Интернет широко используется во всем мире уже более двадцати лет, но нам все еще не хватает адекватных методов и систем для проверки личности людей в режиме онлайн. Многие эксперты высказали свои мысли о неадекватности пользовательских паролей для проверки личности. Они отмечают, что пользователи часто создают слабые пароли. Пользователи часто теряют пароли, требуя системы резервного копирования, которая сама по себе менее безопасна, чем надежный пароль, и более подвержена социальной инженерии. Кроме того, пользователи часто используют один и тот же пароль для нескольких учетных записей. Эксперты также указывают на многочисленные утечки данных в последние годы в качестве доказательства отсутствия достаточной безопасности вокруг защиты паролей пользователей на корпоративных и правительственных серверах.
Несмотря на годы международных конференций, посвященных вопросам, связанным с проблемой цифровой идентичности, ни одно решение не получило широкого распространения. Трудность в достижении универсального решения вращается вокруг трех факторов, которые имеют решающее значение для хорошо продуманной системы цифровой идентичности: доверие, суверенитет и инклюзивность.
Чтобы пользователи могли доверять компаниям и правительствам свои "цифровые Я ", пользователи должны быть уверены, что эти организации обеспечат три вещи: безопасность, конфиденциальность и подотчетность. Доверие не может возникнуть, пока компании и правительства продолжают сталкиваться с многочисленными скандалами и утечками данных.
В последние годы произошли сотни крупных утечек данных. По оценкам, за это время было скомпрометировано в общей сложности около 4,5 миллиардов идентификационных записей.В дополнение к непреднамеренной потере данных многие компании намеренно привлекают персональные данные пользователей для получения прибыли. Facebook, пожалуй, самый яркий пример этого, с ежемесячными скандалами, поскольку пользователи получают новое представление об использовании своих данных. Недавно в Европейском Союзе были приняты законы, которые возлагают на компании ответственность за то, как они собирают и обрабатывают персональные данные.
Второе требование к хорошо разработанной системе цифровой идентичности, упомянутое выше,-это суверенитет идентичности. Идентичность-это признание человека как уникальной личности в обществе. Суверенитет цифровой идентичности означает предоставление индивидам контроля над их собственной цифровой идентичностью, включая возможность решать, кто может собирать и получать доступ к их личной информации и для каких целей.Суверенитет идентичности необходим для обеспечения права человека на частную жизнь, потому что нельзя иметь частную жизнь, если все то, что может быть известно о нем, уже известно и контролируется кем-то другим.
Хотя идентичность признается международным правом в качестве основного права человека, многие правительства все еще находятся под противоречивым впечатлением, что они имеют право контролировать личность человека посредством выдачи "идентификационных документов", таких как водительские права, карты социального страхования или биометрические записи. Очевидно, что это дает правительствам право нарушать международное право, просто отказываясь выдавать такие идентификационные документы. Поэтому для соблюдения международного права правительства должны признать право на индивидуальный суверенитет цифровой идентичности.
Последнее требование к хорошо разработанной системе цифровой идентичности, цифровая инклюзия, означает способность каждого в обществе приобретать навыки и доступ к онлайн-системам для транзакций, связанных с поддержанием и проверкой их цифровой идентичности. Эти транзакции могут включать покупку товаров, проверку банковских балансов, обращение за государственной помощью, голосование на выборах и многое другое. Развитие навыков требует образования и обучения. Доступ требует программ для бедных людей, которые не могут позволить себе платить за подключение к Интернету, компьютеры и программное обеспечение .
Теперь, когда мы обсудили общие принципы, которые важны для проблемы идентичности, давайте обобщим несколько конкретных решений, которые доступны сегодня. Они включают Keybase, ZeroID, ZeroVerse, Sakia, Onename (теперь Blockchain Name System), IBM Blockchain Trusted Identity, Namecoin, OpenID, idcoin и Stampery. Многие из них используют технологию blockchain для обеспечения децентрализованного контроля над публичным списком; таким образом, обеспечивая индивидуальный цифровой суверенитет.
