過去一年發生的許多事件為2020年的數位身分識別(Digital Identity)帶來了巨大的變化。以下是去年已發生事件與今後預測的概要分析。
文/Susan Morrow 譯/曹乙帆
在2019年,隨著當前世界意識到數位身分識別的目的和力量後,身分識別領域開始睜開眼睛,從沉睡中甦醒起來。
數位身分識別已經從傳統的身分識別與存取管理(Identity and Access Management, IAM)的灰燼中浴火重生,成為網路安全的核心主旨。身分識別在一個日益數位化的世界裡無處不在。在每台裝置上,身分識別就像保齡球十支球瓶中「第一瓶」(Center Pin)的重要性一樣,不僅可以控制資源的存取,還可以控制它們所使用的資料。
機器中的人無異是安全上與實際身分識別上的一大關鍵。資料外洩事件在2019年上半年增加了54%。所謂我們的資料指的就是我們的身分識別資料而言。為了讓人們獲得充份授權,我們必須先將不同的存取權限賦與至不同的身分上。進入2020年,數位身分識別是否會迎來一個成熟的新時代呢?且讓我們逐步為您剖析。
我們身處何處?
當前的身分識別所呈現的是一個由數位身分識別提供者(Identity Provider)、資料屬性分析服務、社交網路帳號與相關登錄,以及基於App的身分識別(App-based ID)組成的混亂場景。以下茲列舉出當前身分識別生態系統中主流廠商的主要重點。
身分識別與API
在2019年,隨著許多較老舊的身分識別公司經歷過一番自我改頭換面的變革,將公司產品「重新編碼」改造成為API版核心產品之後,傳統身分識別平台因而能再度以API的新樣貌東山再起。這是有意義的變革之舉。數位身分識真的只不過是個人資料的一種時髦說法罷了。
我們在線上所使用的數位身分識別,通常被用來表示一筆交易的證明或對某一資源擁有所有權的聲明。這個證明是更廣泛連串事件與資料共享的一部分。身分識別帳號中的「權利聲明」(Claim)是存取資源的入口;這些聲明可以驅動任務並提供服務。
緊躡API潮流是一個自然發展的過程,它反映了當代大量數位身分識別資料的連動性。API式數位身分識別的採用,為模式類型日益廣泛之消費者App與服務的連接提供絕佳彈性。其中一項由歐盟「第二號支付服務指令」(The second Payment Services Directive, PSD2)推動的這類服務,會要求銀行向第三方供應商(Third-Party Provider, TPP)提供開放API以進行整合。跨使用者帳號分布點的連接(由使用者身分驗證和身分識別權利聲明所驅動)是線上身分識別成熟度的關鍵部分。
公民身分識別
2019年,公民身分識別(Citizen Identity)計畫歷經了時好時壞、幾度興衰的狀況。在英國,政府推行的「Verify」數位身分識別計畫失去了許多知名品牌身分識別供應商的支持,這讓該計畫失去了使用者可選的核心功能。在印度,在生物辨識身分識別系統Aadhar爆發了影響12億公民的大規模身分識別資料外洩事件之後,政府試圖重新制定身分識別方案,儘管該計畫的倡導之舉引起了一些人的擔憂。包括加拿大在內的許多國家的政府都在繼續探索公民身分識別機制推行的可行性,其中加國政府便嘗試透過加拿大數位身分與身分認證委員會(Digital ID & Authentication Council of Canada, DIACC)建立了泛加拿大信任架構(Pan-Canadian Trust Framework, PCTF)。諸如喀麥隆、比利時、日本及義大利等國開始實施新的公民身分識別計畫。
自主身分識別
身分配置(Identity Provisioning)之中一個會帶給人們「全新身分識別震撼」感受的領域,莫過於去中心化身分識別(Decentralized Identity,亦即自主身分識別)運動。在2019年,自主身分識別(Self-Sovereign Identity, SSI)或去中心化身分識別,在很多方面讓人感覺它代表了身分識別光譜的極端。然而,直到目前為止,隨著資料自主權掌握在發佈機構(通常是政府)手中,身分識別資料大都屬於集中式的,反觀自主身分識別則完全讓使用者來負責管理他們自身的資料。
在2019年裡,身分識別產業專家不是喜歡它,就是討厭它。事實上,在後一陣營的許多人多半都保持沉默,以避免遭到強力反駁。筆者就曾在2019年向SSI社群詢問了以去中心ID商業化應用為核心的三個問題。Sovrin基金會(The Sovrin Foundation)主席Phil Windley試圖在個人後續跟進的部落格中回答這些問題。Phil總結指出,雖然SSI可能不是解決身分識別問題的唯一方法,但它卻是唯一最普遍通用的方法。其他身分識別系統與協定將繼續存在,並與身分識別後設系統(Identity Metasystem)相界接。
讓人昏頭轉向的ID社群混合體
