10月19日消息,據TechCrunch報道,通常來說,身份是很難丟失的東西。但當我今年早些時候徒步穿越亞洲和非洲時護照被盜後,我體驗到了身份失竊帶來的一系列後果。獲得新護照的繁文縟節讓我看到了當今身份管理系統究竟有多麼糟糕!
用區塊鏈做網絡身份證,能讓上網更方便更安全嗎
幸運的是,技術正處於身份認同領域發生重大轉變的風口浪尖上。區塊鏈技術(Blockchain)將爲這個領域帶來革命性的變化,但許多問題仍然沒有答案。公司、政府機構以及非政府組織都在嘗試各種各樣的辦法來解決這個問題,但它們都將對我們的生活方式產生深遠影響。
他們的承諾是,我們的身份將被整合,以便我們自己能夠完全控制誰來訪問這些信息。這將保護我們免受日益複雜的欺詐和盜竊威脅。此外,它還將爲脫離網絡的“金字塔底部”羣體創造前所未有的機遇。想象一下,跨越任何邊界,享受任何服務的資格,立即訪問你的資金和帳戶,所有這一切只需要一個簡單的數字ID即可。
追蹤分散的數字簽名
我們今天做的每件事幾乎都會留下越來越多的數字簽名。然而,這個簽名分散在不同的服務中,比如通過智能手機的GPS捕獲上下班數據,通過銀行和信用卡記錄收集購物數據,通過文本和電子郵件瞭解我們的想法等。
這些該數據有兩個特點:廣泛分散和狹義分割。它分散在不同的服務中,擁有我們身份的不同碎片。社交網絡(如Facebook)可能擁有我們的關係架構,而電子商務平臺(如亞馬遜)可能擁有我們的購買歷史和偏好。在一定程度上,Facebook、亞馬遜這些企業的商業模式就建立對我們的數據擁有所有權的基礎上。同時這些數據也被分割開來,每個部分都與該方提供的創收服務密切相關。
雖然違反直覺,但現實就是我們並不真正擁有自己,至少在數字意義上。雖然我們可以編輯自己創建的概要文件,但第三方最終擁有我們的數據;而且要奪回數據的控制權,過程可能是痛苦的,很多時候甚至是不可能的。想象一下,如果你想要努力維持個人關係,那就不能刪除所有的社交網絡賬戶。而如果沒有信用記錄,可能就無法享受分期付款的待遇。
爲什麼這很重要?首先,正如傑倫·拉尼爾(Jaron Lanier)在《誰擁有未來》(Who Owns the Future)中寫道的那樣:“你可能不瞭解谷歌、Facebook、保險公司或金融實體如何計算你的相關性,但這些數據的確在影響着你在網絡世界中的生活。”拉尼爾稱這些服務爲警報服務器,他還指出,我們對於放棄個人數據以換取便利性方面,似乎已經習以爲常。
然而,這一模式影響令人感到擔憂:
1.我們沒有控制權。每項服務都有抽象的模型,它們瞭解你的構成因素。這些信息可以在未經你同意的情況下買賣,也很容易被竊走。這種設置很方便,但也很危險。
2.分割效率低下。如果所有這些數據存儲庫相互作用良好呢?例如,如果你的護照、駕照、銀行和電子郵件都被整合起來,你可以進行國際旅行,確保你的信用卡安全,收到精心選擇的推薦信,並提醒人們你的行蹤,而不需要你做任何工作。你可以防止身份被盜用,也可以四處走動而無需帶身份證。
3.我們所做的大部分工作都沒有好處。這是拉尼爾的主要論點。如前所述,如果谷歌搜索之類的服務是免費的,那是因爲我們不是客戶,而是產品。就像Uber司機介於僱員和承包商之間的灰色地帶那樣,我們的行爲有點兒像亞馬遜和Facebook的員工,但他們只是爲了獲得便利而放棄數據,而不是付費。
如果你要查看完整的自我數字模型,你會發現它是一個複雜的關係網絡。網絡最細微的部分就是節點,每個節點代表不同的操作行爲(文本、自拍、購物等)。這些節點之間的連接是推斷關係、記錄模式和預測行爲的公式。如果你將其放大,會看到特定服務的子網(Instagram賬戶、國土安全部檔案、醫療歷史等)。然後,這些子網連接在一起形成更大的網絡,這就是你的數字身份。
要想重新收回你的數字身份控制權,有兩個關鍵步驟:1)建立節點的所有權,這樣你就可以自己決定是否允許第三方服務訪問它們。2)將這些節點整合到同一個地方,這樣你的數字身份就不會再被“封閉的花園”隔離得支離破碎。
正如羅恩·米勒(Ron Miller)寫道的那樣:“問題在於,如果我們的身份在區塊鏈上,它會讓我們更多控制這些信息,並且通過適當的應用程序,我們只需要很少的信息量就可以讓服務方確認我們的身份。這些信息可能是你的生的日期、在銀行的信用評分,或者是訪問在線服務的唯一標識符。
這很重要嗎?爲什麼獲取便利就要犧牲主權?
