【IT168 专稿】随着网络与人们的生活的关系越来越密切，每个人电子身份的数量日益增多起来，但是与之相伴的是危险也呈上升趋势。面对这些，我们该怎么办呢？简单的身份信任架构能帮助解决这个问题吗？人们是否应该减少这些密码的数量？

    过多的电子身份使风险加剧

    一个让我们感到日益烦恼的问题就是，作为互联网用户的我们需要接受以密码为基础的电子身份数量正在迅速地增加。这将给我们的生活带来一种新的危险——身份风险。

    因为据调查，在通常情况下，每个互联网用户拥有的电子身份已经超过了50个。作为普通用户，我们并不善于记住那些独特的密码，所以我们经常会在不同的网站上重复使用同一个密码。

    也许你还不知道，各个网站技术能力参差不齐，并不是每一个网站都能够很好地保护我们的密码。更坏的情况是，我们没有定期改变密码的习惯，这导致我们面临的身份风险日益加剧。

    我们怎样才能有效地管理身份安全，以及与我们身份相关的这么多的密码呢？任由其发展？我们不能那样做，至少，那样做不能保证安全。

    预防身份被盗用的权宜之计

    我们会在不同的网站上提供并分享个人资料。这让一些有犯罪企图的人有了非法窃取他人身份的渠道。他们通过攻击那些安全系数较低的网站来获取我们的电子身份，随后再利用已经获取的身份和密码在不同的网站进行测试，从而获得更多的访问权限。而这些权限仅仅是这些网络罪犯将黑手窃取更多人隐私的工具。

    我们又如何应对黑客的这种偷窃行为呢？通常情况下，很多网站会储存我们信用卡资料，甚至有些网站在用户授权情况下会公开显示用户的信用卡号码。而不显示用户信用卡号码的网站会利用一些产品将这些资料传输备份到其它设备上。不久的将来我们将看到这一过程会实现自动化。

    使用密码短语比单纯的密码要安全很多，即在不同的网站上使用不同的密码短语。我们可以看到，上述方法虽然简单，但与使用单纯的密码进行对比的话，其效果十分明显——电子身份被窃取的风险开始大幅减少。

    即便如此，有个问题也是需要我们注意的：你所使用的密码短语其特征并不明显，甚至是有规律可循。例如，如果一个黑客发现你在Google网站的密码短语是：“mycorepassword?google!”。尽管从密码强弱规律角度来判断这个密码无疑是个强密码，但不可否认的是这个密码只是看起来像是个很强的密码，对于黑客而言，当他了解你Google的密码是这个的时候，猜测你在其它网站，如PayPal的密码简直就是小菜一碟。

    在低风险级别的交易活动中，OpenID*显然是一个比较不错的解决办法。但是遗憾的是在高价值信息交易上，OpenID仍然让绝大多数用户对其安全性能表现出信心不足。在这里，我们只是强调，它不适用于需要高度保密和完整性的交易或活动。由于OpenID对提供者的能力和可信度的过度依赖，OpenID设计本身就不能用来抵御那些有针对性的攻击（例如“中间人攻击”）。

    在身份选择工具方面，微软不落人后——也推出了类似于OpenID的Card Space。这一解决方案在终端防护上可能会发挥比较好的作用。类似于一次性密码（书面形式或电子形式）这样的手段将成为该解决方案的组成部分。

    从发展趋势看，信息的价值越高，其面对的潜在安全风险也就越大。可以对这些高价值且又高风险的信息进行检验的设备，其商业价值自是不言而喻。

    假若要寻找一个一劳永逸的解决办法，这需要与互联网服务提供者（或者是网站所有者）以及身份管理服务提供商（IMSP）进行合作。现在，业内针对电子身份已经制订出了许多有效的安全协议。

    与实际需求相比，这个领域需要有更多的创新，尤其是对人的安全管理方面。值得我们欣慰的是，在这个领域我们已经看到一些创新——让用户能够扮演不同的角色——这些创新或许预示未来发展新方向。下一步将是让这些尝试成为对用户有用的服务。

注：OpenID 是什么？

    OpenID 是一个以用户为中心的数字身份识别框架，它具有开放、分散、自由等特性。

    OpenID 的创建基于这样一个概念：我们可以通过 URI （又叫 URL 或网站地址）来认证一个网站的唯一身份，同理，我们也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心，它为基于URI的用户身份认证提供了广泛的、坚实的基础。

