4.3 最后一些想法:身份盗窃

在我们编写本书时,通过钓鱼之类的互联网欺诈法进行的身份盗窃持续地在媒体中传播。和围绕安全的许多问题类似,这种高姿态的宣传使人们期望:科技能够在某个时候奇迹般地帮助我们转危为安。特别是新的验证技术,被看做解决身份盗窃问题的良方。

某一天,可能有人能发明完全安全并且易用的验证协议,但是与此同时,我们希望公开反对我们所认为的在身份盗窃中更容易发现的因素:在Web验证和身份管理中广泛地使用个人可识别信息(PII)。我们大多经历过使用关于个人生活的因素在在线业务中的验证:政府标识(例如社会保险号码SSN)、家庭地址、机密问题(“你曾经上过哪所中学”等)、生日等。

正如Google这样的搜索引擎和2005 CardSystems安全缺口这样的事故所表明的,现在许多个人陈述已经不在是真正的机密。加上社交网络的流行,这些因素使所谓的个人信息成为我们生活中最没有秘密的方面(Paris Hilton,你在听吗?),因而是糟糕的证明。所以我们希望对那些能听到这些话的企业提一个简单的要求:不要再收集我们的PII,也不要考虑使用它来证明我们的真实性!