设备即私钥：EverID 的 Web3 账户解决方案

作者： 0xmiddle

审阅：Ivy

是什么在阻碍区块链的大规模应用呢？除了可扩展性限制导致的昂贵Gas和低效率之外，最大的阻碍的莫过于复杂的账户体系了。对于 Web2 用户来说，理解基于公私钥系统的账户体系及其背后的密码学原理是一大挑战，备份助记词，导入钱包等各种操作，也总让他们感到困惑。相信很多加密用户最早注册第一个加密钱包的时候，都经历了不少波折。

尽管公私钥账户体系带来了前所未有的抗审查、去中心化的特性。就像那句经典的描述：

「your key，your coin，not your key，not your coin」

只要你妥善保管私钥，你的账户几乎是绝对安全的，没有任何中心化主体能够干预你的资产和账户。但这样的账户体系也带来了可怕的低容错性和单点风险。备份和保管助记词，总是让人精神紧张，加密新手还常常在这里面踩坑，比如：丢失、忘记、被骗、抄错……

EverID 如何解决上述问题？

作为 Web3 领域的“支付宝”，everPay 一直致力于探索区块链大规模应用。在 近期发布的新版本——everPay v2.0 中， everPay 推出了一个全新的 Web3 账户解决方案—— EverID。

那么 EverID 是如何解决上述问题的呢？

首先，EverID 遵循了 Web2 用户最熟悉的路径：使用邮箱作为账户。

但我们没有使用邮箱作为交易签名手段（尽管邮箱服务商提供签名服务），因为那样会使用户的加密账户实际上受制于邮箱服务商。

我们的解决方案是，采用 FIDO 框架协议，邮箱仅作为登录名，允许用户将账户绑定到设备。用户将使用设备作为密钥，对交易进行签名验证。这样一来，只要你掌握设备，你就牢牢掌握你的账户，和基于公私钥的 Web3 账户一样，没有任何中心化主体能够干预你的资产和账户：

「your device，your coin，not your device，not your coin」

其原理可以简单理解为，注册账户时，私钥会在你的设备中生成并存储，你的设备（电脑、手机，或优盘等外部安全设备）会变成一个类似硬件钱包的存在。

不必担心设备中的私钥被非法读取或者调用，因为它被保存在设备的一个特殊安全芯片中，只有当你使用生物信息（例如：指纹/面部识别）进行授权时，才能使用该芯片中的私钥进行签名。

设备丢失怎么办？

我们意识到，上述方案依然存在单点风险。如果设备丢失或者遭受物理损坏，怎么办？又或者设备因误操作而被格式化，刻录在其中的私钥数据丢失，怎么办？

为了应对上述情形，EverID 提供了多密钥功能。你可以为你的账户添加多台设备，相当于为一把锁配多把钥匙。

比如你可以在电脑上注册 EverID 后，添加你的手机作为密钥设备。这样一来，你在电脑和手机上，都可以登录该 EverID 账户，如果电脑和手机当中的任意一个损坏或丢失，你仍然可以在另一台设备上登录你的 EverID，并转走你的资金。

如果电脑手机同时丢了怎么办？

首先，不会那么倒霉吧……其次，理论上，你可以添加无限台设备作为你 EverID 账户的密钥设备。你如果希望进一步提高容错性，可以多添加几台，as you like。

至此，我们可以这样总结 EverID：

• 邮箱作账户
• 设备即私钥
• 签名需指纹
• 可绑多设备

总之，EverID 是一个兼具 Web2 简洁性和 Web3 安全性的账户解决方案。如果你不求甚解，对 EverID 的了解到这里就足够了。

如果你希望了解更多技术向的内容，可以在互联网上检索 FIDO、Web3Authn、通行秘钥（Passkey）等高级概念以了解更多。

关于 PermaDAO：Website | Twitter | Telegram | Discord| Medium | Youtube