NSTIC (Национальные стратегии по обеспечению доверенной идентификации в киберпространстве) онлайн-программа проверки личности больше не является теоретической вероятностью, NSTIC уже существует и работает, отчасти благодаря Google. И что теперь?
NSTIC (Национальные стратегии по обеспечению доверенной идентификации в киберпространстве) онлайн-программа проверки личности, больше не теория и не возможная вероятность, NSTIC уже готов и находится в рабочем режиме. И что теперь?
Те, кто следят за мной, читают меня или общаются со мной, уже знают, что означают эти пять букв, но на всякий случай давайте рассмотрим NSTIC, что это значит, а затем, где мы сейчас находимся.
Немного предыстории
Проще говоря, NSTIC означает Национальные стратегии по обеспечению надежной идентификации в киберпространстве. Это программа, которая контролируется на федеральном уровне, но проводится в частном порядке с целью проверки личности (онлайн).
Что это значит? NSTIC был разработан для устранения «проблемы» с паролями путем замены паролей системой «доверительной» проверки, при которой веб-сайты будут знать, что вы являетесь тем, кем вы себя называете, используя учетные данные от стороннего поставщика удостоверений.
Так как же это работает?
Экосистема удостоверений, как обычно называют NSTIC, состоит из следующих участников: Пользователь (или я), Проверяющая сторона (RP) и Поставщик удостоверений (IdP), которые обмениваются цифровыми данными для проверки и идентификации. сказать, что ты - это ты.
Давайте рассмотрим случай сайта с возрастным ограничением, например Pandora. Для использования сайта Pandora требует, чтобы мне, пользователю, было 13 лет. Однако при этом ему не обязательно знать мой настоящий день рождения, если «кто-то другой», которому он доверяет, может сказать, что мне больше 13 лет. Именно здесь начинает свою работу процесс «доверия» или «Экосистема идентичности».
Итак, процесс работает следующим образом: Я, пользователь, захожу на Pandora.com. Пандора спрашивает «меня». Тебе 13? Вместо того, чтобы я сообщал дату рождения, как сегодня, мой провайдер идентификационных данных, который хранит часть проверенных данных обо мне и которому также доверяет Пандора, говорит: «Привет, Пандора! Да, это Кристина, и да, ей больше 13 лет. Ты можешь ее впустить». Pandora доверяет моему поставщику удостоверений (IdP), и мне разрешен доступ к сайту. Ух ты! Круто, правда?
Это хорошо, правда?
Ну защитники вам объяснят, что для вас, пользователя, все это намного лучше, потому что здесь:
- Нет паролей, которые нужно было бы запомнить.
- Подробных данных для обмена нет (т. е. Пандора знает, что мне больше 13 лет, но не знает, когда я родился.
- Это всего лишь одна точка доступа, которая упрощает защиту вашей информации.
Защитники экосистем говорят нам, что мы получили более безопасный Интернет с большей конфиденциальностью и повышенной анонимностью. Ну, так говорят защитники.
Критики говорят, что вы попали в Страну чудес, и все, что кажется правдой, на самом деле является путешествием в зазеркалье. Если одна дверь менее безопасна, чем многие (одна точка доступа или несколько входов в систему), ваша конфиденциальность сохраняется за счет того, с кем вы взаимодействуете, а не за счет того, кто ее содержит, и в хорошо отслеживаемых системах не существует такого понятия, как анонимность. мире, в лучшем случае это может быть псевдоанонимно, поскольку ваш IdP знает, что вы делаете - и кто за ними наблюдает?
Круто! Никаких больше паролей
Больше никаких паролей - это главное преимущество программы NSTIC для Пользователя (меня), поэтому требуется много читать и анализировать документы, чтобы понять, что не указано и что такое такие слова, как «конфиденциальность» и «Анонимность» означает в экосистеме идентификации, а затем почему в мире они важны для маркетолога поисковых систем, помимо личного.
Иллюзия конфиденциальности в НСТИЦ
Итак, прошел год в NSTIC, а вопрос конфиденциальности, похоже, все еще находится на переднем плане. В чем проблема? Что ж, защитники скажут вам: «Видите, это дает вам БОЛЬШЕ конфиденциальности!» Поскольку вам не нужно предоставлять этим веб-сайтам, с которыми вы взаимодействуете, какую-либо информацию, ваш IdP подтвердит ваше имя, адрес, возраст, социальное обеспечение, кредитную карту и все остальное, что ваш IdP хранит в своей учетной записи «подтвержденной личности». Тогда все, что вам нужно сделать, это передать «учетные данные», которые передают ограниченные объемы данных от IdP к RP (сторонний веб-сайт).
Звучит здорово, правда? Ну, если только мы не подумаем об этом.
