backback
back
backback
backback
backback

解鎖未來,探索下一代的數位錢包與身份認證:Passkey + DID + FIDO | DID + FIDO

#去中心化錢包
2023-05-28
image-cover

Passkey、DID (Decentralized Identifiers) 和 FIDO (Fast Identity Online) 是三種技術,它們可以共同改變我們處理數位身份和安全性的方式,尤其在下一代的數位錢包的應用中。

  1. Passkey:Passkey 是一種安全的身份證明方法,一般指數字身份的私鑰或者密碼。在區塊鏈或其他加密應用中,Passkey 通常指的是私鑰,用於證明使用者對某個數字資源的所有權或控制權。Passkey 提供了強大的安全性,但管理和保護 Passkey 的挑戰也相當大。
  2. DID (Decentralized Identifiers):DID 是一種去中心化的身份識別方法。每個 DID 都是唯一的,且不依賴任何中央權威機構就能驗證身份。DID 可以獨立於任何特定區塊鏈運行,且可移植,提供了一種分散的、自主的身份驗證方法,有助於保護個人隱私並防止身份盜竊。
  3. FIDO (Fast Identity Online):FIDO 是一種多因素身份驗證框架,它致力於建立安全而使用者友好的身份驗證方法,以取代傳統的密碼。FIDO 框架支持生物識別技術(如指紋或面部識別)和 / 或物理裝置(如安全鑰匙或智能卡)的使用,可以與 Passkey 和 DID 結合,提供多層次的安全防護。

這三種技術的共同目標是提供安全、隱私、便捷且可控的數字身份解決方案。將 Passkey(私鑰或密碼)作為主要的身份證明工具,利用 DID 的去中心化特性增強身份的自主性和移植性,再透過 FIDO 框架增加生物識別或物理裝置的多因素認證,可以大大提高數字身份和數位錢包的安全性和使用者體驗。

驗證身份的三個關鍵要素

要證明一個人確實是自己所宣稱的身份,需要滿足以下三個要求,也被稱為 三要素驗證

  1. 「你是什麼」(What you are):這涉及個人身份特徵,如虹膜、指紋和人臉辨識等生物特徵。這些生物特徵可以透過指紋掃描、虹膜掃描或人臉識別等方法進行驗證。
  2. 「你擁有什麼」(What you have):這指的是物理對象或資產,包括兩步驟驗證(2FA)機制,例如:私鑰、代幣、鑰匙、銀行卡、物理裝置(如 Unikey)或手機驗證。這些物理對象可以用來驗證您的擁有權,如使用鑰匙進入特定場所或使用銀行卡進行交易。
  3. 「你知道什麼」(What do you know):這是指只有使用者自己知道的機密訊息,例如密碼、個人識別碼(PIN)或秘密問題的答案。這些訊息可以作為驗證身份的一部分,例如在登入時輸入正確的密碼。

這些要求在金融機構等領域中的瞭解客戶流程(KYC)中扮演著重要角色。國際法律和監管機構要求金融機構收集這些必要的、強制性的訊息,以確保客戶身份的真實性,並防止恐怖分子、黑名單客戶以及身份盜竊等風險。這樣的驗證過程也有助於金融機構實現快速且完全數位化的客戶入職,從而在競爭中獲得優勢。

KYC 中的身份驗證原則與私鑰的概念相關聯,因為私鑰可以被視為「你擁有什麼」的一種形式,作為數位資產所有權的證明。

DID: 網路民主社會的基礎建設

在去中心化的世界中,身份證明變得更為重要,是我們網路民主社會的基礎建設:

  1. 個人控制權: DID 賦予了個人對其身份資料的直接控制權。傳統的身份驗證方法通常依賴於中央機構,這些機構擁有並管理著使用者的身份訊息。然而,DID 使得個人能夠擁有和掌控自己的身份資料,而不需要依賴於任何中央機構。這種個人控制權的增加有助於建立一個更為公正和平等的社會。
  2. 去中心化信任: DID 不依賴於單一中央機構的驗證,而是建立在去中心化的信任機制上。透過使用分佈式技術,如區塊鏈,DID 可以提供全球可驗證的身份證明,而不需要依賴於單一實體的控制和審查。這種去中心化的信任機制有助於減少對中央權威的依賴,並促進公平、透明和開放的網路環境。
  3. 安全和防範女巫攻擊: DID 的設計目標是防範女巫攻擊,這是一種透過建立多個虛假身份來欺騙或影響系統的攻擊手法。透過要求使用者提供真實身份訊息並進行驗證,DID 能夠有效抵制女巫攻擊,確保帳號的真實性和可信度。這有助於維護網路的安全性和穩定性,為使用者提供可靠的線上環境。
  4. 全球互操作性: DID 是一種全球可驗證的身份證明方法,它不受地理和行業限制。這意味著個人可以在不同的平臺和服務之間輕鬆共享和驗證他們的身份,促進了全球互操作性和數字經濟的發展。DID 的存在有助於打破訊息孤立,提供更加便捷和高效的身份管理方式。

DID 能夠滿足身份驗證的 三個要素 :擁有者本人(Who you are?)、知識(What you know?)、以及擁有的物品(What do you have?)。它提供了一種強大的方式來抵禦 女巫攻擊 (女巫攻擊是一種透過建立多個虛假身份來欺騙或影響系統的攻擊手法)。

