導(dǎo)讀:作為一名技術(shù)經(jīng)理或首席信息官,如果身份證書管理還沒有列入你的首要議程之一,那么,你就聽聽Tatum Partners的首席信息官、Update專欄作家Dan Gingras的分析吧
如果你試圖管理幾十個、甚至幾百個密碼,或如果有人給你發(fā)送電子郵件試圖騙取你的身份證書,你恐怕也會有像我一樣存在身份證書管理的危機(jī)感!
身份證書及身份證書管理問題正在成為IT中最熱門的話題之一,身份證書管理問題也逐漸列入首席信息官的議事日程。
如果你開始考慮身份證書及身份證書管理問題,過不了多久,你就會感到精疲力竭,因為,這個問題過于龐雜。
一、危機(jī)隨處可見
首先,我來給你講述幾種情況,恐怕會讓你徹夜難眠。
密碼并不是唯一的,雖然密碼或許是如今應(yīng)用最主要的認(rèn)證方式之一,但由于密碼易于泄露,因此已成為當(dāng)前借以攻擊系統(tǒng)的主要方法。
首先,密碼并不能真正確認(rèn)使用者,有了密碼就可以進(jìn)入系統(tǒng)。我可以把密碼給你,你也可以?;ㄕ邪盐业拿艽a騙到手,但系統(tǒng)卻不能區(qū)分你和我。
當(dāng)你考慮身份證書相關(guān)問題時,需要掌握幾條基本規(guī)則。雖然這些不是指導(dǎo)性原則,但可用來對現(xiàn)有的身份證書問題進(jìn)行詳細(xì)探討。為了及早考慮身份證書和身份證書管理問題,你應(yīng)該了解這些規(guī)則對身份證書管理的重大意義。
為什么應(yīng)該關(guān)心這個問題?我們正不斷面對個人的或職業(yè)的身份證書問題。我們越是進(jìn)入在線商務(wù)時代,我們就越面臨經(jīng)濟(jì)犯罪。因此,類似“誰在敲開我們數(shù)字時代的大門”這樣一個重要問題則更加緊迫地擺在了技術(shù)經(jīng)理們的面前。
二、身份證書管理需要考慮的因素
1、身份證書要有關(guān)聯(lián)性。就像算式A+B = B+A一樣,身份證書也是有關(guān)聯(lián)的。我去當(dāng)?shù)氐某匈徺I商品,想要簽支票結(jié)賬,但店員并不認(rèn)識我;他們要求看一下我的駕駛執(zhí)照;他們實際上不相信我,但他們非常相信州政府;當(dāng)我出示駕駛執(zhí)照時,他們知道新罕布什爾州相信我,因此他們也就相信了我,至少相信我所說的身份。
如果我出示的是護(hù)照,其關(guān)聯(lián)性也同樣適用,因為他們也相信聯(lián)邦政府。
2、身份證書要限制為特定的應(yīng)用來使用。如果我給超市的支票包含了有關(guān)我的許多信息,如我的社會保險號碼、收入、健康記錄等,那么有關(guān)我業(yè)務(wù)的一些信息就有可能被他泄露給我的競爭對手,這將把我置于危險的境地。
其實,超市只需要知道我是誰就足夠了,因為一旦財務(wù)文件(支票)有誤,他們需要有一種與我取得聯(lián)系的途徑。他們不需要了解我的其他任何情況,換句話說,他們只需要知道我的住址或聯(lián)系電話,以便財務(wù)文件有誤時能找到我。向他們提供我的保險號碼、收入、健康記錄或其他任何信息都將把我置于危險的狀態(tài)。
3、用戶需要控制好自己的身份證書。以前,我的鑰匙鏈裝有無線頻率證明(RFID),這樣我就可以在某些加油站購買汽油。不幸的是,任何人都可以未經(jīng)我的同意使用RFID讀卡器閱讀我的無線頻率證明。
然而,如果現(xiàn)在有人讀取我的鑰匙鏈信息,便無法知道我是誰,因為他們必須先訪問一個數(shù)據(jù)庫,其中我的鑰匙鏈的ID與我的真實身份證書相關(guān)聯(lián)。但坦率地講,即便如此,我還是很緊張,因為他們可以蒙騙讀卡器,以我的鑰匙鏈的ID進(jìn)行加油。
以目前的油價來看,這種盜竊RFID證書行為完全可以大發(fā)橫財,因此,用戶必須有權(quán)批準(zhǔn)是否將身份證書傳輸給申請方。
4、身份證書的驗證需要對等進(jìn)行。你每天可能會收到來自Paypal、銀行等單位的各類電子郵件不少于5個,它們都要求你打開你的賬戶或確認(rèn)身份。我們應(yīng)該知道,有些恐怕是試圖竊取你的身份證書。但這同時也表明,與交換身份證書相關(guān)聯(lián)的信任需要對等完成。如果你要求我的身份證書,我就絕對需要確切地知道你是誰。
只有通過具有資質(zhì)的機(jī)構(gòu)使用其網(wǎng)站來完成確認(rèn)過程,而這個機(jī)構(gòu)又必須有誠信。但現(xiàn)在的情況是,有些騙取身份證書的行為獲得了成功,因此可以說,當(dāng)前有些機(jī)構(gòu)存在信任危機(jī)。
5、身份證書應(yīng)該以加密的方式一次性傳輸。當(dāng)我將自己的身份證書信息發(fā)送給一個網(wǎng)站時,應(yīng)該按照兩因子確認(rèn)方式進(jìn)行,且這一加密傳輸過程應(yīng)該具有有限的生命周期;傳輸線路應(yīng)該具有偵聽功能,以防今后再使用同一傳輸路徑;目前使用的兩因子確認(rèn)技術(shù)頗像RSA實驗室中安全身份證書的操作方式。
6、身份證書應(yīng)該是通用的。我的鑰匙鏈上有十幾個條形碼,從超市卡到West Marine應(yīng)有盡有。這實在是滑稽,我所打交道的每一家公司都有確認(rèn)我身份的唯一方式。
我們所需要的是完全電子化的單一身份介質(zhì),它包含所有相關(guān)信息。允許我們分割使用身份證書,這樣,當(dāng)我需要簽支票時,它就會告訴超市或銀行我是誰;當(dāng)我向醫(yī)生出示身份證書時,它就會告訴醫(yī)生有關(guān)我健康的全部信息。
身份證書通過分割使用,便可以訪問專門信息。理想的結(jié)果應(yīng)該是身份證書捆綁某些生物數(shù)據(jù),用以證明我的真實身份。例如,在超市或在線簽支票,或者銀行在線查驗身份時,它應(yīng)該可以用來顯示外貌特征等。
顯然,身份證書已經(jīng)成為技術(shù)人員處理日常工作生活中最重要的工作之一。然而,我們才剛剛涉及這些問題,我們需要考慮的事情和需要完成的工作還很多。