Що таке Passkey? Безпарольне рішення безпеки для ери Web3

У традиційній Web3 У світі першою перешкодою, з якою часто стикаються нові користувачі, є не складність технології блокчейн, а ряд з 12 або 24 слів, що формують мнемонічну фразу. Помилки при її записуванні, неправильне зберігання та крадіжка зломом — ці ризики постійно загрожують безпеці активів користувачів.

«Пароль є наступним поколінням технології облікових записів Web2, яка характеризується відсутністю установки, безпекою, зручністю та приватністю», визначено в технічному звіті блокчейн-спільноти. Сьогодні ця технологія перетинає кордони та переглядає логіку аутентифікації особистості Web3.

Дилема автентифікації особи у Web3: первородний гріх паролів та мнемонічних фраз

Криптовалютна індустрія з моменту свого виникнення глибоко застрягла в парадоксі безпеки та зручності. Користувачі повинні контролювати свої приватні ключі, щоб захистити свою “суверенність”, одночасно змушені нести величезні ризики втрати або витоку своїх мнемонічних фраз.

Болючі точки традиційних криптографічних гаманців очевидні:

• Складне управління мнемонічними фразами: рукописні резервні копії легко втрачаються, а цифрове зберігання може бути легко вкрадене хакерами.
• Єдина точка відмови для приватних ключів: як тільки вони зливаються або забуваються, активи миттєво зменшуються до нуля і стають незворотними.
• Фішингові атаки поширені: підроблені сторінки DApp обманюють користувачів, змушуючи їх вводити чутливу інформацію.

Крім того, оскільки сценарії застосування Web3 розширити, часта потреба в підписах транзакцій неодноразово піддає користувачів ризикам. Гаманці MPC (багатосторонні обчислення) та абстракція облікових записів ERC-4337 намагаються розірвати цю безвихідь, але обмежені централізованими залежностями або надмірно високими витратами на газ.

На даний момент технологія Passkey, що базується на біометричному розпізнаванні, за екологічної підтримки таких техногігантів, як Apple, Google та Microsoft, тихо відкрила новий канал.

Технічне ядро, як Passkey досягає революції без паролів?

Основна архітектура Passkey базується на стандарті WebAuthn, встановленому Альянсом FIDO. Його основна логіка полягає в заміні традиційних паролів асиметричним шифруванням:

1. Генерація ключової пари: коли користувач реєструється вперше, пристрій (такий як Secure Enclave на iPhone) генерує унікальну асиметричну ключову пару, при цьому приватний ключ безпечно зберігається в апаратній ізоляційній зоні.
2. Біометричне зв’язування: Доступ до приватного ключа вимагає розпізнавання обличчя або перевірки відбитків пальців, пов’язаної з механізмом екрану блокування пристрою.
3. Хмарна безпека синхронізації: досягайте відновлення між пристроями (обмежено однією екосистемою бренду), шифруючи резервні ключі через облікові записи iCloud або Google.

Під час перевірки входу веб-сайт надсилає випадковий код виклику, який пристрій підписує приватним ключем і повертає. Серверу потрібно лише перевірити підпис за допомогою заздалегідь збереженого публічного ключа, без передачі пароля.

«Унікальність Passkey полягає в його здатності синхронізуватися між кількома пристроями», - зазначили в ChainFeeds у технічному аналізі. Проте існують обмеження щодо синхронізації - міжплатформна взаємодія між iOS та Android залишається невирішеною проблемою.

Трійний захист, бар’єр безпеки біометричної ідентифікації

Безпекова цінність Passkey у Web3 відображається в трьох основних рівнях:

Ізоляція на апаратному рівні

Приватні ключі зберігаються у TEE (Довіреному середовищі виконання) пристрою, такому як Secure Enclave від Apple або TrustZone від Android. Навіть якщо операційна система скомпрометована, біометричні дані залишаються зашифрованими та заблокованими. Будь-яка спроба фізичного втручання активує механізм самознищення чіпа.

