正反观点：我们需要一套互联网身份证系统

有没有朋友打电话对你说：“嘿，除非你真的想向我出售多米尼加共和国的房产，否则你的电子邮件被黑客入侵了”？或者接到银行打来的电话，问你是否真的想捐 7,000 美元给俄亥俄州某个自称是尼日利亚王子的苍白小伙子？互联网安全已经崩溃，我们需要卷起网络袖子来修复它。这就是为什么美国商会于 4 月 15 日宣布了这项新提案，旨在打击不断增长的网络犯罪。这项名为“网络空间可信身份国家战略”（NSTIC）的提案概述了由私营和公共部门共同创建的“身份生态系统”的开端，以促进更具创新性和更有效的在线身份验证方法。即使你不像我一样立即被“身份生态系统”等时髦、未来主义的短语所左右（哦，我就是这样的），仍然有许多其他理由支持加强互联网安全。

要了解此论点的另一面，请点击此处阅读我们的观点/反驳中的“反驳”。

你可能会问，“身份生态系统”到底是什么？这个概念目前还有些模糊，但它基本上是指与我们现在的网络环境截然不同的网络环境。身份生态系统不会是匿名的混战，而是允许人们使用和证明自己的身份，而这要归功于可靠的权威来源。该生态系统必然会支持一系列安全选项，让消费者可以选择如何更好地保护自己的网络身份。NSTIC 将这些安全选项称为“可信凭证”，这是一个总称，指的是任何被认为比密码更安全的设备或方法。是的，这个概念非常模糊，但别担心：可能符合可信凭证条件的大部分技术仍在开发中。

这并不是什么新想法——事实上，发明家/哲学家/不可抗力泰德·尼尔森 (Ted Nelson) 在 1960 年创立的 Xanadu 项目的工作中，早在谷歌帝国成立几十年前就预测到了这个问题。Xanadu 项目的第一条规则是什么？每台服务器都有唯一且安全的身份标识。列表的后面一点是一条类似的规则：每个用户都有唯一且安全的身份标识。尼尔森甚至预见到了在线补偿人们知识产权的问题；有了唯一的 ID，每次用户阅读文章或查看网页上的图片时，都可以从用户的帐户中扣除一笔小额支付。瞧！戏剧性的花栗鼠会发财的！但是，随着 Xanadu 的竞争对手万维网占据主导地位，这个想法不再受欢迎。

需要可信凭证来弥补密码的缺陷，密码被认为不够安全，无法保护我们想要在线访问的敏感信息。“密码有什么问题？”你可能会问。有很多问题！

密码？更像是过去的话！

如果您是一个在树屋里建立秘密俱乐部的孩子，那么密码就很棒。然而，它们在其他地方变得毫无用处。好吧，a) 无意冒犯，但正如纽约时报这篇关于流行密码的文章所指出的那样，您的密码可能没有您想象的那么狡猾，b) 随着网络钓鱼和击键记录的兴起，聪明的黑客甚至不必再猜测了——他们会诱骗您泄露您的互联网秘密。NIST 信息技术实验室高级互联网政策顾问 Ari Schwartz 认为，它们作为在线安全标准已经过时好几年了。“这实际上是联邦政府在过去 10 年中第三次尝试 [引入政策]，”他说。“但这一次私营部门的支持更多，”指的是 2011 年 2 月 17 日由倡导团体商业软件联盟、信息技术产业委员会和 TechAmerica 签署的一封公开信，敦促国会支持 NSTIC。因此显然，给国会写信有时确实是有效的！

无论如何，设想中的“身份生态系统”将为美国人提供多种不同的“可信凭证”选择，这将加强对他们在线身份的保护，而不会牺牲他们的隐私。微软、eTrade 和 PayPal 以及其他几家大公司已经表示支持，并正在努力为该战略贡献技术。

您可能会问：“什么是可信凭证？”一个例子是 RSA SecurID，这是由庞大的信息基础设施生产商 EMC 的安全部门制造的令牌。它是一小块硬件，可按设定的间隔（通常为每 30 秒或 60 秒）从唯一密钥提供数字密码。该密码与驻留在 RSA 服务器上的相同唯一密钥生成的代码相匹配。用户必须输入当时在其小型 SecurID 加密狗上显示的代码。如果与密码结合使用，令牌将成为黑客的主要障碍——许多公司都依赖 SecurID，这就是为什么该公司在一次非常罕见的黑客攻击使其客户暴露于攻击后如此彻底地惊慌失措。Google 也加入了这股潮流，于 2011 年 2 月宣布感兴趣的 Gmail 用户可以为其帐户启用额外的安全层。这种策略被称为“双因素身份验证”，可与令牌、智能卡、手机和数字证书以及其他新兴平台一起使用。

