由Malte Pollmann,CSO的Utimaco
数字欺诈从未如此普遍。到2025年,欺诈可能每年损失全球105万亿美元,这确实是惊人的。在线欺诈的核心是一个基本问题:您如何看待一个人是他们说自己在计算机上的人?
在现实生活中,从面孔到指纹和DNA,我们都可以清楚地识别出我们身份的标记,并由护照和驾驶执照等经过认证的文件补充。一个人的能力总是有限制,因为他人像其他人一样传下来。在线,如果一个人(或越来越多的自动化机器人)在网站上输入正确的用户名和密码,那么他们可以完成真正设置帐户的人可以做的一切。显然,需要与我们的离线身份一样强大的数字身份。
“数字身份”一词尚未明确定义。从某种意义上说,每次注册在线服务时,我们都会创建一个新的数字身份,而在许多应用程序中,这是否与用户的真实身份相对应。大多数互联网用户都有一个并非基于其真实姓名的电子邮件地址,在论坛上,Twitter和Instagram等社交媒体网站或在线约会假名或直接发明的角色是常态。数十年来的互联网使用,普通用户将积累数十种用户名和密码的组合。有多种简化这种混乱的方法:使用密码管理器或通过Google或Facebook登录。微软已经通过切换到制作密码的迈向了指纹,面部识别和身份验证器应用。
互联网已从BBS组和论坛上移动,这些论坛充满了颜色命名但匿名用户。现在,我们是一个越来越多的生活的地方,包括涉及银行等敏感数据的地方。我们如何为人们今天使用互联网创建数字身份?
我们如何保证身份?
经典或模拟身份检查基于具有高度保护伪造的文件,该文件由政府等可信赖的权威发布。当然,这种信任通常只扩展到一个国家的边界,因此有时在一个司法管辖区发行的ID不会实现其目标。随着互联网是全球现象,问题成为如何为连接世界创建数字身份的问题。
当前,对于重要的数字交易,例如开设新的银行帐户,必须将模拟身份文档上传到应用程序和网站上,然后由自动化系统或人类检查。前者会产生错误的下降,因为使用这些系统的任何人都可以告诉您,后者很昂贵且难以扩展。那么,必要的方法是弥合数字和模拟之间的差距:像IBM这样的公司已经在为此努力基于区块链的解决方案。
生物识别技术始终被吹捧为避免受信任权限发布ID的必要性,并在移动设备上广泛使用。它们很有用,但是存在一些缺点 - 除非有一个集中式的指纹数据库,这是不太可能发生的事情,唯一确保一套指纹属于试图通过在线服务建立新帐户的指纹的唯一方法是通过上面提到的身份证明自己的身份,因此可以偷走了一个名称,因此可以偷走了一个名称,因此可以偷走一个名称,因此可以窃取自己的身份,并设置了一个人的身份,并设置了一个人的身份,以至于他们的身份有一个新的帐户,因此可以偷走一个属性的范围指纹。它们对于快速签署现有帐户非常有用,但仅部分解决了连接数字和物理身份的核心问题。
从模拟到数字的身份
模拟证明的身份证明(无论是公用事业账单还是指纹)转移到数字空间中只是电子身份的挑战之一。另一个是保护EID免受滥用和数据泄漏。这意味着,必须有一种简单的方法来确定介绍给它的开斋节是否真实的方式。发行和管理数字身份的权威在这里发挥了重要作用:通过政府机构发行或通过认证和审计程序,它可以保证您的诚信,如果是私人公司。
如果电子ID变得广泛,那么对其进行监管的公司和规范的公司将必须决定他们可以认为是值得信赖的。但是,是否有任何给定证书是真实的,仍然有待澄清。这是不对称加密开始发挥作用的地方:每个开斋节都将包含一个简单的公钥和一个指数较大,更复杂的私钥。如果您有一个私钥,那么生成其相应的公钥相对容易,但是在功能上进行反向是不可能的。任何人都可以使用公共密钥,但是只有一个私钥可以与之匹配。可以将其视为灰姑娘的故事:可以制作任何数量的玻璃拖鞋,但它们只能容纳一只脚。
这种方法的唯一问题是私钥必须绝对保密。硬件安全模块(HSM)是为了创建,存储和保护私钥的目的而构建的,因此为什么在任何应用程序中建立“信任根”时它们是标准的。
未来的电子身份文档可能是生物识别,基于区块链和私钥的方法的结合,因此,在这个领域工作的公司必须了解并开始建立其基础设施以解决21世纪的关键问题之一,这一点很重要。
关于作者
Malte Pollmann是CSOUtimaco。 Malte Pollmann自2008年以来一直是UTIMACO管理委员会的成员,从2011年到2019年一直担任首席执行官。他目前担任CSO(首席战略官)的职位。此前,他曾是Lycos Europe NV(Bertelsmann公司)的产品总监和业务部门负责人。马尔特(Malte)获得了德国帕德伯恩大学(Paderborn)和凯瑟斯劳特(Kaiserslautern)大学的物理学硕士学位,在法国芬坦因布洛(Fontainebleau)的Insead接受了一般管理教育。与他在Utimaco的工作并行,他还在国际IT安全学院的监督委员会任职 - Bochum的ISITS AG。
免责声明:生物识别更新行业见解已提交内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
