技術(shù)
導(dǎo)讀:作為一名技術(shù)經(jīng)理或首席信息官,如果身份證書管理還沒有列入你的首要議程之一,那么,你就聽聽Tatum Partners的首席信息官、Update專欄作家Dan Gingras的分析吧
如果你試圖管理幾十個(gè)、甚至幾百個(gè)密碼,或如果有人給你發(fā)送電子郵件試圖騙取你的身份證書,你恐怕也會(huì)有像我一樣存在身份證書管理的危機(jī)感!
身份證書及身份證書管理問題正在成為IT中最熱門的話題之一,身份證書管理問題也逐漸列入首席信息官的議事日程。
如果你開始考慮身份證書及身份證書管理問題,過不了多久,你就會(huì)感到精疲力竭,因?yàn)?,這個(gè)問題過于龐雜。
一、危機(jī)隨處可見
首先,我來給你講述幾種情況,恐怕會(huì)讓你徹夜難眠。
密碼并不是唯一的,雖然密碼或許是如今應(yīng)用最主要的認(rèn)證方式之一,但由于密碼易于泄露,因此已成為當(dāng)前借以攻擊系統(tǒng)的主要方法。
首先,密碼并不能真正確認(rèn)使用者,有了密碼就可以進(jìn)入系統(tǒng)。我可以把密碼給你,你也可以耍花招把我的密碼騙到手,但系統(tǒng)卻不能區(qū)分你和我。
當(dāng)你考慮身份證書相關(guān)問題時(shí),需要掌握幾條基本規(guī)則。雖然這些不是指導(dǎo)性原則,但可用來對(duì)現(xiàn)有的身份證書問題進(jìn)行詳細(xì)探討。為了及早考慮身份證書和身份證書管理問題,你應(yīng)該了解這些規(guī)則對(duì)身份證書管理的重大意義。
為什么應(yīng)該關(guān)心這個(gè)問題?我們正不斷面對(duì)個(gè)人的或職業(yè)的身份證書問題。我們?cè)绞沁M(jìn)入在線商務(wù)時(shí)代,我們就越面臨經(jīng)濟(jì)犯罪。因此,類似“誰(shuí)在敲開我們數(shù)字時(shí)代的大門”這樣一個(gè)重要問題則更加緊迫地?cái)[在了技術(shù)經(jīng)理們的面前。
二、身份證書管理需要考慮的因素
1、身份證書要有關(guān)聯(lián)性。就像算式A+B = B+A一樣,身份證書也是有關(guān)聯(lián)的。我去當(dāng)?shù)氐某匈?gòu)買商品,想要簽支票結(jié)賬,但店員并不認(rèn)識(shí)我;他們要求看一下我的駕駛執(zhí)照;他們實(shí)際上不相信我,但他們非常相信州政府;當(dāng)我出示駕駛執(zhí)照時(shí),他們知道新罕布什爾州相信我,因此他們也就相信了我,至少相信我所說的身份。
如果我出示的是護(hù)照,其關(guān)聯(lián)性也同樣適用,因?yàn)樗麄円蚕嘈怕?lián)邦政府。
2、身份證書要限制為特定的應(yīng)用來使用。如果我給超市的支票包含了有關(guān)我的許多信息,如我的社會(huì)保險(xiǎn)號(hào)碼、收入、健康記錄等,那么有關(guān)我業(yè)務(wù)的一些信息就有可能被他泄露給我的競(jìng)爭(zhēng)對(duì)手,這將把我置于危險(xiǎn)的境地。
其實(shí),超市只需要知道我是誰(shuí)就足夠了,因?yàn)橐坏┴?cái)務(wù)文件(支票)有誤,他們需要有一種與我取得聯(lián)系的途徑。他們不需要了解我的其他任何情況,換句話說,他們只需要知道我的住址或聯(lián)系電話,以便財(cái)務(wù)文件有誤時(shí)能找到我。向他們提供我的保險(xiǎn)號(hào)碼、收入、健康記錄或其他任何信息都將把我置于危險(xiǎn)的狀態(tài)。
