NSTIC工程:身份代理人能阻止身份盜竊嗎?
考慮下這個場景:你恰好在線購買了一雙89美元的運動鞋。為了完成這個交易,你必須在商戶的web站點輸入你的個人身份信息并創(chuàng)建一個帳戶——只是以防你以后打算從他們這里購買更多的鞋——使用的是你已經(jīng)在其它無數(shù)站點一樣的密碼。
聽起來熟悉么?生活在一個絕大多數(shù)食品、服務(wù)、業(yè)務(wù)和運營都已經(jīng)轉(zhuǎn)移到Web上的時代里,一個人會認(rèn)為在數(shù)以億計的消費者當(dāng)中任何個人的在線身份和敏感信息會是安全的。好吧,重新考慮下。
在如今的因特網(wǎng)經(jīng)濟(jì)環(huán)境下,消費者難得面對面地與商戶碰面。相反,顧客們被要求創(chuàng)建因特網(wǎng)身份,并且一次又一次地使用它以便購買食品和服務(wù)。盡管這個看起來是毫無壞處的,卻會頻繁地引起一個危險的問題:不像一個活生生的人可以在商鋪購物,并且當(dāng)使用他/她的信用卡時被驗明真身;在因特網(wǎng)市場上購物的顧客們被要求創(chuàng)建一個“電子身份”以便從他們喜愛的在線商鋪購買東西。如果某個有經(jīng)驗的竊賊獲得這些詳細(xì)信息,他們僅僅點擊幾下鼠標(biāo)就能夠輕易地盜竊你的身份。
從企業(yè)的角度來看,不僅是攻擊者不斷地努力收集此類身份數(shù)據(jù)(通常與信用卡和其它有價值的個人信息相關(guān)),同樣還有不斷發(fā)展的確保在線身份數(shù)據(jù)安全的挑戰(zhàn)增加了業(yè)務(wù)運營的成本。為了解決這個和消費者欺詐相關(guān)的問題,美國商務(wù)部開始制定一個計劃創(chuàng)建更為強健的因特網(wǎng)身份,在人口稠密的區(qū)域減少因特網(wǎng)身份盜竊和欺詐事件。這些努力的結(jié)果就是美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute of Standards and Technology ,簡稱NIST)國家項目辦公室成立“國家網(wǎng)絡(luò)空間可信身份戰(zhàn)略工程”(National Strategy for Trusted Identities in Cyberspace,簡稱NSTIC)。
該NSTIC工程由公眾和政府人員聯(lián)合組成,他們正在設(shè)計標(biāo)準(zhǔn)框架來嘗試減少身份欺詐發(fā)生,讓世界上的消費者安全地在線操作,無需不得不牢記各種各樣的密碼、或是攜帶多個安全口令牌。事實上,這個NSTIC工程正在改造進(jìn)行在線身份驗證的方式。對于NSTIC來說第一個主要交付是用于構(gòu)建電子身份環(huán)境治理架構(gòu)的建議文檔。在2012年1月這個名為“用于構(gòu)建電子身份環(huán)境治理的建議”的文檔向公眾發(fā)布,用于評審和考量。
該NSTIC身份建議的基本架構(gòu)強調(diào)創(chuàng)建一個“身份代理人”,其遵循了現(xiàn)今因特網(wǎng)金融經(jīng)紀(jì)人的運作方式。例如,如果某個消費者擁有一個PayPal的帳戶,并且該消費者要購物的商戶站點和PayPal公司有協(xié)議。這個消費者可以選擇在當(dāng)前商戶的web站點輸入他/她的支付信息,或者更為理想的是點擊站點上的PayPal公司圖標(biāo)。如果他們選擇后者,購物人被重定向到PayPal公司的web站點,在這里他/她登錄、接受支付費用,然后再被重定向到商戶的結(jié)賬頁面,該頁面的支付信息顯示為“全額支付完成”。無需消費者在該商戶站點輸入支付信息就可以完成一切操作。但是如果用戶想在以后返回該商戶站點購物時被辨認(rèn)出來的話,他/她仍然必須向該商戶直接提供個人身份信息,即使這些金融信息由第三方的金融經(jīng)紀(jì)人(如PayPal公司)保管。