施瓦茨是两阶段身份验证的主要支持者，他希望 NSTIC 对类似安全功能的采用能够“促进创新，而不是阻碍创新”。通过摆脱密码的无效性，转而采用更安全的方式，NSTIC 可以让人们执行通常被视为风险太大而无法在线完成的任务，包括存储医疗记录和税务记录。他用互联网本身的出现来类比这种网络安全努力：毕竟，互联网最初是联邦政府的工具，后来移交给私营部门，并在那里蓬勃发展，成为如今小猫视频的聚宝盆。

隐私将得到加强，而不是被侵蚀

听着，我明白了：美国人热爱自由。美国人经常对 NSTIC 之类的计划做出下意识反应，因为他们认为这可能会侵蚀他们的个人自由。

但事实并非如此。商务部长骆家辉曾多次表示，参与 NSTIC 战略是自愿的，而且由私营公司而不是政府主导。是的，无论如何，这引起了很多强烈反对，批评者声称这是联邦权力的过度扩张，并将 NSTIC 与中国国家互联网 ID 系统进行比较。这完全不是事实。这就像将苹果派与橘子进行比较一样。

您需要更多保证吗？NSTIC 身份管理高级执行顾问 Jeremy Grant 反驳了这些谣言，他解释说：“许多其他国家都选择依赖国家身份证。我们认为这不是一个好模式。只有一个身份发行者会产生不可接受的隐私和公民自由问题。”Schwartz 详细阐述了 Grant 的声明，他解释说，政府在这一举措中的作用仅限于召集私营公司讨论切实可行的解决方案、支持他们的研究，并确保他们遵守公平信息实践原则。除了这些考虑之外，政府不会发挥任何作用。

关于本杰明的一切

我希望到目前为止我们已经明确了这一点，随着网络犯罪越来越普遍，网络安全改革本身就是必不可少的。但还有另一个好处：省钱！NSTIC 的计划有可能为国家节省很多钱。例如，奥巴马总统长期以来一直支持完全数字化的医疗保健系统。2009 年 1 月，他表示，将医疗记录计算机化将“减少浪费、消除繁文缛节，并减少重复昂贵的医疗检查的需要 [...] 它不仅可以节省数十亿美元和数千个工作岗位，还可以通过减少遍布我们医疗保健系统的致命但可预防的医疗错误来挽救生命。”事实上，2004 年至 2006 年担任布什总统健康信息沙皇的 David Brailer 博士估计，数字记录系统每年可以为医疗保健行业节省多达 3000 亿美元。这意味着每个美国公民可以节省一千美元！你打算如何花你的钱？

好吧，别急着下结论——如果美国继续大规模数字化记录，尤其是涉及医疗信息等敏感材料时，就必须有一个极其安全的身份验证基础设施。否则，每个人都会知道你是僵尸末日中的一位患者。这是全面保护政策在未来几年将提供的另一个优势。

自愿制度与强制制度

虽然许多人认为 NSTIC 超越了联邦界限，但有些人认为这还不够。网络安全专家 Stephen Spoonamore 长期以来一直倡导强制性计算机许可制度，这与汽车行业的许可制度类似。“当汽车于 1890 年问世时，任何人都可以买一辆，然后开走。直到车祸终于让每个人都屈服 [30 年后]，人们才被要求在使用汽车之前学习基本的交通规则。所有这些都与计算机直接并行。自 80 年代末推出以来，人们花了 30 年的时间才意识到你驾驶的是一辆可能伤害人和系统的危险机器。”

斯普纳莫尔认为 NSTIC 策略“行不通”，因为它是自愿的。他认为回避国家身份证系统是一个错误，德国、比利时、中国和其他几个国家都在使用这个系统。“与美国相比，德国和中国的计算机犯罪微乎其微，”他解释道。“我曾在德国研究过一些欺诈检测系统，发现信用卡窃贼、儿童色情骗子等比在美国更容易。”虽然他不支持中国模式，因为它侵犯了隐私，但他认为当前的美国系统与中国系统之间的相似性比美国和德国之间的相似性更大。“德国的执法部门有规则，需要合理的理由来调查你在做什么。在美国和中国，政府可以随时通过电脑监视任何人，而且永远不会告诉你。他们确实这么做了。”

这就是为什么斯普纳莫尔主张完全实行联邦制度，要求缴纳注册费，将 IP 地址与计算机所有者紧密关联（目前合法的做法是将 IP 地址清空，这样你就完全匿名了——太疯狂了！），并开发课程来获得不同类别的许可证。“计算机是一种交通工具（或武器），它可以带你去任何地方，让你做事，如果使用不当，可能会伤人。与任何其他交通工具或武器一样。”

互联网很棒，没错，美国也很棒，自由也很棒。但我们正处于一场巨大的信息革命之中。创造新产业和文化的无与伦比的能力带来了无与伦比的相互利用的机会。有点像蜘蛛侠的“能力越大，责任越大”的困境。网络犯罪分子像枪管里的鱼一样向我们开火。归根结底，问题不在于政府是否应该采取措施提高网络安全，而在于他们应该在多大程度上努力保护公民免受网络犯罪分子的侵害。