互联网身份的问题
很久没有更新博客了,笔者最近系统的了解了一些网络社区的动态,这些社区都是关于互联网身份的。基于这些了解,我约莫有个宏大的观点: 那就是自主身份(英文Self-Sovereign Idengity, 可简写为SSI)将必然逐渐代替目前互联网上常用的身份机制,我们应该做点什么来迎接和促进这个过程。 千里之行,始于足下,目前想写一系列关于自主身份的文章,和感兴趣的读者探讨。
和任何广告一样,先得贩卖焦虑:今天这一开篇的内容,就说一说目前互联网身份的问题。本文主要内容来自一本书,是 manning 出版的 ,书名就叫“Self-Sovereign Idengity”,副标题是“Decentralized digital identity and verifiable credentials”。 主要作者有两位,Alex Preukschat和Drummond Reed。
微软有个身份架构师叫 Kim Cameron,2005年就在他的 博客 上说
“互联网的构建,缺失了一个身份层” (The Internet was built without an identity layer)
并且给出了一个断言:
“互联网是如此构建的:我们没有办法确定连接的是谁或者什么。这就限制了我们可以做的事情并且将我们暴露于巨大的风险之中。如果我们 什么都不做,我们很快会被快速增殖的偷窃和欺诈的事件所累,这会导致在互联网上逐渐失去了信任。”
实际上,Kim Cameron说的是上世纪60和70年代,由美国国防部赞助的互联网刚刚开发出来的时候,主要要解决的问题是”机器间”的通信: 让机器互联起来,并共享不同网络上的信息。那么TCP/IP协议的设计,就只考虑到机器的层面,无法知道机器后面的人、组织或者是事物。
这个问题看起来很容易解决,人、组织构建了互联网,并且控制所有的联网的事物,那么,把机器和人、组织、事物关联起来,应该非常容易才对。
答案是:非常非常难。
为什么?
简而言之,初始的互联网规模很小,主要是由学术机构的计算机科学家来使用这个网络。他们互相熟知,需要访问非常昂贵的机器,还需要 及其精巧的技能来参与协作。那么在那种小俱乐部情况下,没有识别机器背后的主体问题。
毋庸置疑,事情很快发生了变化,现在有数十亿的人和设备在互联网上,互相之间大都是陌生人。在这种情况下,一个不幸的事实是有很多很多的 人总是想欺骗你:网络的另一端,你在和谁打交道?身份问题是网络犯罪的主要源头之一。
问题有多严重呢?
- 2017年,平均每个人需要191个密码来访问互联网上的服务,导致密码管理变成了糟糕的用户体验之一。
- IBM 的CEO Ginni Rometty 说网络犯罪是每个职业、每个行业、和每个公司的最大威胁。
- 全球的网络犯罪,在2021年预计产生6万亿美元的损失
- 90%的美国消费者相信他们的个人信息被不同的组织滥用
- 2016年,30亿Yahoo帐号泄漏
- 80%的黑客活动是由于用户的密码被破解
- Equifax被黑让这家公司多花40亿美元
书上内容说完了,抛开这些冷冰冰的数字,作为网民,我们其实对身份问题也是有切肤之痛的:
- 帐号被盗:身份被冒用
- 骚扰诈骗电话:个人信息泄漏
- 平台可任意控制用户的帐号和内容:个人没有帐号和内容的控制权
- 谣言、水军:虚假或机器人帐号
焦虑贩卖得差不多了,作为读者的你,什么感觉?欢迎讨论。