditunjukkan pada gambar di bawah, selain nama domainnya sendiri, ENS juga dapat mengikat sejumlah besar informasi termasuk alamat dompet, email, perselisihan, twitter, dll.

Selain login standar, EIP-4361 juga dapat mencegah serangan phishing sampai batas tertentu. Saat ini, sejumlah besar aset pengguna dicuri oleh situs web phishing setiap hari. Diantaranya, EIP-4361 memiliki tiga langkah dalam proses login dompet .

1. Verifikasi pesan dan periksa apakah isi tanda tangan sesuai dengan format standar ABNF yang disebutkan di atas

2. Verifikasi nama domain. Jika memenuhi standar login EIP-4361, dompet akan memverifikasi apakah URL yang memulai login cocok dengan URL yang dikirimkan di ABNF, sehingga menghindari klaim palsu.

3. Kemudian buat jendela pop-up login Ethereum. Spesifikasi yang ada adalah semua persyaratan harus ditampilkan sepenuhnya kepada pengguna, dan pengguna diharuskan untuk menggulir ke bagian bawah halaman sebelum menandatangani, yang mirip dengan pedoman pengguna. dari banyak APLIKASI. Gulir ke bawah untuk memastikan bahwa Anda telah selesai membaca sebelum melanjutkan ke langkah berikutnya.

Ada 4 item yang disebutkan dalam spesifikasi desain

1. Halaman yang dapat dipahami manusia harus disajikan, yang sebagian besar tidak memiliki pekerjaan khusus mesin, seperti JOSN, kode heksadesimal, pengkodean dasar, dll. Ini adalah masalah interaksi dompet saat ini yang saya sebutkan di atas Non-teknis orang tidak tahu apa artinya setelah mereka mengklik

2. Backend aplikasi perlu memberikan dukungan yang dapat digunakan sepenuhnya untuk terminalnya, dan tidak memerlukan modifikasi paksa pada dompet. Hal ini terutama diperlukan untuk tidak membuat ambang pengalaman bagi pengguna saat mengakses SiwE.

3. Untuk dompet aplikasi yang telah menggunakan SiwE, jalur peningkatan yang sederhana dan langsung harus dilakukan. Seperti disebutkan di atas, akan ada nomor versi yang mengidentifikasi SiwE. Peningkatan SiwE selanjutnya juga harus memastikan kompatibilitas.

4. Penting untuk melakukan persiapan yang memadai untuk mencegah serangan berulang, tanda tangan jahat, dll.

Selain itu, isu manajemen kunci juga disebutkan dalam dokumen tersebut, yaitu karena SiwE berharap banyak produk Web2 dapat diakses dan mendatangkan lebih banyak pengguna luar ke dunia Web3, namun pengguna mainstream sudah terbiasa dengan "menemukan" Web2. produk.Fungsi "Kembalikan Kata Sandi", jika kunci pribadi Anda hilang di Web3, maka tidak dapat diambil kembali, jadi masalah ini memiliki ambang pendidikan yang tinggi untuk sejumlah besar pengguna Web2. Faktanya, kami juga sangat menantikan mempopulerkannya abstraksi akun dompet AA untuk benar-benar menyelesaikan masalah ini secara efektif.

Di atas adalah interpretasi perubahan dari sistem akun Web2 ke Web3 berdasarkan EIP-4361. Faktanya, EIP-4361 sendiri bukanlah peristiwa yang berdampak besar seperti abstraksi akun dan peningkatan Shanghai Namun optimasi diam-diam semacam inilah yang secara bertahap akan meningkatkan pengalaman pengguna Web2 dan Web3.