NSTIC建議顧客的身份數(shù)據(jù)通過類似的身份代理人來解決這個問題。像PayPal公司這樣的身份代理人會允許每個用戶注冊、存儲他們的個人身份信息,并且需要時,代表用戶提交它們。在NSTIC架構(gòu)下,經(jīng)過認(rèn)證的身份代理人將同因特網(wǎng)商戶與其他身份代理人建立關(guān)系,所以當(dāng)消費者被提示提供他/她的在線身份信息時,該商戶會將消費者重定向給代理人。在這里消費者會提供強健的身份數(shù)據(jù)來核實他/她就是事實上請求鑒定的那個人,隨后該代理人會和商戶共享這個數(shù)據(jù)。
如今這個身份代理人的方法從技術(shù)上被許多廠商支持,但是各自以專有的方式進(jìn)行。其中的一些主要商家像Google、Amazon、Apple和Microsoft使用集中化的身份店鋪用于他們自己和業(yè)務(wù)伙伴的授權(quán)。但是盡管這個方法將人們必須維護(hù)的因特網(wǎng)身份數(shù)量降至最低,可它們的適用范圍有限,并且他們?nèi)匀徊坏貌灰蕾囉跇?biāo)準(zhǔn)的用戶名/密碼來認(rèn)證某人的身份。
所以NSTIC的工作成果對于一般的企業(yè)來說意味著什么呢?盡管NSTIC正在努力致力于提高標(biāo)準(zhǔn)、流程和協(xié)議的適用級別,這些需要到位以便讓可信第三方保護(hù)消費者身份。這首先會要求主要的商家、例如大型企業(yè)的認(rèn)同。從道德上講,任何在線商戶應(yīng)該全力保護(hù)它的消費者的在線身份及信息,但是從經(jīng)濟(jì)利益角度上這是沒有激勵性的。因為這讓消費者輕易地在商戶店面間再次使用他們的帳戶,會為競爭對手打開市場大門。而且盡管NSTIC正在做出努力來減少位于美國的商戶站點的欺詐事件,但是因特網(wǎng)已經(jīng)向世界范圍的市場打開,這讓人們對因特網(wǎng)代理人能否跨越地理界限產(chǎn)生質(zhì)疑。
還有一個企業(yè)如何能夠為了他們自己的目標(biāo)利用NSTIC工作成果?通常企業(yè)們必須為他們的員工定義一個唯一的身份并且發(fā)布不同的憑證。到目前為止,NSTIC的關(guān)注點一直是消費者使用:沒有理由這些同樣的身份不能訪問像業(yè)務(wù)系統(tǒng)、電子郵件和保險金應(yīng)用這樣的公司資源。將消費者的身份信息和他/她的雇主共享可以減少一般人需要維護(hù)的憑證的總數(shù)。此外,通過使用NSTIC憑證,工作場所的欺詐訪問也可能會減少,并且讓企業(yè)為那些想遠(yuǎn)程辦公、或者經(jīng)常出差的員工提供更多的外部訪問。
擴(kuò)展性可能也是個問題。世界上有數(shù)不盡的公司和商戶站點不是大型因特網(wǎng)商戶。許多消費者繼續(xù)在這些站點上創(chuàng)建他們的身份。將這些小型公司和商戶的站點納入這個架構(gòu),而且對于想?yún)⑴c其中的公司,讓成本降低是一項棘手的問題。此外,消費者如何“強健地”認(rèn)證仍是懸而未決的問題。所有的消費者會在郵箱中收到硬件口令牌么?要建立、分發(fā)和維護(hù)強健的憑證仍然價格不菲。理想情況下,隨著NSTIC推動人們普遍接受它的身份模型,電子經(jīng)濟(jì)的規(guī)模效應(yīng)會降低強認(rèn)證技術(shù)的成本。
最后要考慮的一點、而且可能在大多數(shù)消費者的心目當(dāng)中是最重要的:就是身份代理人怎么能夠保護(hù)消費者的身份數(shù)據(jù),以及如果這些代理人被入侵會發(fā)生什么事情。至少就那些小型站點來說,可能所有消費者的身份不會被侵害。但是身份代理人需要維護(hù)消費者全部的身份數(shù)據(jù)。這些數(shù)據(jù)的泄漏可能給消費者以及身份代理人造成影響深遠(yuǎn)的問題,甚至是迄今為止我們尚未遇到的。
因此,盡管NSTIC在說服小型和大型商戶及企業(yè)踏上在線身份保護(hù)列車上仍然有很長的路要走,從理想上來講,減少因特網(wǎng)身份盜竊和欺詐仍然會驅(qū)動市場在不遠(yuǎn)的將來接受它。
