据TechCrunch报道,通常来说,身份是很难丢失的东西。但当我(本文作者尼克·米兰诺维奇(Nik Milanovic),金融科技狂热者)今年早些时候徒步穿越亚洲和非洲时护照被盗后,我体验到了身份失窃带来的一系列后果。获得新护照的繁文缛节让我看到了当今身份管理系统究竟有多么糟糕!
幸运的是,技术正处于身份认同领域发生重大转变的风口浪尖上。区块链技术(Blockchain)将为这个领域带来革命性的变化,但许多问题仍然没有答案。公司、政府机构以及非政府组织都在尝试各种各样的办法来解决这个问题,但它们都将对我们的生活方式产生深远影响。
他们的承诺是,我们的身份将被整合,以便我们自己能够完全控制谁来访问这些信息。这将保护我们免受日益复杂的欺诈和盗窃威胁。此外,它还将为脱离网络的“金字塔底部”群体创造前所未有的机遇。想象一下,跨越任何边界,享受任何服务的资格,立即访问你的资金和帐户,所有这一切只需要一个简单的数字ID即可。
追踪分散的数字签名
我们今天做的每件事几乎都会留下越来越多的数字签名。然而,这个签名分散在不同的服务中,比如通过智能手机的GPS捕获上下班数据,通过银行和信用卡记录收集购物数据,通过文本和电子邮件了解我们的想法等。
这些该数据有两个特点:广泛分散和狭义分割。它分散在不同的服务中,拥有我们身份的不同碎片。社交网络(如Facebook)可能拥有我们的关系架构,而电子商务平台(如亚马逊)可能拥有我们的购买历史和偏好。在一定程度上,Facebook、亚马逊这些企业的商业模式就建立对我们的数据拥有所有权的基础上。同时这些数据也被分割开来,每个部分都与该方提供的创收服务密切相关。
虽然违反直觉,但现实就是我们并不真正拥有自己,至少在数字意义上。虽然我们可以编辑自己创建的概要文件,但第三方最终拥有我们的数据;而且要夺回数据的控制权,过程可能是痛苦的,很多时候甚至是不可能的。想象一下,如果你想要努力维持个人关系,那就不能删除所有的社交网络账户。而如果没有信用记录,可能就无法享受分期付款的待遇。
为什么这很重要?首先,正如杰伦·拉尼尔(Jaron Lanier)在《谁拥有未来》(Who Owns the Future)中写道的那样:“你可能不了解谷歌、Facebook、保险公司或金融实体如何计算你的相关性,但这些数据的确在影响着你在网络世界中的生活。”拉尼尔称这些服务为警报服务器,他还指出,我们对于放弃个人数据以换取便利性方面,似乎已经习以为常。
然而,这一模式影响令人感到担忧:
- 我们没有控制权。每项服务都有抽象的模型,它们了解你的构成因素。这些信息可以在未经你同意的情况下买卖,也很容易被窃走。这种设置很方便(例如,我们获得更有针对性的推荐建议),但也很危险(例如,我们可能受到操纵)。
- 分割效率低下。如果所有这些数据存储库相互作用良好呢?例如,如果你的护照、驾照、银行和电子邮件都被整合起来,你可以进行国际旅行,确保你的信用卡安全,收到精心选择的推荐信,并提醒人们你的行踪,而不需要你做任何工作。你可以防止身份被盗用,也可以四处走动而无需带身份证。
- 我们所做的大部分工作都没有好处。这是拉尼尔的主要论点。如前所述,如果谷歌搜索之类的服务是免费的,那是因为我们不是客户,而是产品。就像Uber司机介于雇员和承包商之间的灰色地带那样,我们的行为有点儿像亚马逊和Facebook的员工,但他们只是为了获得便利而放弃数据,而不是付费。
如果你要查看完整的自我数字模型,你会发现它是一个复杂的关系网络。网络最细微的部分就是节点,每个节点代表不同的操作行为(文本、自拍、购物等)。
这些节点之间的连接是推断关系、记录模式和预测行为的公式。如果你将其放大,会看到特定服务的子网(Instagram账户、国土安全部档案、医疗历史等)。然后,这些子网连接在一起形成更大的网络,这就是你的数字身份。
要想重新收回你的数字身份控制权,有两个关键步骤:1)建立节点的所有权,这样你就可以自己决定是否允许第三方服务访问它们。2)将这些节点整合到同一个地方,这样你的数字身份就不会再被“封闭的花园”隔离得支离破碎。
正如罗恩·米勒(Ron Miller)写道的那样:“问题在于,如果我们的身份在区块链上,它会让我们更多控制这些信息,并且通过适当的应用程序,我们只需要很少的信息量就可以让服务方确认我们的身份。这些信息可能是你的生的日期、在银行的信用评分,或者是访问在线服务的唯一标识符。
这很重要吗?为什么获取便利就要牺牲主权?
当人们的身份受到破坏时,他们往往只关心身份管理。在我写这篇文章的时候,Equifax遭受了该公司历史上最大规模的数据泄露事件,雅虎数据泄露的账户估计已上升至30亿个。已经有足够多的类似事件发生,但我希望指出的是,这些都足以呼吁人们关注自主权身份。
主权人(sovereign individual)的概念是应该完全控制数字自我的人。在向第三方提供数据信息的时候,你必须能够获得好处:比如出示护照跨出国界,出示医疗记录以便找到新的医生,出示犯罪历史记录以通过背景调查等。但出示这些数据必须获得你的允许,没有你的同意第三方无法使用。唯一拥有客户数据的人应该是客户本人。
Equifax数据泄露事件凸显了主权的重要性:在我们这个不得不将信用记录交给第三方的系统中,它们被使用或丢失可能导致我们被彻底曝光。这些例证囊括了琐碎事物到改变生活的大事件:如果你忘记密码,必须重新设置密码(很简单);黑客在社交媒体上冒充你(令人恼火);有人偷了你的SSN(social security number),并以你的名义在信用卡上违约(严重);国家监视、追踪和逮捕潜在的持不同政见者(改变生活的大事件)。
解决这个问题的方法有很多种。密码管理器(例如LastPass)试图合并数字接入点以限制暴露的风险。这些服务增强了现有的范例,它们可以使用API访问数据,但访问仍然由第三方控制。电子护照(如DHS推出的)使用生物特征识别,但生物识别ID也像数据那样容易被破解,并且带来更多的复杂性和故障点。如今,许多金融服务提供双重身份认证,但就像反复出现的那样,它也很容易受到攻击。
这些解决方案都不能完全保护我们。那么,我们需要什么样的解决方案呢?
