天涯、CSDN、⽀付宝、银⾏、⼴东出⼊境管理局、⽤户⾝份、密码泄露有不断蔓延的趋势,好像⼀夜之间,互联⽹服务千疮百孔,不堪⼀击。
脆弱不是⼀天形成的,堤坝不是⼀夜倒塌的,当风险意识和信息安全成为业务发展的噱头,只是卖点,那么这⼀切的悲剧早已注定。⼀个⽤户,可能不了解⼀个账号、⼀个⾝份、⼀个密码的价值和意义,但是如果从业者同样⽆知者⽆畏,⼀⾯不顾⼀切的疯狂的获取⽤户的隐私,⼀⾯为了业务的发展,对信息的保护置若罔闻。那么,这⼀场悲剧必将是⼀种必然。
有⼏个概念要好好的聊⼀聊,⾸先是标识,既怎么样来唯⼀确认⼀个实体,像⾝份证号码,在中华⼈民共和国境内,它是识别⼀个公民的唯⼀标识。同样,每⼀个⽹站也都会有⼀个唯⼀的标识来识别⽤户,这个标识⼀般是邮箱,也可以是不冲突的昵称。 第⼆个概念是⾝份,⼀个标识只是⼀个符号,意义有限,⼀个标识⼀旦有了属性,这个属性和标识就⼀起构成了⾝份,像⼀个⾝份证号码,就会有姓名、性别、出⽣⽇期、地址等⼀系列属性信息。这些属性信息与标识⼀起构成了⾝份,同理,像驾驶证、护照等同样是基于标识与属性的⾝份。在互联⽹的虚拟空间⾥,⾝份就是⽹站定义的标识和属性,这些标识和属性千奇百怪,⼤多毫⽆章法,只是⼈云亦云的照搬、照抄⼀些属性信息⽽已。⾝份涉及到标识和属性,就会涉及到标识和属性的有效性问题,⾝份证 徐光胜
标识和属性的有效性来源于公安局,公安局通过⼀系列的甄别、审核、跟踪、追溯机制确认⼀个⼈的标识和属性的正确性,因此可以说这个⾝份是真实⾝份。驾驶证、护照的⾝份源⾃于⾝份证,因此承载的和⾝份证相同属性信息来⾃于⾝份证,⽽其他属性则需要同样的甄别、审核、跟踪、追溯。互联⽹的⾝份⼀般源⾃于⽹站,因此,其标识和属性都来⾃于⽤户与⽹站的协商,⽹站并不承担标识和属性的真实性甄别、审核、跟踪与追溯,因此互联⽹也可以称之为匿名社会,是基于虚拟⾝份的虚拟空间,⾝份既不能互通,⼀般也得不到认可,这是⼀个⽆序⽽噪杂,当然也充满着创意与活⼒的虚拟社会。
伊妹儿影院第三个概念是认证,既如何判断⼀个标识持有者拥有标识对应的⾝份,我们判断⼀个⼈的⾝份,需要查验⾝份证和持证⼈的属性特征,当⼀个⼈⾯貌和⾝份证的照⽚属性对应后,既可以识别⼀个⼈。同理,在互联⽹环境中,⼀个⼈的密码即代表⼀个⼈⾝份的⼀个属性,通过这个属性的校验既可以认证⼀个互联⽹⾝份。这个识别的过程就是认证。
第四个概念是凭证,既认证过程中需要校验的⾝份属性,在⾝份证中这个凭证就是这张脸,⼀个可以⾁眼识别的⽣物特征,在互联⽹中⼀般⽽⾔这个属性就是我们常说的密码。
第五个概念是⾝份服务,⾝份服务是基于⾝份的基础可以从事和参与的活动,像住宾馆、坐飞机和动车就需要⼀个有效的⾝份,这也是⾝份可以提供的服务,同样你⽤这个⾝份可以登录哪⼀个⽹站,也是⾝份服务,像⽬前可以⽤新浪微博账号登录很多⽹站,即是新浪基于⾝份提供的⾝份服务。
语文天地网DML了解了⼏个基本概念,我们也可以了解这⼏起看似相同的案例背后有如何的不同,⾸先,天涯、CSDN泄露的是包括标识、属性、凭证的⽤户⾝份,问题要严重得多,⾝份的关键要素完全泄露,就可以肆意的仿冒⽤户,为所欲为。⽀付宝、银⾏泄露的是标识以及⼀些属性,不过没有凭证,相对⽽⾔,对⽤户的伤害是有限的。⼴东省出⼊境管理局泄露的信息,虽然没有凭证,但是却有⾝份服务的完整记录,这个泄露,对⽤户造成的更多的是隐私的困扰。
弧面凸轮在了解基本概念过程中,我们的界限是线上与线下,为了更好地理解,做了些对⽐,但是随着信息社会的迅猛发展,随着公共服务开通线上服务,线上线下的概念逐渐模糊,但是,⼈们对⾝份的概念仍停留在单纯的线上和线下,理解上存在差异,技术上存在着缺陷,才是导致这种现象频现的根本原因。只有详细分析存在的挑战,确定问题的核⼼,才能⼀劳永逸的解决上述问题,否则,只是头疼医头脚疼医脚的临时性解决⽅案,于事⽆补。
线上线下融合过程中的⼀个核⼼特征是线上⾝份线下⾝份的整合,有两种情况,⼀是线下服务的线上迁移,例如,⽹上银⾏。
⼀是线上服务⾃⾝的演进,有两来源,⼀是实名制的需求,例如新浪微博,⼀是服务的需求,例如⽀付宝。线上线下⾝份的整合带来的问题主要是,如何实现线下⾝份的鉴别,线上线下⾝份的绑定,以及线下、线上⾝份绑定后的⾝份认证。线下服务的线上迁移涉及到⽹点的线下认证,可以解决线下⾝
份鉴别的问题,⽹上银⾏的USB Key可以提⾼⾝份认证的强度。线上服务⾃⾝的演进往往带来了混乱,⾸先是缺乏线下⾝份的鉴别⼿段,通过⾝份证扫描上传,视频⼈⼯校验是⼀种⽅法,成本不菲,只是电⼦商务⼤站的⽅法,普通⽹站对这个环节的处理是五花⼋门,缺少规范,也缺少⼿段,对于整合后的⾝份认证往往仍是基于原有的⽤户名和密码。
线上线下融合的特征带来的风险⽐单纯的线上密码泄露风险要多得多,⾸先是线下⾝份属性暴漏的风险,基于互联⽹的匿名服务模式在线上线下⾝份融合的过程中并未升级⾝份认证的⼿段,基于⽤户名、密码的⾝份认证⽅式安全系数最低,在密码泄漏后,就会到来线下⾝份属性的暴漏。
其次是⾝份服务记录暴漏的风险,线下⾝份属性的服务记录具有分散性或⽆记录的特点,记录的不可获得性⽐较⾼,⽽线下线上⾝份的融合带来的是线下⾝份线上服务记录的可获得性提⾼,基于线下线上⾝份融合带来的⽤户⾝份服务记录的暴漏将会直接影响⽤户的真实⽣活。
(未完待续)湖南假烟团伙被端
