小令观点 | 数字世界里,拿什么来保护你的身份安全?
先来看一段摩根·弗里曼老爷子的视频吧。
作何感想?
再结合我们前两篇文章的分析《个人信息泄露——当代数字身份之殇》《人脸识别遇到了什么关键性难题?》,一个稍显残酷的事实也就逐渐清晰了。
身边的受害者案例其实已经很多了。而且随着 AI 技术的快速普及,黑产的攻击成本在迅速降低,可想而知接下来这样的灾难还会屡见不鲜。
也许有些人、有些平台会无所谓,但随着数字化浪潮迅猛无声地改变着我们的生活,包括我在内的很多人,会在这个网络世界里创造越来越多的信息资产,不仅仅是金融账户里的余额,更包括常用的社交账号、保存的文件、写下的感言等等,这些都是经不起伤害的。
很明显这其实是个社会化的难题,影响的范围最差也是整个互联网生态。
因此,我们曾经寄予厚望,头部大平台们能够在某一天站出来,从用户的角度来解决这个问题,也是最终保护他们自己的长期利益。
但现在来看,一方面是我们天真了,另一方面则是,即使是顶级科技公司,当限制在某种思维之下时也同样无能为力。
Google 确实做出了努力,免费开源提供了 OTP 身份验证服务,极大提升了海外各种身份账号的安全性,如今在涉及重要的数据权益比如社交聊天、邮箱、游戏、数字货币等服务时,几乎无人不用。
可惜,咱们国内既没有形成这样的用户习惯,更没有可以对标的公益品牌。
而且,在新的时代下也已经没有这样的机会了。诸如“社会工程学”之类的攻击,已经让 OTP 验证码也束手无策。
从技术分析的角度来看,Google 的方法是在传统个人信息之外再引入一种新的平台验证信息,虽然由于其算法的精巧,避免了“短信验证码”因传输环节过长而导致的漏洞缺陷,但本质上仍属于平台自身知晓的信息。
如下图左边所示,在习惯性的平台思维主导下,平台是要掌握用户全部信息的。然后在每次登录时,挑其中几项进行“验证”问询,通过了就表示用户是本人。
我们认为,在这种思维模式的主导下是不会产生真正的解决方案的。
道理很简单:平台自身就是最大的威胁。而且,由于每个平台都这么做,所以用户既无法区分哪些是好平台、哪些是坏平台,又可能会因为弱平台被攻破而影响其他平台内的账号也被盗取。
因此,我们需要跳出这些大平台的框架,用全新的方案来保护自己的安全。核心就在于:让用户本人拥有某种可靠的“加密身份凭证”。
这个“加密身份凭证”之所以特殊,就是因为它只在用户身边运行,可以根据用户的需要产生仅限当次有效的密码学证明,然后提供给平台侧。平台侧有办法验证这个身份证明,却没有办法自己模拟或伪造。
于是,如上图中右边所示,平台虽然仍然掌握用户的信息,不影响其业务需要,但必须在用户的配合下才能完整拼凑出当次有效的身份验证以进行注册和登录。在这样的升级进化后,连平台自身都无法作恶,黑客也就更不可能了。
可靠的“加密身份凭证”会是什么呢?
其实很常见,人人都有的居民身份证就是一种,而且还是安全级别非常高的,因为其内置芯片灌注了高等级的国密算法;还有我们在用的手机也是的,其中也都有特制的安全芯片,可以用来产生加密身份凭证。
接下来还会更多,正在快速普及中的智能汽车、智能家居、智能手表等等,也都在出厂的时候就内置了符合要求的安全芯片。
这些加密凭证对真实的用户来说触手可得,但黑客们却难以获取。即使不小心暂时遗失了,也可以非常方便地挂失,以新换旧。因为这些都是硬件的形式,所以我们也称之为“硬核身份”。
这样的升级究竟有多重要呢?
客观来说,在过去的价值并不大。安全其实是个相对论,即使明确告知一个人有账号风险,他可能也不愿意为此多去进行一步设置,因为觉得麻烦,更因为觉得自己被黑客命中的概率太小了。
这与我们看到的互联网融入生活的进程正好高度符合。
随着互联网成为越来越多人的第二家园,每个人或多或少都在以“信息数据”的形式向互联网迁移,迁移得多了,“资产”量就高了,对安全也就真正在意了,就不会再迷信着依靠大平台之类的救世主来解决了。
因此,这样的升级对应的是明后年,是新生代原住民,是资产含量高的应用,而无需去改动那些本就价值含量不高的老平台和浅层游客们。
我们很早就意识到这个趋势和核心问题所在,因此在创立之初就决心,直接面向新时代的需要来设计崭新而安全的身份服务。
难度还是非常大的,终于可以确保在第三个年头将正式推出这项服务。
而在这两年的艰苦探索中,我们也很有幸获得了很多头部企业的认可和支持,将一些过程中逐步成熟的产品功能提前进行了市场验证。截至当前,我们已经帮助相关企业累计保护了数百万用户的身份安全,而且还找到了让企业和用户都能从中直接受益的商业模式,极大地增强了我们的信心。
未来的数字世界,我们将挺身而出,用加密身份凭证来保护你的安全!
关于令牌云
令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷。
我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率。
令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案。
欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们。
你还可以在以下平台找到我们~
公司官网:https://www.eidtokencloud.com/
微信公众号:搜索“令牌云数字身份”并关注
知乎:令牌云数字身份
InfoQ:令牌云数字身份
搜狐号:令牌云数字身份
头条号:令牌云数字身份
百家号:令牌云数字身份
版权声明: 本文为 InfoQ 作者【令牌云数字身份】的原创文章。
原文链接:【http://xie.infoq.cn/article/2262d8cd51f7fdb16af3a2048】。文章转载请联系作者。
评论