3、用戶需要控制好自己的身份證書。以前,我的鑰匙鏈裝有無(wú)線頻率證明(RFID),這樣我就可以在某些加油站購(gòu)買汽油。不幸的是,任何人都可以未經(jīng)我的同意使用RFID讀卡器閱讀我的無(wú)線頻率證明。
然而,如果現(xiàn)在有人讀取我的鑰匙鏈信息,便無(wú)法知道我是誰(shuí),因?yàn)樗麄儽仨毾仍L問一個(gè)數(shù)據(jù)庫(kù),其中我的鑰匙鏈的ID與我的真實(shí)身份證書相關(guān)聯(lián)。但坦率地講,即便如此,我還是很緊張,因?yàn)樗麄兛梢悦沈_讀卡器,以我的鑰匙鏈的ID進(jìn)行加油。
以目前的油價(jià)來看,這種盜竊RFID證書行為完全可以大發(fā)橫財(cái),因此,用戶必須有權(quán)批準(zhǔn)是否將身份證書傳輸給申請(qǐng)方。
4、身份證書的驗(yàn)證需要對(duì)等進(jìn)行。你每天可能會(huì)收到來自Paypal、銀行等單位的各類電子郵件不少于5個(gè),它們都要求你打開你的賬戶或確認(rèn)身份。我們應(yīng)該知道,有些恐怕是試圖竊取你的身份證書。但這同時(shí)也表明,與交換身份證書相關(guān)聯(lián)的信任需要對(duì)等完成。如果你要求我的身份證書,我就絕對(duì)需要確切地知道你是誰(shuí)。
只有通過具有資質(zhì)的機(jī)構(gòu)使用其網(wǎng)站來完成確認(rèn)過程,而這個(gè)機(jī)構(gòu)又必須有誠(chéng)信。但現(xiàn)在的情況是,有些騙取身份證書的行為獲得了成功,因此可以說,當(dāng)前有些機(jī)構(gòu)存在信任危機(jī)。
5、身份證書應(yīng)該以加密的方式一次性傳輸。當(dāng)我將自己的身份證書信息發(fā)送給一個(gè)網(wǎng)站時(shí),應(yīng)該按照兩因子確認(rèn)方式進(jìn)行,且這一加密傳輸過程應(yīng)該具有有限的生命周期;傳輸線路應(yīng)該具有偵聽功能,以防今后再使用同一傳輸路徑;目前使用的兩因子確認(rèn)技術(shù)頗像RSA實(shí)驗(yàn)室中安全身份證書的操作方式。
6、身份證書應(yīng)該是通用的。我的鑰匙鏈上有十幾個(gè)條形碼,從超市卡到West Marine應(yīng)有盡有。這實(shí)在是滑稽,我所打交道的每一家公司都有確認(rèn)我身份的唯一方式。
我們所需要的是完全電子化的單一身份介質(zhì),它包含所有相關(guān)信息。允許我們分割使用身份證書,這樣,當(dāng)我需要簽支票時(shí),它就會(huì)告訴超市或銀行我是誰(shuí);當(dāng)我向醫(yī)生出示身份證書時(shí),它就會(huì)告訴醫(yī)生有關(guān)我健康的全部信息。
身份證書通過分割使用,便可以訪問專門信息。理想的結(jié)果應(yīng)該是身份證書捆綁某些生物數(shù)據(jù),用以證明我的真實(shí)身份。例如,在超市或在線簽支票,或者銀行在線查驗(yàn)身份時(shí),它應(yīng)該可以用來顯示外貌特征等。
顯然,身份證書已經(jīng)成為技術(shù)人員處理日常工作生活中最重要的工作之一。然而,我們才剛剛涉及這些問題,我們需要考慮的事情和需要完成的工作還很多。