我有两张身/份/证，一张证明我是谁，另一张证明谁是我

Posted 2020-11-06

作者 | 张戈 （公众号ID：TechECR）

我有两张身/份/证，一张常年躺在钱包里，乘飞机、住酒店时出示一下，证明我是谁。我还有一张身/份/证，它是我的指纹、眼睛和大脑，我以我的记忆和特征向管理员证明，网络对面不是一只狗，我就是我，颜色不一样的水果，不能谁都是我。

何为网络身份认证？

我的另一张身/份/证就是网络身份认证。1400年前，唐僧路过女儿国，就希望在通关文牒上盖个章，但差点被留下压寨；40年前，出差必须有介绍信，否则就露宿街头；20年前，我有了身/份/证，成为了有身份的人；现在，网络身份认证也将成为我在虚拟世界中的户口本、身/份/证。

为何要进行网络身份认证？因为它是我在虚拟世界中的一面镜子，约束我在网络上也不能胡说八道，任何谣言都将被追溯。当然，网络身份认证也是对我的一种保护，身份信息不被泄露，可保护我不被推销、诈骗电话骚扰。

然而现实却并非如此，2018年，Facebook爆出“泄露门”事件，Facebook市值在两夜间蒸发500亿美元，扎克伯克也因此接受了美国国会44名参议员的一连串尖锐拷问。例如，“我是不是要给你钱，你才能不泄露我的个人信息？”，还有“你知道，你的用户协议烂透了吗？”

但更重要的是，在未经用户同意的情况下，剑桥分析公司利用在Facebook上获得的用户个人资料数据创建档案，并在2016总统大选期间，针对这些人进行定向宣传，这直接动摇了美国的政治体制。

无独有偶，韩国网站Nate和社交网站“赛我网”遭到黑客攻击，约3500万用户的姓名、电话、邮件和×××号码外泄。由信息泄露带来的垃圾邮件、诈骗电话泛滥成灾，韩国“网络实名制”也由此陷入存废之争。

可信身份是安全的基础

言归正传，Facebook和Nate事件至少说明四点：其一，网络身份并不虚拟，打游戏还需实名注册，何况投票选举；其二，大型企业也不靠谱，同样存在身份数据泄露风险；其三，身份数据很值钱，这一点黑客比我们认知更早；其四，不注重用户隐私保护，将导致企业信任度下降。

对此，在安全圈顶级会议——C3安全峰会期间，记者与身份安全技术大咖进行了深入沟通。亚信安全副总裁陆光明谈到，“可信身份体系将成为网络空间安全的基础。”同时，其从应用角度进一步表示，不同的应用场景对身份认证的强弱度也有不同要求。例如，邮箱登录最简单，只需用户名和密码；微信公众平台登录就复杂一重，还需要手机扫描二维码。

此外，一旦涉及到“钱”，身份认证级别都很高。相关规定，网络银行转账5万元以上，需求增加电子签名或认证证书。当然，土豪的网络身份认证待遇还要更高一些，转账20万以上，要增加人脸识别，而且是动态人脸识别。在摄像头前边左转300，右转500，生怕黑客以照片冒充你的网络身份。

多因素身份验证

由此可见，没有身份安全就没有财产安全，没有网络身份认证也就没有社会诚信。而在技术层面如何解决？通常而言，身份验证技术是以“我”为中心构建了技术体系，主要包括如下三类：

我的特征：指纹识别、人脸识别、指静脉识别；

我所知道：静态密码、手势密码；

我所拥有：短信验证码、矩阵卡、数字证书、动态令牌等。

当然，上述技术体系各有优缺点。其中，短信验证码易被劫持，美国安全标准委员会已将短信验证码淘汰出安全认证手段列表；静态验证码、手势密码需要记忆，牢记多重密码臣妾真的做不到，用户使用体验不好；而Usbkey一般为外置设备，携带不方便、怕丢失，设备成本也较高。

既然各有优缺点，就相互取长补短综合应用。电影《风语者》中，日军总能破译美军密电码，为了改变这种局面，29名印第安纳瓦霍族人被征召入伍，因为他们的语言没有外族人能够听懂。这就是现在网络身份认证的技术趋势，“密码+瓦霍族语言”的多重组成，专业术语为多因素身份认证。

对此，陆光明表示，目前单一的身份认证技术只能解决特定场景的认证需求，且传统的认证能力也存在较大的安全隐患、用户体验不佳、应用成本高等问题。陆光明说：“由此，身份认证技术正在从单维度，向多维度发展；从“你所知道+你所拥有”，向“你的特征+你有拥有”方向发展。换句话说，黑客也不是无本万利，一切变化技术变化都是以增加黑客攻击难度与攻击成本为目的。”

分散的身份安全体系

当然，三分技术、七分管理。目前，互联网、运营商、金融、政府等，都在各自建立网络身份认证体系，但从管理角度看，独立身份认证管理的不同信任域，也存在明显的缺陷。例如，每个网络应用系统都各自为政，使用自己的认证体系，账号无法互信互认，身份认证服务互不相通；应用系统都独立管理用户信息，个人数据信息泄露风险严重；用户使用不同系统必须重复登录，记忆维护众多账户负担沉重；为便于记忆，众多账号常设置相同口令，易遭受撞库攻击。

由此现状，我国正在以“互联网+政务”为契机，建立国家统一身份认证系统。对此，陆光明表示，国家统一身份认证系统将成为中国网络空间的核心基础设施之一。该系统通过建立后端权威、前端可信的认证体系，实现自然人和法人的“一地注册、各地互认”和“一次认证、全网通办”，落地“让数据多跑路，让群众少跑腿”。用户只要通过简单的步骤，就可以实现政务服务的办理全国通行，大大减轻之前用户多账号、复重登录、异地办理困难等负担与问题。

陆光明最后提到：“随着线上线下的不断融合，越来越多现实中的行为和场景都将折射到网络世界中，为网络安全带来新的挑战；网络空间的有序发展离不开可信的身份体系，可信身份体系的建设也将成为我们每个公民网络安全保障的重要基础设施。打造可信身份认证体系，需要政府、各行业企业、网络服务提供商，以及网民的共同参与，很高兴亚信安全能够参与其中，国家可信身份认证系统的建成，将成为每个网络安全人的责任。”

• END -

作者简介：TechECR，关注科技企业生态体系建设，这里有思考、有观点；有点头咂嘴，也有会心一笑。创始人：张戈，曾任《商业伙伴》、《电脑商报》副总编，不码字，不写稿子、只输出有质感的文章。以生态合作为视角，研究IT产业18年，常年保持对ICT企业、IT方案商、IT渠道商保持高频度采访。合作联系：[email protected]