杰里米·格兰特,保罗·罗森茨维格

2020年4月15日

(资料来源:Peter Steiner,《纽约客》,1993年;获漫画收藏法协会许可,网站/博客/电子出版物-非商业性)

1993年,皮特·斯坦纳(Pete Steiner)出版了《纽约客》有史以来最复流行的漫画:一只正在更玩电脑的杂种狗对猎犬同伴说:“在互联网上,没人知道你是一条狗。”

当时,斯坦纳的漫画捕捉了关于上网初期的一个有趣的观点,以及弄清楚谁是谁的难度。二十七年后,那些狗早已经死了(因为狗的寿命不长),但是那幅动画却比以往任何时候都更真实。

如果有的话,网络身份问题实际上变得更加严重。2020年,“互联网上的狗”正在积极地装备武器。身份是用于破坏系统和实施网络犯罪的最常用的攻击媒介。2019年发布的一份报告显示,超过80%的违规行为可以追溯到某种受损的数字身份。最近,外国对手已经利用互联网上的狗来通过社交媒体操纵来干扰我们的民主。

27年后我们仍在努力解决这个问题,这是有原因的:这是一个很难解决的问题。但是,我们正在接近一些有用的方案,并且通过对数字身份基础架构进行一些及时的投资,我们可以解决这个问题。

正如美国国家标准技术研究院(NIST)在2017年的出版物中指出的那样:

数字身份提出了一项技术挑战,因为此过程通常涉及通过开放网络对个人进行认证,并且始终涉及通过开放网络对个人主题进行身份验证……。建立和使用数字身份的过程和技术为假冒和其他攻击提供了多种机会。

最近的事件加剧了这个问题。随着美国由于冠状病毒而转向社会隔离,美国面临的互联网上狗的挑战正呈现出新的,更复杂的维度:

  • 白宫已下令部分关闭面向公民的政府服务,重点是“无法远程执行或需要亲自互动的服务”。

  • 财政部,小型企业管理局(SBA)和其他机构都在努力寻找如何验证根据CARES法案有资格获得新福利的公民和小型企业所有者的身份,以及作为贷款合作伙伴参与的企业SBA。这不仅很重要,不仅对于及时向美国公民交付急需的美元,而且对于阻止已经在考虑新颖方法来窃取这笔钱的欺诈者也很重要。

  • 政府之外,罪犯集团通过推出数以百万计的网络钓鱼和身份欺诈攻击诱骗到美国人泄露他们的网上登录和个人信息,以利用冠状病毒造成的混乱。

但不一定是这种方式。确实,我们大多数盟国-例如加拿大、澳大利亚、英国和欧盟-都没有相同的问题(至少与我们没有相同的程度)。正如3月24日的欧盟委员会公告所吹嘘的那样:

由于有了“信任”推动者eID和…eIDAS法规,公民无需离开家园与公共管理部门互动,也不必面对面签名或邮寄文件。在危机时期,这是保持社会距离的另一种方式。

美国为何如此落后?尽管我们的国际同行已经在数字身份解决方案上进行了投资,但我们的联邦和州政府仍然顽固地植根于纸质和塑料凭证。

在政府缺席的情况下,行业试图填补这一空白。他们开发了诸如基于知识的验证(KBV)之类的产品,以替代政府验证的身份。但是KBV只能带您到现在为止-如今,攻击者通常知道KBV测验中问题的答案,就像他们知道您的社会保险号的后四位一样。随着攻击者利用了这些解决方案,并且身份欺诈行为日渐增多,很明显,政府作为赋予合法身份的权威来源所发挥的独特作用已无可替代。

政府在身份验证中的独特作用之所以出现,是因为事实证明,政府最有能力应对我们的挑战并改善身份认证。不是通过发行国民身份证,而是通过允许消费者要求政府支持已经在现实世界中发行的纸质和塑料凭证。

由于国会和行政部门特朗普总统准备考虑采取第四冠状刺激法案,他们应该认识到,当前大部分的经济已转向数字的基础,并投资于数字基础设施的基本组成部分。数字身份就是这样的组成部分。

政府应该把重点放在哪里?与“更好的身份联盟”的建议相呼应,我们提供了三个建议。

首先,政府应建立一个联邦数字身份工作组(有足够的资金),以制定和实施全政府范围的数字身份管理方法。如今,一些机构涉足数字身份解决方案(要么是为了支持自己的在线服务,要么是为私营部门提供有限的数据验证工具),但是却没有协调的方法。所需要的是领导才能,这是一种在政府范围内使代理机构能够立足于获得消费者同意的新的增强隐私的身份验证服务以及种子资金的方式(我们估计所需资金不超过5,000万美元,这在微不足道。大流行后世界),以便代理商建立新的数字身份服务。

其次,NIST应该创建数字身份框架,以确保任何政府机构(无论是联邦,州还是地方级别的政府机构)都有可以遵循标准的方法来创建安全的数字身份服务,该服务是针对消费者和消费者的需求而设计的,以保护他们的隐私。这也将仅需要适度的资金。

政府在数字身份中扮演更大角色的想法引起了人们对新身份服务可能对安全性和隐私产生影响的担忧。减轻这些担忧的最佳方法是确保所有已部署的服务都遵循为安全性和隐私设置高标准的标准,从而确保新的身份工具可以保护隐私并赋予消费者权力,而不是带来风险。

第三,还要有更多的钱。(是的,这是一个问题,但是好处是如此之大,以至于我们认为这是值得的。)联邦政府应该为各州提供新的数字身份补助资金。机动车部门(DMV)的认证是几乎每个成年美国人都要进行的一项基于联邦标准(REAL ID)的强大的面对面身份证明流程。DMV非常适合通过移动驾驶执照申请和其他身份验证服务来帮助改善身份。但是他们拥有过时的基础架构,而DMV并没有动力去关注这些问题。

这些新的拨款可以在五年内提供高达10亿美元的种子资金,以帮助各州开始投资以弥合“身份差距”,方法是推出新的移动驾驶执照和其他数字身份解决方案。美元只能花在实施NIST框架的解决方案上,从而确保联邦投资基金系统为隐私和安全性设定高门槛,并且在各州之间可以互操作。

尽管这是一笔巨大的投资,但对国家的安全和效率收益将是巨大的。各国可以利用这些解决方案来启用更受信任的在线服务,减少欺诈性利益主张并保护公民信息。通过允许居民在想要证明自己在私营部门中的身份时,要求居民“在网证明他们”,州为那些渴望知道潜在客户是“互联网证明上的狗”还是提供了关键服务的合法客户提供帮助。

包括银行、医疗保健、政府和电子商务在内的无数服务,都取决于了解交易中的“对方”。在2020年,在线提供高价值交易和服务的能力将比以往任何时候都受到更多的考验,这在很大程度上是由于在线证明身份的挑战。缺乏一种简单、安全和可靠的方式来使实体验证其在线用户的身份,这在商业中造成摩擦,导致欺诈和盗窃增加,隐私降低,并阻碍了许多在线服务的可用性。

美国必须采取行动改善身份验证。这三项举措(领导工作的联邦工作组,NIST的标准以及帮助州DMV提供其技术的资金)将无法解决身份空间中的每一项挑战,但它们代表了三个切实可行的常识性实施步骤,其影响将是有意义的;它们将使数字身份状态更好。他们将使狗狗在互联网上娱乐,而不是成为邪恶的武器。

声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。