Stampery использует технологию blockchain для хранения зашифрованных данных. Stampery используется в эстонской идентификационной карточке электронного резидентства. Эстония является первой страной, которая предлагает идентификационную карту для использования в создании и управлении независимой от местоположения эстонской компанией онлайн. Это означает, что человек может подать заявку на право создания виртуальной копии и сделать все через Интернет, что необходимо для его повседневного функционирования, включая безопасную передачу юридических документов, ведение электронного банкинга и легальное цифровое подписание документов и контрактов. Граждане Эстонии могут голосовать в режиме онлайн с помощью карт e-Residency. Программа e-Residency была временно приостановлена в 2017 году из-за серьезного недостатка безопасности, который мог привести к краже личных данных. Владельцы просто должны были обновить новый сертификат безопасности, чтобы защитить свои карты.
ZeroID и ZeroVerse используются для проверки личности пользователей в ZeroNet, децентрализованной одноранговой сети, которая размещает коллекцию веб-сайтов на компьютерах пользователей, а не на центральных серверах. Несмотря на то, что ZeroNet децентрализован, ZeroID и ZeroVerse не децентрализованы. ZeroID использует открытые и закрытые ключи вместо паролей. Кроме этого, не так много информации доступно.
OpenID-это протокол аутентификации, который основан на передаче сообщений JSON на центральный сервер и с него по протоколу HTTP.
Namecoin похож на биткойн, но он может хранить данные в своей децентрализованной базе данных blockchain. Namecoin имеет множество применений, включая управление идентичностями.
Onename использует протокол Namecoin для хранения имен пользователей и персональных данных в блокчейне Namecoin.
Keybase-это приложение с открытым исходным кодом, которое можно использовать для безопасного хранения личной информации, чата и обмена файлами. Он использует пару открытых/закрытых ключей для шифрования.
Если так много экспертов согласны с тем, что системы, основанные на паролях, уступают другим доступным системам идентификации, которые обсуждались выше, почему мы все еще используем системы, основанные на паролях? Сравнивая системы, основанные на паролях, с другими системами, мы должны говорить о трех вещах: удобстве использования, развертываемости и безопасности. Юзабилити относится к простоте использования системы с точки зрения пользователя. Возможность развертывания относится к стоимости/сложности настройки инфраструктуры системы для используемого метода. Безопасность относится к уровню сложности, связанной с получением доступа к личным данным неавторизованным пользователем. Есть много деталей, связанных с каждым из этих вопросов, которые выходят за рамки этой статьи, но заинтересованные читатели могут найти их обсуждение в документе, который можно загрузить здесь. Хотя сравнение использования систем, основанных на паролях, с использованием других систем является сложной задачей, ясно, что надежные системы, основанные на паролях, в некоторых только что упомянутых отношениях лучше, чем другие системы цифровой идентификации, а в других-хуже. Окончательное решение проблемы идентификации, если она существует, может заключаться в использовании нескольких факторов, точно так же, как мы уже начали видеть использование паролей в сочетании с методами аутентификации второго фактора.
В настоящее время, по-видимому, существует множество объяснений медленной эволюции систем цифровой идентичности. Одна из них заключается в том, что правительство ищет бизнес для внедрения систем цифровой идентификации, а бизнес ищет правительство. Другая проблема заключается в том, что единый оптимальный стандарт или их небольшое количество не были согласованы. Ещё одна проблема заключается в том, что интересы отдельных пользователей не обязательно совпадают с интересами правительств и бизнеса. Например, в то время как человек может хотеть иметь цифровую идентичность, которая защищает его личную информацию и находится под его контролем, правительства могут захотеть контролировать, а такие организации, как Facebook, могут захотеть получить доступ к данным пользователей без разрешения пользователей. Несмотря на эти конфликты интересов, похоже, что системы цифровой идентификации, не основанные на паролях, будут продолжать изобретаться. Вопрос только в том, чьи интересы они будут защищать?