年度万灵药:区块链
在2017年,区块链成为一个水晶球:从新兴企业到老牌公司再到中央银行,每个人似乎都在关注它,并在寻找自己未来的商业模式。但对于区块链技术的革命性潜力各方意见不一;有人把它比作上世纪90年代早期的互联网,其他人则将其比作“大数据”,即经常使用但不太理解。
在当前这个时代,我们越来越依赖于我们的数字身份来来开放获取和参与现代经济,我们也越来越容易受到复杂的数据窃取和模仿,理想的解决方案是什么?
- 不依赖第三方。即使冒着徒劳无功的风险,我们最终也要控制自己的身份接入点。区块链的分散式结构沿着这个方向迈出了很好的第一步,它还需要个人身份验证方法作为第二步。这可能有多种形式:生物识别、可信备份连接(朋友和家庭)或交叉引用个人身份识别知识等。
- 同态加密。区块链的一个突破性特点就是它无需任何专业知识就可以使用管理数据。这允许用户公开其对某些认证的所有权,并允许在不泄露包含在其中的信息的情况下授予访问权。这种加密方式目的在于,当数据被散列时,终端服务可以验证身份。例如,假设一家银行对你进行信用检查,它只以加密的形式处理你的信用历史数据,这样即使数据被盗也不会产生影响。
- 合并成一个真实记录。你所有的身份信息都应该放在同一个地方,这在重要的区块链革命中被很好地概括了:“如果‘虚拟的你’实际上被你所拥有,并且“生活”在你身份的黑盒子里,这样你就可以只显示你所需要的东西,进行最恰当的授权。”为了接近真实世界,你的整个数字身份都可以储存在一个钱包里。
对于区块链和数字身份来说,我们仍处于第一个行动阶段早期。这项技术的许多承诺尚未经过检验。在开发良好的身份管理解决方案时,有可能会出现一些痛苦的学习曲线,包括黑客攻击和损失。但是,我们越来越多地与数字签名联系起来,并且承诺能够巩固和保护这些签名,以免被第三方利用。这是非常重要的,不容忽视。
革命:全球协议和统一的身份
未来的世界将与今天大不相同。7年前,作为一名本科生,我写了一份关于范式转变的文章,内容是“把所有东西都整合到统一的钱包里”。2年前,麻省理工学院斯隆商学院的数字化和创业学教授克里斯蒂安·卡特利尼(Christian Catalini)的一次非正式演讲,启发我将更广泛的区块链技术作为所有个人数据的中心访问点。如今,这一愿景正开始成为现实。
世界银行以及联合国等机构最近宣布了ID4D倡议,以帮助世界上约11亿无法获得基本服务的人,因为他们缺乏证明自己身份的方法。去年,印度政府推出了一项国民身份制度,利用生物识别系统将人们纳入“服务网络”。
像ObjectTech这样的公司正在试行项目,以推动一项日益重要的人权,即身份权。作为ObjectTech项目的一部分,目前正在迪拜进行试点,参与者将得到一个身份,他们可以使用该身份来跨越国界或开设银行账户。这就是Vinny Lingham所说的“马斯克的递归创新战略”:建立性感、有用的消费产品(像特斯拉那样),然后使用这款产品来驱动真正的变化(如能源独立)。
想象一下,在这样一个世界里,难民危机被消除了,因为邻国可以在甄别出罪犯和潜在罪犯的同时,也能识别出“良好公民”。这将是一个没有关于政治避难、边境墙或旅行禁令等针织争论的世界,劳动力可以在全球范围内自由流动,你的数字身份可以充当工作签证,这样你就可以跨越边界去工作而不用麻烦了。将来,“人们的生活完全由他们出生的地方决定”将成为荒谬之言。
冰岛最近成为第一个让公民完全控制自己医疗记录的国家。在美国,这是一个长期存在的问题。通过区块链储存和授权许可,你可以在世界任何地方旅行,可以获得医疗保健,获得拯救生命的处方,免费获得的过敏信息等等。包括uPort和微软在内的公司财团最近宣布,成立所谓的“分散式身份认证基金会(DIF)”。
DIF的一个目标是为身份验证创建通用协议,类似于金融交易的全球标准,或者超越国界的DNS协议。如果成功,这种协作将有助于主权身份系统避免互联网中的主要陷阱,即信息在“封闭的花园”中被狭隘地分割。
最后,即使在分散的世界,正如Charles Race所指出的那样:“一个可信任的实体需要建立一些法律和可强制执行的规则,它们需要方便普通人安全使用,需要让人们和服务供应商信服,进而采用和信任这种机制,找到一个经济可行的商业模式。”从定义上说,这必须是由政府、公司、非营利组织和个人共同协作完成的。
未来正在迅速发展,并将在金字塔的顶部和底部开启以前不可想象的访问水平和机会。我们所能预测的是,当个体的身份控制被恢复时,它将与过去截然不同。