无惧黑客攻击，区块链登入将给web2带来变革

互联网没有内置的用户认证和身份识别方案，但互联网公司提供服务时需要知道它的客户是谁。为此，提供服务的应用创建了用户名+密码登录的范式。带来的问题众所周知：

1/密码重复使用带来的黑客攻击风险

2/频繁注册应用带来密码记忆管理的难题

3/数据转存问题

4/账户之间是孤立，无法进行应用经济价值流转

为了解决这些问题，不少相关技术方案问世，比如Social Sign-On使用谷歌、微信、推特等第三方账户登入其他网络应用。但是这有一个明显的缺陷，它依赖于少数应用公司，使得这些公司成为系统的故障点，可以控制用户进入互联网生活。

还比如，在线密码管理工具lastpass，可以使用一个主密码将所有的登录信息存储在一个地方。可是LastPass在12月22日透露，攻击者在今年早些时候使用2022年8月事件中窃取的信息侵入其云存储，窃取了客户的保险库数据。

此前，11月30日，该公司首席执行官卡里姆·图巴（Karim Toubba）曾公开承认遭黑客攻击致数据泄露，但他表示黑客仅获得了部分客户的关键信息，客户的密码仍被安全加密。这是一年内LastPass发生的两次因云存储漏洞而发生的安全事件。

另外，绝大部分网络服务要手机号码注册，而获得手机号的销售服务人员会时常打电话给用户，过度频繁的电话访问甚至变成一种对用户的“骚扰”。我们需要的是一个中立的、去中心化的、安全的、由用户控制的用户名和身份认证协议，所有服务都可以使用。

以太坊登录（EIP-4361）的出现改变了这个规则，它为那些希望对自己的数字身份承担更多控制和责任的用户提供了一种新的自我托管选项。

用户私钥签署一个包含网址和登录说明的请求包发给后端服务器, 后端服务器从签名数据获得签名私钥对应的地址, 以这个地址作为用户的链下账户。在这种方式下, 网站不必存放用户密码, 非常安全, 而且账户是去中心化的, 它不受哪个系统控制。传统互联网巨头控制用户访问服务的能力也会得到削减，降低了用户被网络巨头监视行为概率；另外，用户也不需要记忆管理复杂的繁多的密码，一个私钥轻松搞定。

更为重要的是，pepper block认为类似以太坊登入方案还可以实行应用价值流转，让用户与用户之间产生经济价值的联系。一家公司可以基于NFT持有量、DAO会员资格、甚至是根据 DeFi 上活动 创建不应的用户体验，比如说：

a/持有NFT的艺术家的长期粉丝可以在黄牛党蜂拥销售之前购买早期折扣的音乐会门票。

b/一个专注于开发者的DAO的成员可以获得一个特殊的服务器托管包。

c/去中心化交易所的强大用户可以在一家金融服务公司获得高级功能，如杠杆、信贷或专门的账户经理。

d/这也为公司为他们的用户创造新的web3体验打开了大门，如进行NFT空投或POAP分配给现有的账户，而这些账户可能已经使用以太坊登录。

pepper block认为，像亚马逊、京东、淘宝等电商，以及像推特、微信等内容社交平台，彼此生态系统内部都沉淀着十分巨大价值，如果各大平台增添了类似的以太坊登入方案，这些沉淀的价值理论上会伴随加密领域的玩法得到激发，形成正向经济效益。