跳過主内容

為何未來的數位身分識別將採用分散式做法

Microsoft 安全性資深產品行銷經理 Melanie Maynes

身分識別正大舉邁向數位化,而我們持有的眾多實體認證也逐漸轉換為數位格式。每天,我們都會透過線上和離線等形式,將這些數位認證用於工作、學習、遊戲、社交、購物和服務利用等用途。數位認證不僅方便,也廣受歡迎,現在更可讓我們在彈指之間兼顧上述生活層面。半數以上的全球經濟皆奠基於數位技術,或深受其影響1。數位資訊除了具備流動性,也會在不同服務之間相互連結。然而,數位資訊卻非全然由個人控制。

數位身分識別正歷經重大轉型,旨在提高安全性、尊重隱私權,並提供可攜性。過去,網際網路並未徹底建立身分識別機制,導致公司必須和每個人建立單一關係。而開發這些個別的帳戶,並將其逐一存放在不同公司擁有的中央資料庫中,也衍生出越來越多的安全性風險和隱私權漏洞。單純將商務程序或實體 ID 數位化,並無法降低上述風險。我們需要建立一個身分識別系統來集結身分識別,將其交付給個人擁有,並讓數位身分識別能透過值得信賴且安全無虞的方式加以攜帶。

Two phones displaying a woman's driver license. First image shares all information on the card. Second image only shares the name and age.為了進行說明,我們將以實體駕照為例。舉例來說,我們可以將駕照數位化,進而以智慧型手機錢包中的數位卡片取代實體駕照。如果遇到需要使用駕照證明年齡的情況,採用數位駕照將有助於輕鬆出示給零售業和服務提供者檢視,但在此同時,上述對象也能輕而易舉地查看您 ID 上的資訊,例如生日和性別,繼而引發追蹤和隱私權方面的考量。好在,只要採取適當的機制,就可望改善隱私權和安全性。相較於單純將駕照數位化,並將 ID 中的所有資訊轉換成手機上的影像,採用分散式方法不僅可讓您擁有身分識別,還能證明資訊已經過確認,如此一來,您就能分享駕照中的必要資訊,並在需要時加以撤銷。讓我們來逐步檢視數位化和分散式認證的差異。

安全性和數位身分識別

將身分識別數位化只能以數位方式呈現資產,並不表示以數位方式呈現的資產和原始檔案或文件享有相同的保證層級。雖然以數位方式呈現的資產可能由官方進行核發,但確認者可以為其製作數位副本並加以儲存,讓您無法加以掌控。認證用途往往需要仰賴應用程式,但應用程式也很容易發生資料外洩。為了證明當事人確實為其所聲稱的人士,過去一向採用使用者名稱和密碼等驗證方法。一旦帳戶遭駭,就需任由公司擺布,才能重新取回自身所屬的帳戶和個人資料。若採用分散式機制,就能透過確認數位簽署認證的方式,證明自己確實為實體身分識別的真正所有者。個人可以使用安全且加密的錢包來儲存其身分識別資料,並輕鬆控制其存取權限。分散式身分識別能同時免除使用者名稱和密碼的必要性,並與其他形式的驗證機制搭配運作,以提供所需的證明層級。

隱私權和資料保護

隨著數位化日益普遍,隱私權考量也成為一大焦點。大眾對組織收集並從中獲益的資料量有著越來越高的意識,這也導致某些人會轉為使用 VPN 或分享錯誤資訊,以降低所收集資料的價值2。一般資料保護規定 (GDPR) 等資料保護法的目的,在於賦予使用者更多控制權,以利他們查看或管理自身資訊,但此舉卻無法完全解決問題。相較於取得您身分識別資料的副本,公司可向個人要求權限,如此即可透過數位方式,在不加以儲存的情況下存取所需資訊並確認資料。目前,業界正在開發包括零知識證明在內的新標準化概念,讓其中一方向另一方證明指定的陳述是真是假,例如證明您的年齡或國籍。如此即可將分享的資料限縮在真正需要的部分。對組織而言,此舉可讓使用者完全掌控其所分享的資訊,並自行控管自身的資料,進而減輕管理個人身分識別資訊 (PII) 的負擔。我們深信,選擇性揭露和最低限度的資料交換,都是分散式身分識別的關鍵需求。

可攜性和監控能力

還記得透過電子郵件分享文件副本的做法嗎?直到儲存至雲端的機制問世後,此一做法才逐漸式微。舊有做法會導致同一份文件擁有眾多副本,進而難以追蹤變更,或釐清哪個檔案為最新版本。採用分散式方法,人們就能將身分識別資料的原始版本儲存為個人專屬裝置上的認證,使用專屬的私人金鑰進行加密簽署,並將記錄分享給任何組織。隨後,組織只需檢查總帳,就能確認該記錄是否來自可靠的來源。使用者可一手掌握資訊的使用方式,以及組織存取資訊的期限。大眾和公司可以使用開放式標準規格,例如全球資訊網協會 (W3C) 提供的可驗證的認證,輕鬆跨越眾多平台和服務來接收和出示認證。如此一來,人們就能與組織建立互惠關係。

後續步驟

雖然將認證轉換為數位格式並非新的做法,分散式身分識別卻大舉超越此一範疇,讓個人只需確認其認證一次,就能加以使用在任何地點,以做為證明之用。將控制權轉換到使用者身上後,他們就能確切管理想要分享的內容和分享期限,並保護存放在專屬數位錢包中的資料。

儘管適用於分散式身分識別的標準仍處於制定和測試階段,現在正是探索各種使用案例的最佳時機。不妨考慮分散式做法可於哪些領域發揮哪些優勢,繼而嘉惠您的事業,例如讓員工和約聘員工快速上線、針對高額應用程式的存取權限授予提供額外的保障,或是復原帳戶等。隨著網際網路、貨幣、資產和其他項目邁向去集中化,未來,分散式身分識別系統將成為維繫信任和安全性的重要關鍵。

深入了解 Microsoft 的分散式身分識別解決方案

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。

欲瞭解更多,請至微軟官方部落格

更多故事