ما هو المفتاح؟ حل أمان بدون كلمة مرور لعصر الويب 3
في التقليدي ويب 3 في العالم، الحاجز الأول الذي يواجهه المستخدمون الجدد غالبًا ليس تعقيد تكنولوجيا البلوكشين، بل سلسلة من 12 أو 24 كلمة تشكل عبارة تذكيرية. الأخطاء في كتابتها، التخزين غير المناسب، وسرقة الاختراق - هذه المخاطر تهدد باستمرار أمان أصول المستخدمين.
“تعتبر كلمة المرور المفتاحية الجيل التالي من تكنولوجيا حسابات Web2، حيث تتميز بعدم الحاجة للتثبيت، والأمان، والراحة، والخصوصية”، كما عرفت من قبل مجتمع البلوك تشين في تقرير تقني. اليوم، تعبر هذه التكنولوجيا الحدود وتعيد تشكيل منطق التحقق من الهوية في Web3.
معضلة مصادقة الهوية في Web3: الخطيئة الأصلية لكلمات المرور والعبارات المساعدة
لقد كانت صناعة العملات المشفرة محاصرة بعمق في مفارقة الأمان والراحة منذ نشأتها. يجب على المستخدمين التحكم في مفاتيحهم الخاصة للدفاع عن “سيادتهم”، بينما يُجبرون أيضًا على تحمل المخاطر الضخمة لفقدان أو تسرب عباراتهم المساعدة.
نقاط الألم في محافظ التشفير التقليدية واضحة:
- إدارة العبارات الميمونية المعقدة: النسخ الاحتياطية المكتوبة بخط اليد يمكن أن تضيع بسهولة، والتخزين الرقمي يمكن أن يسرق بسهولة من قبل القراصنة.
- نقطة فشل واحدة لمفاتيح الخاصة: بمجرد تسريبها أو نسيانها، تصبح الأصول على الفور صفرًا وغير قابلة للاسترداد.
- هجمات التصيد الاحتيالي متفشية: صفحات DApp المزيفة تخدع المستخدمين لإدخال معلومات حساسة.
علاوة على ذلك، مع تطبيق سيناريوهات ويب 3 توسع الحاجة المتكررة لتوقيع المعاملات المستخدمين إلى المخاطر بشكل متكرر. تحاول محافظ MPC (الحساب متعدد الأطراف) وتجريد حساب ERC-4337 كسر الجمود، ولكنها مقيدة بالاعتماد على المركزية أو تكاليف الغاز المرتفعة بشكل مفرط.
في هذا الوقت، تكنولوجيا مفتاح المرور المعتمدة على التعرف البيومتري، مع الدعم البيئي من عمالقة التكنولوجيا مثل آبل وجوجل ومايكروسوفت، قد فتحت بهدوء قناة جديدة.
النواة التقنية، كيف تحقق Passkey ثورة بدون كلمة مرور؟
الهيكل الأساسي لـ Passkey متجذر في معيار WebAuthn الذي وضعته رابطة FIDO. المنطق الأساسي له هو استبدال كلمات المرور التقليدية بالتشفير غير المتماثل:
- توليد زوج المفاتيح: عندما يقوم المستخدم بالتسجيل لأول مرة، يقوم الجهاز (مثل Secure Enclave في iPhone) بإنشاء زوج مفاتيح غير متماثل فريد، مع تخزين المفتاح الخاص بأمان في منطقة عزل الأجهزة.
- الربط البيومتري: يتطلب الوصول إلى المفتاح الخاص التعرف على الوجه أو التحقق من بصمة الإصبع، المرتبط بآلية قفل الشاشة للجهاز.
- أمان السحابة: تحقيق استعادة عبر الأجهزة (مقتصر على نفس نظام العلامة التجارية) من خلال تشفير مفاتيح النسخ الاحتياطي عبر حسابات iCloud أو Google.
أثناء التحقق من تسجيل الدخول، يرسل الموقع رمز تحدي عشوائي، والذي يقوم الجهاز بتوقيعه باستخدام مفتاح خاص ويعيده. يحتاج الخادم فقط إلى التحقق من التوقيع باستخدام مفتاح عام مخزن مسبقًا، دون نقل أي كلمة مرور.
“تتمثل خصوصية Passkey في قدرته على التزامن عبر عدة أجهزة،” أشار ChainFeeds في تحليل تقني. ومع ذلك، هناك قيود على التزامن - تظل التوافقية عبر الأنظمة الأساسية بين iOS و Android قضية لم تحل بعد.
حماية ثلاثية، الحاجز الأمني للتعرف على الهوية البيومترية
تنعكس القيمة الأمنية لمفتاح المرور في Web3 في ثلاثة مستويات أساسية:
عزل على مستوى الأجهزة
تُخزن المفاتيح الخاصة في بيئة التنفيذ الموثوقة (TEE) للجهاز، مثل مساحة الأمان الخاصة بشركة آبل أو منطقة الثقة الخاصة بنظام أندرويد. حتى إذا تم اختراق نظام التشغيل، تظل بيانات القياسات الحيوية مشفّرة ومقفلة. ستؤدي أي محاولة لتلاعب جسدي إلى تفعيل آلية التدمير الذاتي للشريحة.