Запобігання фішинговим атакам

Традиційні паролі залишаються ефективними на підроблених веб-сайтах, в той час як Passkey використовує стратегію прив’язки домену. “Тільки веб-сайти, уповноважені для входу з Passkey, можуть відповідати відкритому ключу сервера”, підкреслює ChainFeeds. Незаконні сайти не можуть ініціювати правильний процес підписання.

Біометричні альтернативи

Відбиток пальця або розпізнавання обличчя стає єдиним ключем для доступу до приватних ключів. Mercuryo, як постачальник глобальних платіжних послуг, інтегрував Passkey з 200 партнерами (включаючи Trust Wallet), щоб замінити слабку SMS-верифікацію біометрією.

Впровадження Web3, проривна практика гаманця Passkey

Коли Passkey інтегрується в блокчейн, це призводить до появи трьох типів інноваційних архітектур гаманців:

Схема верифікації смарт-контрактів

Представлений Clave та Banana SDK, він дозволяє перевірку контракту підпису secp256r1 Passkey через Абстракцію Облікового Запису (AA). Однак одна перевірка на Ethereum споживає 600,000 - 900,000 газу, викликаючи занепокоєння щодо його економічної доцільності. Рішення другого рівня, такі як zkSync, вивчають попередньо скомпільовані контракти для зниження витрат.

План централізованої делегації

Turnkey переносить перевірку поза ланцюгом: центральний сервер підтверджує підпис Passkey, після чого він контролює машину шифрування для генерування підпису блокчейну. Хоча це підвищує ефективність, це жертвує сутністю децентралізації.

Рішення для конвертації підписів

JoyID досягає технологічного стрибка: генеруючи підписи secp256r1 на стороні пристрою через Secure Enclave, які потім математично перетворюються на підписи secp256k1, що підтримуються Ethereum. Користувачі можуть завершити створення гаманця з “двома біометричними перевірками” всього за кілька секунд, без жодних комісій протягом усього процесу.

Виклики та майбутнє, шлях Passkey у Web3

Навіть з істотними перевагами, широке впровадження Passkey все ще стикається з ключовими викликами:

• Проблеми сумісності пристроїв: Старі моделі не мають безпечних чипів, таких як Secure Enclave
• Відсутність міжбрендової довіри: Синхронізація ключів між екосистемами Apple та Android ще не була встановлена
• Бар’єр обізнаності користувачів: Принципи біометричного зберігання не є широко зрозумілими

Однак тенденція вже зрозуміла. Очікується, що обсяг ринку біометричної аутентифікації досягне 187,18 мільярда доларів США до 2031 року, з комплекс річний темп зростання 20,7%. Коли Web3 гаманці зустрічаються з Passkey, досвід користувача навіть перевершує Web2:

• Не потрібно запам’ятовувати мнемонічні фрази
• Не потрібно надавати електронну пошту/номер телефону
• Біометричні підписи за кілька секунд

“Поріг для звичайних користувачів для входу у світ блокчейну був повністю усунений, і широке впровадження Web3 може бути зовсім близько”, - зазначив Plain Language Blockchain у своєму дослідницькому звіті.

Дані відбитків пальців у захищених чіпах, ключі, синхронізовані з хмарним шифруванням, і математичні підписи, перевірені в блокчейні — Passkey відновив систему довіри з трьома рівнями захисту. Марія, користувач з Аргентини, щойно завершила Біткоїн переклад за допомогою розпізнавання обличчя: “Це так набагато простіше, ніж запам’ятовувати 12 слів, так само як використовувати Apple Pay для покупки.”

Коли поріг досвіду криптовалютних гаманців знижено до рівня обличчя для платежів, ера мільярда користувачів у Web3 може бути вже не такою далекою. Майбутнє належить тим технологіям, які можуть забезпечити плавний досвід без шкоди для безпеки — і Passkey мчить цим шляхом.