如果你一味关注可以到处使用的单一身份,无异于忽视了实际情形,后果很可怕。
我已厌倦了在每天使用的所有网站、电脑和应用程序上视情形使用不同的用户身份和密码。我敢肯定,你也厌倦了。我有五个用于工作的不同身份和密码,有五个用于家庭服务的不同身份和密码(从iTunes到警报器公司身份),还有十来个用于通过互联网使用的银行、电子商务和企业服务的不同身份和密码,从亚马逊网站、我个人网站域名的管理控制台到FTP登录资料。诚然,大多数人没有后面这两种身份和密码,但是有太多人证明确实要牢记太多的身份和密码。
由于这个问题具有普遍性,业界时不时会陷入"一个身份用于所有情况"的思维模式。几年前,知名安全公司RSA希望提供经过验证的单点登录机制,那样所有的服务提供商均可使用,有点像是身份方面的DNS注册中心。RSA的努力之所以最终化为泡影,是由于谁也不想为每次访问或每个所使用的身份向RSA支付身份税费。更何况,只有一个身份存储库似乎相当可怕:它将是黑客攻击的理想目标。(后来这样的担忧不无道理,因为RSA无力阻止自己的SecurID系统被黑客攻击。)
而如今,一些人眼里的妙招就是使用OpenID或Facebook作为一个通用的签到机制,方便登录到诸多网站。OpenID已存在了多年,但还没有真正受到追捧。而相信Facebook这个中央身份存储库的概念就算不可怕,至少也很可笑:Facebook本身经常侵犯其用户的隐私;用户不该把任何重要信息交给它保管。
但是假设有一家值得信任的机构,可以作为你的身份管理者和验证者,就有点像各网站可以用来验证身份的社会保险号码。我们是不是应该都采用它呢?
绝对不可以。
这类系统天生就很危险。比如说,现在不乏假冒的和盗取的社会保险号码。任何单一身份将面临同样的滥用情况;而一旦你的单一身份被泄露,就完蛋了。你再也无法证明自己的身份了。如果你认为身份被盗后很难恢复如初,就要明白这一点:单一身份迟早会被盗。
另外,身份绝不仅仅指用户名和密码、生物特征识别扫描和密码或者你想使用的任何系统。虽然我们都是个体,但可能有多个用户角色。你在《InfoWorld》杂志上看到的"我"这个用户角色是指我作为技术评论员的角色;在我撰写的实用指导丛书中的"我"是不同的角色;亲朋好友眼里的"我"是不同的角色;银行、亚马逊和iTunes眼里的"我"是不同的角色;保险公司和保健组织眼里的"我"是不同的角色。没错,这些角色是同一个我,但每个角色在各自的环境下有着不同的用途,于是我针对具体的用途调整了用户角色。
比如说,在我的博客上,本人的态度比写实用指导丛书或当众采访时来得极端--具体场合的目标不一样,所以我的用户角色也不一样。同样,我在LinkedIn上的个人档案与我在推特上的个人档案不一样--要是谷歌的算法没有立即关闭我在Google+上的个人档案,该个人档案与我在推特上的个人档案也会不一样。它们用于不同的用途,所以我根据那些用途来调整自己的身份,就像我们在单位活动、在家庭聚会上、在公共汽车上、在面试工作等场合为自己赋予相应的角色。
这仅仅是属于个人的方面。通过在不同的服务商处留下不同的身份,我限制了每家服务商对我的了解程度。我的银行根本不需要关于我其他银行账户的信息,更别说需要了解我购买的音乐或在哪里购物。是的,这方面信息有些被服务提供商泄漏了;而且还出现了一个专门发掘和汇总这些信息的整个行业,以便服务提供商们能够向我兜售更多的产品,或者保险公司能想方设法拒绝承保。一些雇主也在发掘和搜集信息,以便筛选掉部分求职者。我们使用的网上服务越多--这是不争的事实,我们留下来的被人发掘和搜集的痕迹就越多。
Facebook和Google Now等一些服务甚至鼓励用户签到,那样就可以明目张胆地跟踪用户的活动,从而建立单一的个人档案,涵盖你所有方面的信息。这些服务提供商给出的承诺是,智能代理可以搞清楚你想要为自己获取什么东西,但是这种方便与一旦这类服务确定你想要什么就会牢牢控制你相比,不值一提,到时你完全无法自行决定(即使美国不清楚利害关系,至少欧盟很清楚)。
幸运的是,尽管你在《犯罪现场勘查》等电视剧中看到警方办案神速,警方还是无法通过搜查电脑,迅速查明你的个人档案和行踪,不过警方有取证分析技术,不费吹灰之力,就能了解你的信用卡使用情况和手机通话记录。但是你通过单一身份把越多的身份信息进行交叉表分析和联合起来,出现上述这一幕的可能性就越大;而且不单单是犯罪分子很容易受到监控。
我们的用户角色和所处环境具有多样性,这使得单一身份很可怕。人们倾向于把所有这些身份集中在一个地方,或者至少提供可以打开所有这些身份的单一密钥。没错,从理论上来说,任何这类统一身份可以建立隔离我们身份某些方面的独立数据桶(bucket),甚至要求得到用户的明确允许,服务提供商才可以打开其他数据桶。但是你也知道实际情况会怎样:政府和服务提供商(毕竟他们掏钱了)会要求访问更广泛的信息,"以防万一"。到时,你就无力管理自己向谁表明自己的身份。
就算你能表明身份,也有大量的工作要做。只要想一想很少有人在组织整理电子邮件或地址簿,也很少有人在组织整理邻居和好友房子的备用钥匙。别指望使用电脑或智能手机上的隐私设置,无论有没有这样的隐私设置。默认情况下,一切信息都可以被利用,就像在Facebook和Google Now上那样,这些服务提供商正是抓住了用户喜欢共享的习性。
对于帐户和密码太多这个问题,我没有什么解决办法。但我知道一点,反正单一身份解决不了问题。
原文地址:http://www.infoworld.com/d/consumerization-of-it/the-dangers-of-single-identity-209184