    OpenID 系统的第一部分是身份验证，即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证，这就意味着大家在每个网站都需要注册用户名和密码，即便你使用的是同样的密码。如果使用 OpenID （参见规范），你的网站地址（URI）就是你的用户名，而你的密码安全的存储在一个 OpenID 服务网站上（你可以自己建立一个 OpenID 服务网站，也可以选择一个可信任的 OpenID 服务网站来完成注册）。

    登录一个支持 OpenID 的网站非常简单（即便你是第一次访问这个网站也是一样）。只需要输入你注册好的 OpenID 用户名，然后你登录的网站会跳转到你的 OpenID 服务网站，在你的 OpenID 服务网站输入密码（或者其它需要填写的信息）验证通过后，你会回到登录的网站并且已经成功登录。 OpenID 系统可以应用于所有需要身份验证的地方，既可以应用于单点登录系统，也可以用于共享敏感数据时的身份认证。

    除了一处注册，到处通行以外，OpenID 给所有支持 OpenID 的网站带来了价值－－共享用户资源。用户可以清楚的控制哪些信息可以被共享，例如姓名、地址、电话号码等。

    今天，OpenID 作为以用户为中心的身份验证系统已经为数百万的用户提供了服务。在“I Want My OpenID Bounty” 项目的推动下，许多开源项目都迅速的加入了对 OpenID 的支持。

    身份数量增多实际上只是电子身份诸多问题中的一个，摆在人们面前的问题还有如何对这些身份进行安全地管理。在任何新的电子关系中能够识别哪些参与者是值得信赖的，这是关键的第一步，也是更有效的手段。互联网上首要的问题不是“谁是用户”，而是“我在这次交易中遇到的合作伙伴是否值得信赖？”

    第二个步骤是能够为用户提供一个简单的办法，让他们可以创建独特的用户/供应者的身份（供应者使用特殊的角色）。在用户/供应者身份最初登记过程创建的身份也能很容易被用户识别。在可信的第三方的协助下，利用简单但功能强大的手段公开交换钥匙，不但能提高用户的体验，还可降低系统的整体风险。

    有关角色的例子：

•     我是一个匿名的人。
•     我是一个年满18岁的匿名的人。
•     我是USERNAME（用户名），18岁。
•     我是FULLNAME（全名），18岁。
•     我是FULLNAME（全名），18岁。我的详细地址是……

    以上任何一个角色都可以发起一次金融交易活动。

    因此，对以上提到的每个角色，目前的防护办法都不能让人满意，风险过高根本原因——没有提供足够数量的不同的信任级别可供选择，这超出了现有的OpenID“最低信任”服务的要求。

    在全球范围内，高风险的身份活动，特别是那些涉及金融交易的活动，每天都在发生，它们都被建立在一个假设的基础上：系统用户可以承受数量较小的损失。然而，人们很快发现这是个十足的错误假设，因为没有人希望自己蒙受经济损失，因此交易过程中的损失尽可能地降低，最好是没有损失发生。由于安全状况得到改善后银行是最大受益者，所以他们希望自己可以成为身份管理服务提供者（IMSPs）。

    目前电子身份遇到的问题，其本质是电子身份服务提供商并没有从用户需求出发。在交易过程中，电子身份服务提供商还是从自身角度去考虑问题，“以客户为中心”这一服务理念只是一句空谈。假若服务商真是以用户需求为核心的话，就应该“身份转换”，以换位思考的形式从用户需求出发，让整个交易的过程变得十分方便使用，且交易风险更低。

    从技术发展趋势看，很多与之相关的服务提供商已经开始了这种“身份转换”。用户/供应者身份简易识别的方法已经被人们发明出来，而且这些发明者们正在致力于研发出在用户和供应者之间建立起一个可信链条。这将有效避免那些假借用户或者供应者身份的第三方（中间人欺骗黑客技术）的存在。在未来，IMSPs可能不仅可以对此进行完善并且还能够提供额外的服务，例如，让每个用户在每个网站都有属于自己的独特的电子邮件地址。

    需要做到以下四个基本组成部分：

•     •以同样的方式要求服务提供者和用户；
•     •研发出易于使用的基于开放标准的基础设施；
•     •能够提供简单角色选择并可被广泛理解和信任的架构；
•     •对可信双方进行跟踪的可靠的手段。

    如果我们共同努力，我们就一定能够实现这一目标。