當前數位身分識別顯得有點雜亂。該領域經常呈現一出種擁擠且模糊不清的樣貌,其充斥著各種提供了更大迷團的服務和應用程式。這個謎團,也就是Windley所指出的身分識別後設系統,是由自主、公民、消費者以及基於App的ID或部分ID所混合組成的。該系統從其他服務獲取資料,包括身分驗證、詐欺檢查、屬性提供者以及像是Facebook等社交平台等登錄服務。如果身分識別後設系統的範圍不廣、性質不複雜的話,那麼就什麼都不是了。
「2019年,蘋果所推出的「Sign in with Apple」服務加入了混雜了該後設系統所有身分識別廠商的行列。對於採用像是臉書與Google等社交網路服務商之登錄機制而言,蘋果產品無異是支持隱私權強化的競爭對手。AppleID主要基於OpenID Connect (OIDC)身分識別通訊協定。OpenID Connect基金會在2019發布了一封致蘋果公司的公開信,要求他們研究包括互通性和測試議題在內的多個領域。蘋果最後做出回應、修復問題,以完全相容於OIDC標準協定。
透過編排促進身分識別
一個在2019年已趨成熟的關鍵想法就是,身分識別已經成為一個真正(且最終)全面發展的生態系統。API方法已安頓好一切,展現了身分識別和資料的全部能力。將身分識別生態系統的所有參與者齊聚一堂無疑是致勝的撒手鐧,我相信它能個人和企業獲得充份授權。編排服務(Orchestration Services)能給予不斷擴展的身分識別生態系統新的生命力,這使得該生態系統得以套用至從存取管理到「了解你的客戶」(Know Your Customer, KYC)的所有面向。透過編排引擎便能將整個身分識別謎團中的各個API小拼圖組合在一起,進而讓身分識別管理進入到一個可以跨越消費者需求和企業需求之邊界的新紀元。
數位身分識別的下一步為何?
聯合國(The United Nations, The UN)和世界銀行(World Bank, WB)有一個目標。透過身分發展(Identification for Development, ID4D)計畫,他們希望確保地球上的每個人到了2030年都擁有合法的ID身分。進入2020年,筆者由衷希望我們可以開始朝著這個目標努力。以下是筆者對今年接下來可能發生事情的看法:
- 自主身分識別成為你就近的身分識別服務?已經有一些先導專案在探索SSI的可能性。一些政府正在研究將自主身分識別作為提供公民身分識別服務的一個可能選擇。現在還處於去中心化身分識別的早期階段,但是在這個領域裡有很多有力人士與知識分子在推動它,所以今年它可能會開始嶄露頭角。
- 更多透過編排的選擇?使用數位身分識別不外是為了以某種方式分享個人資料或提供資訊以推動交易或存取資源。資料共享不是二進位制的。2020年將是「資料流動」(Data-Fluid)開始發揮影響力的一年。組織和個人都需要充份利用高度彈性的資料服務來展現良好的線上體驗。他們也需要善用現有的數十億帳戶。不要白費力氣做重複的事情,這樣只會浪費無謂的時間與金錢。資料和身分識別編排與API方法才能讓身分識別生態系統最終開花結果、蓬勃發展。
- 更多的資料外洩?如果沒有更多的資料外洩事件,我會感到驚訝,畢竟資料是有價值的。筆者曾在先前的文章中提到過,我完全相信深度偽造(Deepfake)會導致性勒索(Sextortion)和商務電子郵件詐騙(Business Email Compromise, BEC)等犯罪行為的大行其道。然而,深度偽造需要被餵食,而身分識別資料就是它們選擇的食物。資料外洩將涵蓋更多的行為資料和圖像,包括那些透過人臉辨識所捕捉到的資料。我們需要加強我們的身分識別系統和任何持有身分識別資料帳號的防護能力,以抵禦深度偽造式資料竊取攻擊。
數位身分識別發展樣貌
筆者在此想說的是,今年所有的數位身分識別問題都終將獲得解決。比如,讓所有人都獲得數位身分,並確保那些在網路上只有很少或完全沒有任何數位足跡的數位失能者(例如難民)也有權獲得安全、可用的線上身分。另外還有一些人因為系統設計的複雜性而無法獲得數位身分識別,比如被肯亞ICT行動網路聯合負責人 Grace Mutung’u 所討論的肯亞政府數位身分識別計畫。
系統設計可說是筆者希望在今年能看到進展之身分識別中的關鍵領域。身分識別已成為我們愈來愈需要認同與參與的事物。它是線上交易的基石;在我們個人生活和工作上都用得到它。
然而,身分識別系統的設計是當前科之中最複雜的領域之一。數位身分識別生態系統涵蓋了從安全性到隱私權到可存取性再到可用性的所有面向。在消費者層面,它們必須極具可擴展性、回應能力和高度連接性。他們需要聰明的規則,讓他們能夠根據環境的決定做出改變。他們應該讓用戶密切關注並控制自己的資料和資料所驅動的交易。我期待極佳且精心設計的身分識別系統能在今年裡等著我們。
俗語常說:「養育一個孩子,需要舉全村之力為之。」(It takes a village to raise a child.)我說:「創造所有人可用的偉大數位身分識別,需舉全球之力為之。」
