传统身份体系岌岌可危,揭秘网络黑产中的“身份危机”
摘要: 身份“真实性”认证仅仅是身份验证的第一步,更进一步的类似于学历、房产、央行征信等这类资料内容目前还处于半封闭式查证阶段,必须手动或人工进行审核查验。而涉及民政的婚姻状态更是处于完全封闭状态,数据未进行全国打通,也无法开放给第三方进行核验。
由于最近一系列围绕“数字身份盗窃”的数据泄露事件发生,隐私方面的担忧正成为增加支出的催化剂。比如今年7月,新加坡150万公民医保记录遭到泄露,其中甚至包括总理李显龙的个人数据;纽约创业者兼加密货币投资者Michael Terpin起诉美国电信运营商AT&T,指控其欺诈并存在重大过失,导致个人账户中的加密货币丢失,并希望索赔2.24亿美元。
一项最新研究显示,自去年以来,数据泄露造成的经济损失已超过6%,而现在数据泄露的平均成本为386万美元。Juniper Research预测,2023年将有超过330亿条个人记录将通过犯罪数据泄露事件曝光,比今年的120亿条记录同比上升175%。未来5年,网络犯罪分子将窃取超过1460亿条记录。2019年,隐私问题将推动安全服务市场需求至少增加10%,身份和访问管理(IAM)、身份治理和管理(IGA)、数据损失预防(DLP)等领域需求将得到明显提升。
身份数据“木桶效应”显现 传统技术已无法阻挡黑客脚步
更为要紧的是,传统身份技术已经无法阻挡黑客的攻击。近日,Reddit宣布,6 月份的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分。值得注意的是,这次攻击绕开了Reddit通过短信实现的双因子认证(Two-Factor Authentication)系统,这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。
其实,全球普遍采用的双因子认证系统非常脆弱,黑客先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。
通过短信验证码登录账号后,黑客可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”、“拖库”等方式,就像拼图一样集齐用户的姓名、身份证、银行卡号等信息。
在黑客术语里面, “拖库”是黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量用户数据之后,黑客会通过一系列技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。
黑产攻击会考虑性价比,根据目标价值采用相应的技术手段,对于用户来说,从隐私数据入手,依然是最廉价的。简单的密码基本没什么用,都在黑客的密码字典里。密码绝大部分是加密存储,有一个秘文,通过解密算法也无法得到明文,但此前有些网站的数据库明文加密文一起泄露,而明文和密文构成一张表,这就是黑客的密码字典。早在几年前,信息泄露的数据量以亿计算,黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码,否则基本都在黑客的密码字典里。
DIDs重构互联网缺失的身份层 成为为分布式身份管理基石
反观中国,身份窃取、欺诈的问题更为严重。目前,中国的身份信息认证还处于十分初级的阶段,即依靠身份信息录入公安部授权的核验系统,但如果用户拿别人的身份证去系统核验系统是无法佐证的,于是很多平台需要手持身份证拍照,再通过人工比对来进行审核,但对于PS的图片,人工就无法发挥作用了,更何况制假成本低廉,已经形成了黑色产业链条来专门贩卖这些资料。
因此,不同认证信息的交叉比对显得尤为重要。但即便互联网平台引导用户进行了不同纬度信息的上传,他们仍然无法核实这些信息的真实性,比如用户的手机号与银行卡背后的身份信息是不是一致,芝麻信用分和注册认证手机是不是一致,都无法进行交叉认证。
然而,数据交叉认证的实现在于各个认证机构愿意将认证数据进行共享,这在当前环境下实现的可能性非常小,除非有一家共同认定的第三方机构可以整合不同认证渠道的信息交叉核验,否则我们希望看到的网络身份认证就谈不上所谓“真实性”。
刚刚所说的身份“真实性”认证仅仅是身份验证的第一步,更进一步的类似于学历、房产、央行征信等这类资料内容目前还处于半封闭式查证阶段,必须手动或人工进行审核查验。而涉及民政的婚姻状态更是处于完全封闭状态,数据未进行全国打通,也无法开放给第三方进行核验。
而分布式标识符(Decentralized Identifiers,简称DIDs)恰恰为数字身份的共享、交互与交叉验证提供了技术可能,成为构建互联网身份层的基石。分布式身份基金会将DIDs定义为“分布式身份,通过与零信任数据存储相关联的区块链身份来锚定。”
在过去的几年中,一些团体已经开始独立研究分布式身份方案。
1、W3C:Web支付工作组和W3C可验证声明工作组,由数字集市的Manu Sporny和David Longley领导,他们认识到真正的便携式数字凭证需要一种新的标识符,它不依赖于第三方进行注册或解决。
2、XDI.org:XDI.org注册工作组由OASIS XDI技术委员会联合主席Drummond Reed、Markus Sabadello和互联网身份工作组(IIW)联合创始人Phil Windley领导,她们正在寻找一种分布式解决方案,用于识别全球点对点XDI语义数据交换网络中的参与者。
3、Rebooting the Web of Trust(RWOT):由Christopher Allen领导的RWOT开始探索区块链技术是如何被用来实现分布式数字身份和信任网络。
4、美国国土安全部(DHS)科学技术理事会:由身份和数据隐私项目经理Anil John领导,开始研究区块链技术如何被用于保护隐私的分布式身份管理。
作为一种全新的标识符,DIDs用于可验证的“自主权”数字身份,其完全独立于任何集中式注册中心、身份提供者或证书颁发机构。在一个分布式的身份系统中,实体可以自由地使用任何共享的可信根(Root of trust)。全球分布式账本(或分布式P2P网络)提供了一种管理信任根的方法,既没有中心化权限,也没有单点故障。在组合中,分布式身份系统可以在任意数量的分布式、独立的可信根基础上,让任何实体创建和管理自己的标识符。
这些实体通过DIDs来识别,他们可以通过声明进行认证(例如数字签名、保护隐私的生物识别协议等)。每套DIDs包含至少三样组件:加密材料、认证套件和服务端点。与身份验证套件相结合的加密材料提供了一组验证机制,这些机制可以被用来验证特定的身份(例如公钥、匿名生物特征模板等),服务端点可以用来启动与实体的可信交互。
这种设计消除了对集中式注册中心的依赖,以及密钥管理的集中证书颁发机构——分层PKI(公钥基础设施)的标准模式。因为DIDs驻留在分布式账本上,每个实体都可以作为它自己的根证书颁发机构——一个被称为分布式公钥基础设施(Decentralized Public Key Infrastructure,简称DPKI)的体系结构。
在更深层次上,DIDs这种分布式公共密钥基础设施将对全球网络安全和个人隐私产生巨大影响,就像为Web开发的安全协议SSL/TLS协议一样。
我们认为,DIDs将有机会构建起互联网缺失的“身份层”,并且很可能最终取代目前的大部分互联网身份基础设施,包括用户名、域名、证书权威和集中式身份服务。虽然要适应这种去中心化的身份管理可能还需要较长的一段时间,但它无疑会成为身份认证、数据共享以及信息传递更好的解决方案。
(作者:IDHub,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?