法规将创新推向互联网的身份层

安全社区经常指出,Internet上固有缺乏加密层,这是许多相关威胁向量背后的因素。网络的分散性已经促使其无处不在,也使其成为犯罪和欺诈的媒介。尤其是因为我们无法知道我们是否’将信息发送给错误的人,或者我们收到的信息是否来自我们认为的来源。

互联网本身是通过多种内容和上下文以及缺乏信任来体验的 数字身份 不仅影响内容所有者,谁想控制谁消费内容,而且还对数字和物理经济产生溢出效应。身份所有者,证书颁发者和证书验证者都在没有身份生态的情况下运行。

如果我们不能相信数据本身的潜在来源和完整性,即使是最强大的加密算法也不会带来什么好处。尽管存在垃圾邮件,俄罗斯巨魔操纵选举,在线身份盗用以及其他犯罪手段的问题–无论是在网络犯罪分子还是国家行为者的手中–令人生畏的是,最终将使身份层成为现实的工作正在取得进展。

将身份带入第八大陆

OpenID基金会的Nat Sakimura在最近于东京举行的以身份为主题的安全事件中的演讲中很好地证明了身份问题的严重性。他将虚拟世界描述为由多个国家/地区组成的“第八大洲”,例如微信(中国),苹果教会,谷歌共和国和GSMA联合会。

考虑到虚拟世界在日常生活中扮演的重要角色以及世界的经济引擎,第八大陆的想法很有意义。作为其经济活力的一个例子,Sakimura强调了从2011年到2017年这五年的数据,其中日本企业对消费者行业的电子商务年增长率为7%至17%。相反,整个行业的收缩幅度从4%到正增长5%。

随着第八大陆成为世界经济的重要组成部分,数据无疑是其货币。身份层对于帮助控制数据流非常必要,就像现在控制货币流一样。在模拟世界中,没有身份的货币流动等于蓬勃发展的黑市。在第八大陆上,没有身份的数据流导致了我们现在看到的混乱。

推动技术采用的法规

改变这种状况的一个推动力是政府法规。各国政府越来越希望通过以下命令来规范个人数据流: GDPR,现在已经过了一年周年纪念日,《加州消费者隐私法》和电子化的了解您的客户(KYC)要求。

FIDO联盟和OpenID这两项与身份相关的标准工作已显示出成为基础身份层的基础的特殊希望。尽管仍处于相对较早的阶段,但业界越来越多地采用这些技术令人鼓舞。采用这种技术的原因之一是政府法规正在帮助激发人们对这些技术的兴趣。

例如,GDPR包括几个安全要求,例如强调数据主体的权利,其中个人信息的存储既基于许可又具有时间限制。它还要求在事件发生后72小时内报告数据泄露情况,并对违规行为设置严厉的罚款。这些规定和其他规定是促使数据持有者加强其安全制度的因素。

超越密码安全性

安全挑战 众所周知,当前和过时的用户名/密码机制已成为现实。 FIDO和OpenID的结合为单点登录提供了一个平台, 无密码认证。这还意味着减少公司需要保留的敏感信息量。

在FIDO和OpenID产品组合中, 网络认证/ CTAP配对,客户端到身份验证器协议以及 OpenID连接 与在线服务特别相关。在客户端,Webauthn / CTAP提供了一种用于在单点登录的设备上对用户进行身份验证的方法。用户使用JavaScript API对自己进行身份验证后,OpenID Connect就会允许设备与多种服务共享存储在设备上的用户属性,以进行身份​​验证。

目前,OpenID Connect仅在设备端使用用户名和密码身份验证,但是该组织正在制定规范,以利用Webauthn / CTAP的功能来利用生物识别信号(例如指纹或面部识别),或外部设备(例如USB)认证密钥。通过减少用户的认知负担和在线服务所保存的敏感信息量,该新兴平台可增强用户体验以及网络安全性。

监管催生创新

政府法规并不是采用新的ID标准和技术的唯一原因。在线服务正在解决困扰当前用户名和密码制度的其他问题。例如,一种在亚洲特别流行的社交媒体服务现在强调阻止帐户劫持的方法,这些方法通常是通过对密码的暴力攻击来实现的。与行业其他部门一样,该公司希望在用户迁移到新设备时更轻松地转移帐户,并提供一种在丢失或忘记密码时更轻松地恢复帐户的方法。

基于区块链的身份验证 系统现在被设计为识别和认证数据和设备。这种技术的用例之一是将身份验证信息存储在区块链上。例如,Intertrust最近展示了如何通过查询基于TIDAL的区块链来对一段视频进行身份验证,在该区块链中,有关视频创作者和创作的关键信息(例如编辑和分发)被分割并存储。

我们视野中的第八个大陆

分布式分类帐带来了重要的方面来标识验证,这是要求对个人是否经过验证,或者例如,是否对视频进行了篡改的回答,是或否。采用这种和其他基于标准的受信任身份解决方案可以帮助我们迈向真正的数字化经济,而不仅仅是引入纸质系统的数字表示形式的经济。

对于依赖第八大陆的世界其他地区也可以这样说。通过更大的控制和安全性,对Internet上的身份层进行的创新将使人们和商业都受益。

尽管其中许多创新还处于起步阶段,仅仅只是触及了一切可能性,但越来越明显的是,我们正朝着最终实现可信身份的全部潜力,释放数字生活承诺的道路上前进。

分享这个