當人們的身份受到破壞時,他們往往只關心身份管理。在我寫這篇文章的時候,Equifax遭受了該公司歷史上最大規模的數據泄露事件,雅虎數據泄露的賬戶估計已上升至30億個。已經有足夠多的類似事件發生,但我希望指出的是,這些都足以呼籲人們關注自主權身份。
主權人(sovereign individual)的概念是應該完全控制數字自我的人。在向第三方提供數據信息的時候,你必須能夠獲得好處:比如出示護照跨出國界,出示醫療記錄以便找到新的醫生,出示犯罪歷史記錄以通過背景調查等。但出示這些數據必須獲得你的允許,沒有你的同意第三方無法使用。唯一擁有客戶數據的人應該是客戶本人。
Equifax數據泄露事件凸顯了主權的重要性:在我們這個不得不將信用記錄交給第三方的系統中,它們被使用或丟失可能導致我們被徹底曝光。這些例證囊括了瑣碎事物到改變生活的大事件:如果你忘記密碼,必須重新設置密碼(很簡單);黑客在社交媒體上冒充你(令人惱火);有人偷了你的SSN(social security number),並以你的名義在信用卡上違約(嚴重);國家監視、追蹤和逮捕潛在的持不同政見者(改變生活的大事件)。
解決這個問題的方法有很多種。密碼管理器(例如LastPass)試圖合併數字接入點以限制暴露的風險。這些服務增強了現有的範例,它們可以使用API訪問數據,但訪問仍然由第三方控制。電子護照(如DHS推出的)使用生物特徵識別,但生物識別ID也像數據那樣容易被破解,並且帶來更多的複雜性和故障點。如今,許多金融服務提供雙重身份認證,但就像反覆出現的那樣,它也很容易受到攻擊。
這些解決方案都不能完全保護我們。那麼,我們需要什麼樣的解決方案呢?
年度萬靈藥:區塊鏈
在2017年,區塊鏈成爲一個水晶球:從新興企業到老牌公司再到中央銀行,每個人似乎都在關注它,並在尋找自己未來的商業模式。但對於區塊鏈技術的革命性潛力各方意見不一;有人把它比作上世紀90年代早期的互聯網,其他人則將其比作“大數據”,即經常使用但不太理解。
在當前這個時代,我們越來越依賴於我們的數字身份來來開放獲取和參與現代經濟,我們也越來越容易受到複雜的數據竊取和模仿,理想的解決方案是什麼?