身份驗證是防止女巫攻擊的一種有效方式,透過要求使用者提供真實身份訊息並進行驗證,以確保帳號的真實性,這可以防止攻擊者透過建立多個虛假身份來操縱系統。

從帳號密碼到通行密鑰(Passkey):帳戶驗證演變的歷程

在網際網路初期,人們習慣直接建立自己的帳號密碼來進行登入。然而,隨著網站數量的增加,它們對密碼的安全機制也開始有所區別。這引起了我們的思考,是否在不同的網站上需要使用不同的密碼。隨著網站數量的增長,每個網站還要求定期更新密碼。這使得我們逐漸無法依靠人腦記憶所有的密碼。因此,我們開始使用密碼管理器來幫助我們管理這些密碼。

儘管密碼管理器幫助我們解決了一些問題,例如讓我們不再依賴人腦去記住所有的密碼,但它們仍無法完全解決所有的安全風險。使用密碼管理器意味著我們需要將我們的密碼儲存在中心化的公司服務中,並且如果這些公司遭受駭客攻擊,我們的密碼可能會被知道。

正因為如此,我們需要更好的身份驗證系統來提高安全性。這就是為什麼公私鑰系統和其他強大的身份驗證方法出現的原因。這些方法使用了更複雜的加密和驗證機制,並提供了更高的安全性保障。

例如,通行密鑰(Passkey)系統採用 用非對稱加密證明「你是你」

,每個人都有自己的私鑰,並將公鑰儲存在需要驗證的地方。這樣,即使有人入侵了某個服務提供商,也無法獲得我們的私鑰,因為它們只存在於我們自己的設備中。這種方式提供了更高的安全性,同時減少了對中心化公司的依賴。

帳戶驗證的演進可分為以下四個階段:

  1. 初始階段:在網際網路發展初期,人們簡單地建立自己的帳號密碼來登入各種網站和應用程式。
  2. 二因素認證:隨著網站數量的增加,它們開始實施更強的安全機制,引入了二因素認證。這意味著除了使用帳號密碼外,還需要額外的驗證方式,如短信驗證碼或安全密鑰。
  3. 多因素認證:隨著安全需求的提升,多因素認證成為常見做法。除了帳號密碼和短信驗證碼外,還可以使用生物特徵(如指紋、人臉辨識)或硬體驗證器(如物理裝置)來驗證身份。
  4. 非對稱加密:如今,公私鑰系統成為一種更安全的選擇。這種系統使用一對密鑰,包括公鑰和私鑰。公鑰用於加密資料,而私鑰用於解密和驗證身份。公私鑰系統提供了更高的安全性和防範未授權存取的能力。

過去的限制與現今的進步

公私鑰對的概念在密碼學中已經存在很長時間了,但在日常的帳戶密碼管理中使用這種概念(即無密碼登入或通行密鑰)的普及,依賴於許多基礎設施的發展和標準的制定。微軟、蘋果和谷歌等大型科技公司的支持,以及像 FIDO 這種開放的認證標準的制定和推動,都對這種無密碼登入技術的普及起到了重要的推動作用。

這些公司和標準組織提供了必要的工具和框架,使開發人員能夠更容易地實現無密碼登入。此外,他們也為使用者提供了便利的界面和工具,讓使用者能夠更容易地管理他們的密鑰,而不需要深入瞭解密碼學的細節。

然而,任何技術的發展都伴隨著挑戰。通行密鑰(Passkey),或稱無密碼登入,將公私鑰的概念應用到日常帳號密碼中。在這種情況下,我們必須在 安全與便利性 之間找到平衡。每個人都擁有一把鑰匙,每個身份也是一把鑰匙,我們可以根據不同情況和安全等級來定義公私鑰的生成和損毀方式。如何確保 私鑰的保護 以及如何創造一個良好的使用者體驗,成為我們需要面對的問題。

結論:未來的錢包的展望

Passkey 提供更好的隱私保護和使用者控制權,並且在使用上也提供了良好的體驗,但它也帶來了一些新的責任和挑戰。與加密錢包管理私鑰的情況相同,當我們採用這種技術時,密鑰的保管責任就回到了我們自己的手上。

這意味著,如果我們失去或忘記我們的密鑰,那麼我們可能無法存取我們的帳戶或資料,因為沒有其他人或組織能夠幫我們恢復它。在某些情況下,這可能會導致無法撤回的資料丟失。因此,當我們擁有更大的控制權時,我們也需要更負責任地管理我們的密鑰,並確保我們有恰當的備份和恢復機制。

這種轉變可能需要一些時間和教育來幫助使用者理解他們的新責任,並學習如何安全和有效地管理他們的密鑰。然而,儘管存在這些挑戰,但無密碼登入技術和加密錢包的優點仍然使它們成為了一種值得採用的技術,特別是在對隱私和安全需求日益增加的今天。

我們可以預見,未來的錢包會是由 DID,以及如 抽象帳戶(AA) 等新興技術所組成。這種結構能夠 避免重回中心化 ,並且允許使用者分開地址與所有者,從而提高交易的隱私性。而 Apple, Google 等大型科技公司也可能會扮演重要的角色。最後,我們需要謹記,未來的錢包將會由 Passkey、DID、和 FIDO 等技術來組成(例如:Ledger 使用 FIDO U2F 標準作為 2FA 的認證裝置),它們將會是 Web 3.0 的關鍵。