單一身份的危險性
譯文如果你一味關注可以到處使用的單一身份,無異于忽視了實際情形,后果很可怕。
我已厭倦了在每天使用的所有網站、電腦和應用程序上視情形使用不同的用戶身份和密碼。我敢肯定,你也厭倦了。我有五個用于工作的不同身份和密碼,有五個用于家庭服務的不同身份和密碼(從iTunes到警報器公司身份),還有十來個用于通過互聯網使用的銀行、電子商務和企業服務的不同身份和密碼,從亞馬遜網站、我個人網站域名的管理控制臺到FTP登錄資料。誠然,大多數人沒有后面這兩種身份和密碼,但是有太多人證明確實要牢記太多的身份和密碼。
由于這個問題具有普遍性,業界時不時會陷入"一個身份用于所有情況"的思維模式。幾年前,知名安全公司RSA希望提供經過驗證的單點登錄機制,那樣所有的服務提供商均可使用,有點像是身份方面的DNS注冊中心。RSA的努力之所以最終化為泡影,是由于誰也不想為每次訪問或每個所使用的身份向RSA支付身份稅費。更何況,只有一個身份存儲庫似乎相當可怕:它將是黑客攻擊的理想目標。(后來這樣的擔憂不無道理,因為RSA無力阻止自己的SecurID系統被黑客攻擊。)
而如今,一些人眼里的妙招就是使用OpenID或Facebook作為一個通用的簽到機制,方便登錄到諸多網站。OpenID已存在了多年,但還沒有真正受到追捧。而相信Facebook這個中央身份存儲庫的概念就算不可怕,至少也很可笑:Facebook本身經常侵犯其用戶的隱私;用戶不該把任何重要信息交給它保管。
但是假設有一家值得信任的機構,可以作為你的身份管理者和驗證者,就有點像各網站可以用來驗證身份的社會保險號碼。我們是不是應該都采用它呢?
絕對不可以。
這類系統天生就很危險。比如說,現在不乏假冒的和盜取的社會保險號碼。任何單一身份將面臨同樣的濫用情況;而一旦你的單一身份被泄露,就完蛋了。你再也無法證明自己的身份了。如果你認為身份被盜后很難恢復如初,就要明白這一點:單一身份遲早會被盜。
另外,身份絕不僅僅指用戶名和密碼、生物特征識別掃描和密碼或者你想使用的任何系統。雖然我們都是個體,但可能有多個用戶角色。你在《InfoWorld》雜志上看到的"我"這個用戶角色是指我作為技術評論員的角色;在我撰寫的實用指導叢書中的"我"是不同的角色;親朋好友眼里的"我"是不同的角色;銀行、亞馬遜和iTunes眼里的"我"是不同的角色;保險公司和保健組織眼里的"我"是不同的角色。沒錯,這些角色是同一個我,但每個角色在各自的環境下有著不同的用途,于是我針對具體的用途調整了用戶角色。
比如說,在我的博客上,本人的態度比寫實用指導叢書或當眾采訪時來得極端--具體場合的目標不一樣,所以我的用戶角色也不一樣。同樣,我在LinkedIn上的個人檔案與我在推特上的個人檔案不一樣--要是谷歌的算法沒有立即關閉我在Google+上的個人檔案,該個人檔案與我在推特上的個人檔案也會不一樣。它們用于不同的用途,所以我根據那些用途來調整自己的身份,就像我們在單位活動、在家庭聚會上、在公共汽車上、在面試工作等場合為自己賦予相應的角色。
這僅僅是屬于個人的方面。通過在不同的服務商處留下不同的身份,我限制了每家服務商對我的了解程度。我的銀行根本不需要關于我其他銀行賬戶的信息,更別說需要了解我購買的音樂或在哪里購物。是的,這方面信息有些被服務提供商泄漏了;而且還出現了一個專門發掘和匯總這些信息的整個行業,以便服務提供商們能夠向我兜售更多的產品,或者保險公司能想方設法拒絕承保。一些雇主也在發掘和搜集信息,以便篩選掉部分求職者。我們使用的網上服務越多--這是不爭的事實,我們留下來的被人發掘和搜集的痕跡就越多。
Facebook和Google Now等一些服務甚至鼓勵用戶簽到,那樣就可以明目張膽地跟蹤用戶的活動,從而建立單一的個人檔案,涵蓋你所有方面的信息。這些服務提供商給出的承諾是,智能代理可以搞清楚你想要為自己獲取什么東西,但是這種方便與一旦這類服務確定你想要什么就會牢牢控制你相比,不值一提,到時你完全無法自行決定(即使美國不清楚利害關系,至少歐盟很清楚)。
幸運的是,盡管你在《犯罪現場勘查》等電視劇中看到警方辦案神速,警方還是無法通過搜查電腦,迅速查明你的個人檔案和行蹤,不過警方有取證分析技術,不費吹灰之力,就能了解你的信用卡使用情況和手機通話記錄。但是你通過單一身份把越多的身份信息進行交叉表分析和聯合起來,出現上述這一幕的可能性就越大;而且不單單是犯罪分子很容易受到監控。
我們的用戶角色和所處環境具有多樣性,這使得單一身份很可怕。人們傾向于把所有這些身份集中在一個地方,或者至少提供可以打開所有這些身份的單一密鑰。沒錯,從理論上來說,任何這類統一身份可以建立隔離我們身份某些方面的獨立數據桶(bucket),甚至要求得到用戶的明確允許,服務提供商才可以打開其他數據桶。但是你也知道實際情況會怎樣:政府和服務提供商(畢竟他們掏錢了)會要求訪問更廣泛的信息,"以防萬一"。到時,你就無力管理自己向誰表明自己的身份。
就算你能表明身份,也有大量的工作要做。只要想一想很少有人在組織整理電子郵件或地址簿,也很少有人在組織整理鄰居和好友房子的備用鑰匙。別指望使用電腦或智能手機上的隱私設置,無論有沒有這樣的隱私設置。默認情況下,一切信息都可以被利用,就像在Facebook和Google Now上那樣,這些服務提供商正是抓住了用戶喜歡共享的習性。
對于帳戶和密碼太多這個問題,我沒有什么解決辦法。但我知道一點,反正單一身份解決不了問題。
原文地址:http://www.infoworld.com/d/consumerization-of-it/the-dangers-of-single-identity-209184
