搬运一些对nostr身份验证的担忧：

Nostr密钥被认为是管理在线身份的一种方式。但是，正如我们将看到的，将Nostr密钥用于身份可能会给用户带来重大的安全漏洞和风险。

Nostr协议为用户提供公钥和私钥。用户的身份与此公钥相关联，而不是用户名。就像您的比特币一样，如果您丢失或泄露了私钥，您的 Nostr 身份就会消失

最近，有人不小心在Twitter上分享了他的私人Nostr密钥，而不是他的公钥。这是一个任何人都可能犯的简单错误，并且表明该协议存在UX问题。这让每个人都可以控制他的Nostr帐户和他的Nostr身份，为了解决问题，不得不回到Twitter上，否认他的Nostr身份，并宣布一个新的Nostr密钥作为他的新身份。他计划将自己的身份与DNS记录联系起来。但是，如果他的DNS过期或被扣押，他的身份将被永久捕获。

Nostr是一种通信协议，而不是身份协议。因此，它不会在协议级别解决标识问题。因此，与现有的标准化去中心化身份协议保持最大的互操作性符合Nostr用户的最佳利益

Nostr处理“带外”身份——这意味着你在协议中的身份完全依赖于外部身份。Nostr只是指出集中或可扣押的身份来源，每个人都认为这些来源是值得信赖和准确的。例如，当

@jack第一次加入Nostr，他把他的公钥放在http:// Cash.app 上，让任何人都能看到是他。但是，此方法是许可的。如果用户不拥有托管其标识符的域，则可以轻松将其平台化

对于无法正式证明自己身份的 11 亿人来说，购买个人域名不是一种选择。即使他们可以，他们也不太可能维护一个域名，域名也很容易被阻止或删除，特别是在专制国家，这使得它们在身份验证方面不可靠。这导致了诸如“不可阻挡的域”之类的概念，许多浏览器仍然拒绝识别这些概念。

此外，攻击者可以创建冒名顶替者身份，并使用这些身份错误地“验证”捕获的Nostr身份。如果没有一种标准化的证明方法，用户、浏览器和机器都可以快速轻松地进行验证，混乱和欺诈就会随之而来。具有讽刺意味的是，诺斯特尔开发者@jb55最近失去了他的推特账户。如果他的Nostr密钥被泄露，他的冒名顶替者将完全控制他的Nostr身份，并且可以将他的“证明链接”指向一个新的Twitter帐户并声称这是他的。

Nostr私钥几乎总是由没有安全隔地的用户管理，这使得这些密钥很容易管理不当。即使很容易将 Nostr 密钥编码到安全隔区，用户也无法在设备被盗或丢失时撤销其密钥。如果没有定期的密钥轮换和吊销，攻击者可以访问您的 Nostr 身份以及任何授权帐户，并在您不知情的情况下无限期地监视您。定期滚动和撤销密钥是一种很好的做法，但 Nostr 不允许这样做。。。。。。。