和 Locke Brown 的访谈 NuID

发布于 2022 年 11 月 9 日作者：Private Internet Access

PIA 与 NuID 的联合创始人及首席执行官 Locke Brown 坐下来聊聊“无信任身份验证”的重要性、传统线上密码所面临的问题、NuID 的未来以及他的网路安全建议

Private Internet Access 你好，Locke，感谢你今天抽出时间与我交谈。能否简单介绍一下你自己以及你如何进入加密货币领域？

Locke Brown：我来自美国阿拉巴马州的伯明翰，然后在洛杉矶附近的克莱蒙特麦肯纳学院读书，主修数学和经济学。我在 2013 年时，是在校园里四处宣扬比特币的疯子。

我一直对电脑、游戏和科技非常感兴趣，虽然不太会编程，但年轻时建过很多网站。数学、科学和经济是我的强项。我一直对投资充满热情。实际上，我还在克莱蒙特麦肯纳取得了金融硕士学位。

在大学时，我在谷歌做过实习，毕业后决定进入金融行业。于是我于 2014 年在西雅图的比尔盖茨私人投资公司工作。那段经历相当奇妙；我在那里做了几年的交易员，之后转到了私人投资部门。

在我待的最后一年半，也就是 2016 年，我和首席运营官一起成立了一个内部区块链工作组，因为当时区块链又开始热门。那时，我已经损失了太多的比特币，像是线上赌博和一些随机的投资。当然，那时的价值没有今天高。我还必须提到，我曾在大学宿舍挖过比特币，拥有过第一批 ASIC 矿机。所以我一直对这个领域非常感兴趣，能够回到这个行业并更密切关注它，让我感到很高兴。其实，也是在那个时候我开始使用 PrivateInternetAccess，2016 年时我有一个专属 IP，当你们联系我时，我觉得这件事真酷。

PIA 你为什么想创立 NuID？

LB：我当时在想把像不动产资产和车辆所有权这些东西数字化的可能性。然后通过一位共同的朋友，我遇到了 Nolan Smith。他当时是微软的一名数据科学家。我们在西雅图附近的一次徒步旅行中相遇，立刻聊得非常投缘。我们一起吃晚餐，深入探讨了很多话题。那段时间我们花了大量时间在我的地下室，称之为“洞穴”，探索了很多与密码学和区块链相关的事情，最后偶然接触到了零知识证明的密码学，这最终成为我们核心技术的很大一部分。

我们有很多想法，但要使它们成功，我们需要某种特定类型的分散式系统。此外，我们需要身份是可信的。也就是说，我们需要一种比当前简单创建用户名和密码的身份更好的版本，这些密码最终会被骇客攻击。

所以我们认为，身份验证是需要修复的那一层。如果你能以我的身份进行身份验证，那么如果其他人也能进行身份验证，你又如何信任你的数字身份呢？

我们的时机正好，结合了这两种当时相对鲜为人知或新的技术：分布式账本和零知识证明，并构建了一种协议，我们当时称之为将身份从设备抽象到个体。2017 年 1 月，我们与加州大学戴维斯分校的 Matthew Franklin 教授建立了联系。他专门从事密码学研究，因 BonehFranklin 证书方案而闻名，还有很多当今使用的公钥基础设施的其他技术。实际上，PIA 用了一些他当年帮助发明的技术。最终，他对我们构建的协议进行了调查和验证。2017 年 1 月的某个周日晚上，我决定全心投入。我辞去了工作，提交了最初的专利申请，并创立了 NuID。一个月后，我筹集了一小笔种子资金，其余的就是历史了。这是简要版本。

PIA NuID 的核心产品是什么？

LB：你在矽谷可能听过“快速失败”的理念，意即打破常规并迭代。这种思维不适用于身份验证和身份管理。因此，我们非常谨慎和彻底，专注于做对的事情，而不是快。尽管一些人推崇速度，但如果身份验证失败，那就是结束。你不能容许任何一次失误，对吧？

所以，我们推出了我们的产品无信任身份验证，这是 NuID 的身份验证解决方案，是一个 B2B 的 SaaS 产品。这是一个月度订阅的 API 插件，帮助企业完全替代其身份验证工作流程。