منع هجمات التصيد الاحتيالي
تظل كلمات المرور التقليدية فعالة على المواقع المزورة، بينما تستخدم Passkey استراتيجية ربط النطاق. “فقط المواقع المصرح لها بتسجيل الدخول باستخدام Passkey يمكن أن تتطابق مع المفتاح العام للخادم،” يؤكد ChainFeeds. لا يمكن للمواقع غير القانونية تفعيل عملية التوقيع الصحيحة.
بدائل البيومترية
تُصبح بصمة الإصبع أو التعرف على الوجه المفتاح الوحيد للوصول إلى المفاتيح الخاصة. قامت Mercuryo، كمزود عالمي لخدمات الدفع، بدمج Passkey مع 200 شريك لها (بما في ذلك Trust Wallet) لاستبدال التحقق الضعيف عبر الرسائل القصيرة بالبيومترية.
تنفيذ Web3 ، الممارسة الرائدة لمحفظة Passkey
عندما يتكامل Passkey مع blockchain، فإنه يؤدي إلى ظهور ثلاثة أنواع من هياكل المحفظة المبتكرة:
نظام التحقق من العقود الذكية
ممثلة من قبل Clave و Banana SDK، فهي تسمح بالتحقق من عقد توقيع secp256r1 الخاص بـ Passkey من خلال تجريد الحساب (AA). ومع ذلك، فإن التحقق الفردي على إيثيريوم يستهلك 600,000 - 900,000 غاز، مما يثير مخاوف بشأن جدواه الاقتصادية. الحلول من الطبقة الثانية مثل zkSync تستكشف العقود المسبقة التجميع لتقليل التكاليف.
خطة التفويض المركزي
تقوم Turnkey بنقل التحقق خارج السلسلة: يؤكد خادم مركزي توقيع Passkey، وبعد ذلك يتحكم في آلة التشفير لإنشاء توقيع البلوكشين. بينما يحسن هذا الكفاءة، فإنه يضحي بجوهر اللامركزية.
حل تحويل التوقيع
تحقق JoyID قفزة تكنولوجية: إنشاء توقيعات secp256r1 على جانب الجهاز من خلال Secure Enclave، والتي يتم تحويلها رياضيًا إلى توقيعات secp256k1 المدعومة من Ethereum. يمكن للمستخدمين إكمال إنشاء المحفظة مع “تحققين بيومترين” في بضع ثوانٍ، دون أي رسوم طوال العملية.
التحديات والمستقبل، رحلة Passkey في Web3
حتى مع المزايا الكبيرة، لا تزال عملية التبني الواسعة لـ Passkey تواجه تحديات رئيسية:
- فجوات توافق الأجهزة: النماذج القديمة تفتقر إلى شرائح الأمان مثل Secure Enclave
- عدم وجود ثقة عبر العلامات التجارية: لم يتم بعد إنشاء مزامنة المفاتيح بين أنظمة Apple و Android
- حاجز الوعي لدى المستخدم: مبادئ التخزين البيومتري غير مفهومة على نطاق واسع
ومع ذلك، فإن الاتجاه واضح بالفعل. من المتوقع أن يصل حجم سوق المصادقة البيومترية إلى 187.18 مليار دولار بحلول عام 2031، مع مركب معدل النمو السنوي 20.7%. عندما تلتقي محافظ Web3 مع Passkey، فإن تجربة المستخدم تتجاوز حتى Web2:
- لا حاجة لتذكر عبارات الميمونيك
- لا حاجة لتوفير البريد الإلكتروني/رقم الهاتف
- توقيعات بيومترية في ثوانٍ
“لقد تم القضاء تمامًا على العتبة التي تواجه المستخدمين العاديين لدخول عالم blockchain، وقد يكون الاعتماد الواسع لـ Web3 على الأبواب قريبًا جدًا”، كما ذكرت Plain Language Blockchain في تقريرها البحثي.
بيانات بصمة الإصبع في الشرائح الآمنة، المفاتيح المتزامنة مع تشفير السحابة، والتوقيعات الرياضية التي تم التحقق منها على البلوكشين - لقد أعادت Passkey بناء نظام الثقة بثلاث طبقات من الحماية. ماريا، مستخدمة من الأرجنتين، للتو أكملت عملية بيتكوين نقل باستخدام التعرف على الوجه: “هذا أسهل بكثير من تذكر 12 كلمة، تمامًا مثل استخدام آبل باي لشراء شيء ما.”
عندما يتم خفض عتبة تجربة محافظ العملات المشفرة إلى مستوى الدفع باستخدام الوجه، قد لا تكون حقبة المليار مستخدم في Web3 بعيدة. المستقبل ينتمي إلى تلك التقنيات التي يمكن أن تقدم تجربة سلسة دون التضحية بالأمان—وPasskey تتسابق في هذا الاتجاه.
يرجى ملاحظة أن Gate قد تقيد أو تحظر استخدام جميع أو جزء من الخدمات من المواقع المحظورة. لمزيد من المعلومات، يرجى قراءة اتفاقية المستخدم عبرhttps://www.gate.com/legal/user-agreement.
