看病、租车、办卡我们都需要提供身份证明文件作确认和记录。随着实名制的普及,更多的应用程式需要我们提供自己的身份凭证进行登记,例如游戏和社交媒体。这些都是身份应用的场景。
除了以实体的证件进行身份登记,在网络上我们也创造了不同的身份。就例如同一个游戏,不同伺服器中,我们就可能会有不同的人物角色、名字也各不相同。
01 身份提供者
每下载一个新的应用程式,我们都可能会设立一个新的帐号。这些不同的网络服务都有着自己的身份体系,不同应用程式的体系之间互不相通,非常零散。
「身份提供者」的出现解决了身份体系在不同的软件中互不流通,每次需要重新登记、过程复杂的难题。
「以微信/QQ登入」一键提供了身份验证的串接,让其他服务供应商可以快速串接,无需另外建立自己的使用者身份验证及管理系统。
02 问题再次出现了?
「重复验证」的可能是现代人在实体和网络世界时常会遇到的问题,简单与开办不同银行的帐户,每一次都要将进行类似的身份建立和审核流程,需要提供住址、身份证明等诸多资料。每间银行验证身份号,只会把使用者资讯储存在自家的资料库中,使用者资讯重复而且孤立。当资料有所变动,或者想要修改银行密码,使用者可能需要到机构系统修改,造成个人资料难以有效地维护。
即使网上银行提供了更改资料的便利,有些时候仍不免亲身前往该机构更改身份的资料。
03 更多问题出现了???
互联网的普及并没有伴随身份系统的改进,网络暴力屡见不鲜,人们在网络的身份被有心人被现实中连繫起来。
这些互联网巨头也发现了用户个人数据的价值,记录下个人资料然后进行研究或个性化广告投放。当中巨大的广告利润养活了网络巨头,他们把这些个人数据当成了公司的私有财产,并以此牟利。这些个人数据和身份系统的价值不再属于用户本身,而是成为大公司的私产。
每一次下载一个新的应用程式,很多时我们会直接省略掉该应用程式能够存取手机的权限,变相他们在暗地取得了很多与提供服务无关的个人资料。
更可怕的是这些大公司并没有好好保存用户的数据,数据私隐泄露的比比皆是,每次的重大事件均影响全球数亿的用户。
04 Facebook 个资外洩
因2014年Facebook使用条款中对使用者的不友善,使得用户在自身没有主动设定隐私不公开的情况下,第三方能藉由应用程式使用合约,取得使用者的个人资料。
在2015 年时,Facebook曾发现「剑桥分析」公司不当使用Facebook用户个资。「剑桥分析」 是2014年剑桥大学心理学家 Aleksandr Kogan 所製作的心理测验应用程式。
Facebook方却在要求对方删除数据之后,没有积极追踪确认,也没有告知被影响的使用者,使得Facebook近年来强调对用户隐私保护的保证, 荡然无存。
把用户的身份数据拥有权回归用户自身,已经成为了一个迫切的市场问题。
05 去中心化身份
去中心化身份 DID (Decentralized Identity)似乎是近日解决个人数据保障的最优解,主张抛开身份提供者的框架,让个人资料的拥有权回归使用者。
人们可透过自己的手机 App 管理个资,并透过生物辨识与加密技术保护敏感资讯。
负责认证身份的个体 (Entity) 或组织 (Organization) 透过公私钥签章,将签名注记在使用者身份上,等同核发认证的动作,使用者便可透过这些认证表彰身份。
举例来说,政府部门批发驾驶执照,然后透过该部门的私钥将驾照电子档签名后注记在民众 DID 上。当我们需要出示驾照时,只需把个人资料一件授权给相关组织。如使用租车服务时提供电子证明,省却确认驾照的过程,快速验证身份。
这个案例中,政府部门就是身份授与者,民众就是身份拥有者,租车行则是服务供应商。跟传统作法的差别在于身份的保管不在授与者身上,而在拥有者,也就是市民身上。
06 预告
下期我们将会继续深入DID的概念,继续深入如何用区块链保管这些公钥,如何实现使用者的「身份纪录」自主。敬请期待!