在当前的用户登录体验中，你可以想像建立一个应用程式或网站，用户需要登录。在今天的范式中，标准作法是让用户输入用户名或电子邮件地址和密码。接著，这些信息将从用户的设备发送到伺服器。如果一切正常，伺服器会哈希化和/或加密密码并将其存储在数据库中。这样，在用户下次登录时，再次输入凭证，会将这些信息传送至伺服器进行比较，若密码匹配则验证通过并登录，创建一个会话。

然而，这样的做法显然存在很多问题。每个伺服器都必须存储一个包含大量凭证的大型数据库。现在你就成为骇客的巨大攻击目标，这可能造成连锁效应。当伺服器被攻破时，往往是某个被骇用凭证用来实施攻击。以 LinkedIn、Twitter 或任何其他大型网站为例，后续很多攻击都是因为找到某个人的凭证，而该网站的某位管理员在其电子邮件或其他网站上使用了相同的密码，因为人们倾向于重复使用密码。

NuID 的身份验证系统旨在消除这种工作流程，我们在美国拥有 57 项专利。它在使用上是免费的，并且可以在 30 分钟内完成安装。它位于登录框后面，对用户来说没有任何额外的摩擦，登录体验没有变化。实际上，当用户创建帐户时，他们在自己的设备上输入用户名和密码。这个密码用来生成一种称为零知识证明的东西。所以，你可以把这想作是魔法不是，我是开玩笑，实际上这涉及到大量的数学运算。

用户输入的密码会被删除，永远不会通过互联网传送到任何伺服器，并且不会在本地存储。从这个过程中生成的公共参考参数将被存储在分散式账本上。我们默认使用以太坊，但这是账本不可知的，未来我们将推出 KiiChain 账本。我们实际上正在推出名为 Kii 的代币。现在就不详细说了，但这里的理念是，这个公共参考参数是分散且不可更改的，这意味著没有单一方来持有它。

PIA NuID 仅适用于企业还是你们有消费者产品？

LB：我们最近启动了 Nu 身份生态系统的初步阶段，正在为此做准备。我们明年会推出消费者产品，这将是一个凭证钱包，使用户能够管理自己的凭证。

我喜欢说我们正在做的是让每个人都能轻松使用密码学。目前，管理密钥是非常复杂的。如果我们使用公钥基础设施进行登录，这是必需的，但对于普通人来说真的很困难。例如，使用比特币钱包时，给你一串助记词，基本上告诉你如果丢失私钥，就毫无希望。

这就是公钥基础设施的本质，并不宽容。必须要有一种好的方式和良好的界面，这正是 NuID 所在乎的。最初我们需要企业解决方案，因为如果我在三、四年前走到街上说：“嘿，我有这个很棒的新身份验证解决方案，你愿意试试吗？”而你问：“太好了，在哪里可以使用？”而我的回答是“任何地方都不行”，那就不会有太大的帮助。

因此，我们的协议必须逐步嵌入并被服务使用，这是第一步。我们几年前推进了这一进程。正如我所提到的，我们现在有一个自助开发者入口，任何正在构建应用程式或网站的人都可以免费实施这一解决方案，并做一些测试。

PIA 你有什么建议给普通人来保护他们的密码，以增强他们的网络隐私？

LB：越长越好。很多网站会说用户需要使用数字、大写字母、小写字母和符号等。但是事实是，长度是最重要的。

对于重要的事情，请使用不同的密码。我不会告诉每个人对于每一个帐号使用不同密码，因为现在人们可能有 50、60、70 个甚至更多的不同帐号。我还要加上一个小提示，但使用像 LastPass 或 1Password 这样的密码管理器是很有帮助的，这是我们在 NuID 要求每个人使用的工具。然而，它们的确存在著某些问题，并不解决根本症结。因此，信任它们仍然可能让人感到有些害怕。不过值得注意的是，它们在正确的方向上迈出了一步。只要正确使用，它们提供的便利是值得的，这也意味著你要使用他们的安全密码生成器。可以使用它来生成一个随机的数字、字符和符号序列，长度为 32 位，且都是独特的。所以，如果你打算使用这类工具，请利用安全密码生成器的能力。

最后，确保无论如何都启用双因素身份验证，如果有这个选项的话。这些都是最重要的建议。否则，请持续关注 NuID，并在我们几个月后推出的时候获得经验证的凭证。