1.不依賴第三方。即使冒着徒勞無功的風險,我們最終也要控制自己的身份接入點。區塊鏈的分散式結構沿着這個方向邁出了很好的第一步,它還需要個人身份驗證方法作爲第二步。這可能有多種形式:生物識別、可信備份連接(朋友和家庭)或交叉引用個人身份識別知識等。
2.同態加密。區塊鏈的一個突破性特點就是它無需任何專業知識就可以使用管理數據。這允許用戶公開其對某些認證的所有權,並允許在不泄露包含在其中的信息的情況下授予訪問權。這種加密方式目的在於,當數據被散列時,終端服務可以驗證身份。例如,假設一家銀行對你進行信用檢查,它只以加密的形式處理你的信用歷史數據,這樣即使數據被盜也不會產生影響。
3.合併成一個真實記錄。你所有的身份信息都應該放在同一個地方,這在重要的區塊鏈革命中被很好地概括了:“如果‘虛擬的你’實際上被你所擁有,並且“生活”在你身份的黑盒子裏,這樣你就可以只顯示你所需要的東西,進行最恰當的授權。”爲了接近真實世界,你的整個數字身份都可以儲存在一個錢包裏。
對於區塊鏈和數字身份來說,我們仍處於第一個行動階段早期。這項技術的許多承諾尚未經過檢驗。在開發良好的身份管理解決方案時,有可能會出現一些痛苦的學習曲線,包括黑客攻擊和損失。但是,我們越來越多地與數字簽名聯繫起來,並且承諾能夠鞏固和保護這些簽名,以免被第三方利用。這是非常重要的,不容忽視。
革命:全球協議和統一的身份
未來的世界將與今天大不相同。7年前,作爲一名本科生,我寫了一份關於範式轉變的文章,內容是“把所有東西都整合到統一的錢包裏”。2年前,麻省理工學院斯隆商學院的數字化和創業學教授克裏斯蒂安·卡特利尼(Christian Catalini)的一次非正式演講,啓發我將更廣泛的區塊鏈技術作爲所有個人數據的中心訪問點。如今,這一願景正開始成爲現實。
世界銀行以及聯合國等機構最近宣佈了ID4D倡議,以幫助世界上約11億無法獲得基本服務的人,因爲他們缺乏證明自己身份的方法。去年,印度政府推出了一項國民身份制度,利用生物識別系統將人們納入“服務網絡”。
像ObjectTech這樣的公司正在試行項目,以推動一項日益重要的人權,即身份權。作爲ObjectTech項目的一部分,目前正在迪拜進行試點,參與者將得到一個身份,他們可以使用該身份來跨越國界或開設銀行賬戶。這就是Vinny Lingham所說的“馬斯克的遞歸創新戰略”:建立性感、有用的消費產品(像特斯拉那樣),然後使用這款產品來驅動真正的變化(如能源獨立)。
想象一下,在這樣一個世界裏,難民危機被消除了,因爲鄰國可以在甄別出罪犯和潛在罪犯的同時,也能識別出“良好公民”。這將是一個沒有關於政治避難、邊境牆或旅行禁令等針織爭論的世界,勞動力可以在全球範圍內自由流動,你的數字身份可以充當工作簽證,這樣你就可以跨越邊界去工作而不用麻煩了。將來,“人們的生活完全由他們出生的地方決定”將成爲荒謬之言。
冰島最近成爲第一個讓公民完全控制自己醫療記錄的國家。在美國,這是一個長期存在的問題。通過區塊鏈儲存和授權許可,你可以在世界任何地方旅行,可以獲得醫療保健,獲得拯救生命的處方,免費獲得的過敏信息等等。包括uPort和微軟在內的公司財團最近宣佈,成立所謂的“分散式身份認證基金會(DIF)”。DIF的一個目標是爲身份驗證創建通用協議,類似於金融交易的全球標準,或者超越國界的DNS協議。如果成功,這種協作將有助於主權身份系統避免互聯網中的主要陷阱,即信息在“封閉的花園”中被狹隘地分割。
最後,即使在分散的世界,正如Charles Race所指出的那樣:“一個可信任的實體需要建立一些法律和可強制執行的規則,它們需要方便普通人安全使用,需要讓人們和服務供應商信服,進而採用和信任這種機制,找到一個經濟可行的商業模式。”從定義上說,這必須是由政府、公司、非營利組織和個人共同協作完成的。
未來正在迅速發展,並將在金字塔的頂部和底部開啓以前不可想象的訪問水平和機會。我們所能預測的是,當個體的身份控制被恢復時,它將與過去截然不同。