Если у нас есть IdP или даже несколько из них, у нас больше не будет многих веб-сайтов, с которыми мы могли бы совершать транзакции только на ограниченной основе или для ограниченных целей. Скажем, я являюсь ежедневным пользователем Amazon.com. Amazon.com до сих пор располагает очень ограниченными данными обо мне, которые в настоящее время имеются у большинства веб-сайтов. У них есть мое имя, адрес и способ оплаты. Эта информация нигде не содержится ни в одном ведре. Он распределен по конкурирующим предприятиям во многих сегментах.
Не с IdP, все ваши проверенные данные хранятся там, независимо от того, нужны они или нет, потому что здесь есть более серьезные требования. Теперь IdP должен подтвердить, что вы являетесь тем, кем вы себя называете, подтвердить ваши учетные данные и стать вашим надежным источником проверки.
Теперь это не просто имя, адрес и платежные данные, а то, что вы - это вы, и вас можно подтвердить как вы. Так что ваша конфиденциальность на самом деле не является частной. Кроме того, единственными законами, регулирующими сбор данных, являются Принципы добросовестной информационной практики (FIPP), которые можно подписать с помощью TOS и одним нажатием кнопки.
Таким образом, ваш IdP может хранить все эти данные о вас и о том, куда вы идете со своими данными, с кем вы взаимодействуете, но не существует законов, регулирующих то, что IdP делает с этими данными, за исключением самых слабых из тех, которые могут быть щелкнул кнопкой TOS.
Анонимность отслеживается - бывает ли она анонимной?
Другая претензия на известность NSTIC, большая распродажа, заключается в том, что вы будете анонимны на сайтах, которые посещаете. Вы будете Джейн Доу, но IdP может подтвердить вас, и вам не придется раскрывать больше, чем самый ограниченный объем данных.
Но опять же, у нас есть те же проблемы, что и в сфере конфиденциальности: то, что отслеживается, не является частным или анонимным, и не существует законов, которые могли бы помешать IdP делать с вашей информацией то, что он хочет. Фактически, PayPal уже пыталась ликвидировать нынешний совет по конфиденциальности в пользу ослабленного набора руководящих принципов.
Безопасность! Одна крепкая дверь
Наконец-то появилась безопасность, теория единственной сильной двери. Однако, поскольку данные всех крупных структур, включая ЦРУ и ФБР, скомпрометированы, я думаю, что возьму множество несвязанных между собой слабых дверей, а не одну большую надежную. Почему? Потому что не существует такой вещи, как дверь, достаточно прочная, чтобы удержать всех, кто хочет войти и выйти наружу.
НСТИК - уже не возможность, а реальность
В прошлом году NSTIC представлял собой теоретическую концепцию. Конечно, Google, PayPal и Equifax были сертифицированными на федеральном уровне поставщиками удостоверений (IdP), и существовали руководящие органы, массовое участие правительства и частные фирмы, которые жаждали пресловутой части. Однако это все еще было теоретически. Идея заключалась в том, что это могло бы быть реализовано когда-нибудь в не столь отдаленном будущем. Это уже не так.
Этой осенью центры Medicare и Medicaid (CMS), а также Управление управления и бюджета (OMB) планировали перейти на экосистему идентификации NSTIC.
“Центры услуг Medicare и Medicaid хотят отказаться от предоставления учетных данных и вместо этого использовать Национальную стратегию доверенных идентификационных данных в киберпространстве, или NSTIC, по словам директора по информационным технологиям CMS Тони Тренкла”
Но это касается не только федерального правительства; было одобрено шесть пилотных программ NSTIC в различных отраслях, включая электронную коммерцию, здравоохранение, образование и даже Департамент транспортных средств штата Вирджиния.
Эти пилотные программы предназначены для изучения различных реализаций NSTIC и того, как они работают, а затем отчитываются в программный офис NSTIC об их успехах (или их отсутствии), чтобы лучше моделировать реальные применения программы, когда она будет реализована. реализуется в более широком масштабе.
Хорошо, так почему же это волнует поискового маркетолога?
Итак, вам, наверное, интересно, окей, как вы собираетесь связать все это с G+ и Эриком Шмидтом?
Одним из наиболее важных компонентов программы NSTIC является то, что она является добровольной. На самом деле это ДОЛЖНО быть добровольным; никого нельзя заставить подписаться на это. Конечно, добровольность - это иллюзия, если все ваши государственные службы в конечном итоге будут ее использовать, но, скажем, это чисто добровольно и конфиденциально, как вы заставляете людей регистрироваться в NSTIC?
Google+
Как компания, если вы хотите стать частью экосистемы удостоверений, вы получаете федеральный сертификат одного из поставщиков удостоверений.
G+ «социальная сеть» - это часть компании, которую совсем недавно цитировали: «G+ - это Google, а Google - это G+». Итак, если «G+ - это Google, а Google - это G+» и если Google - федерально сертифицированный поставщик удостоверений личности, то, возможно, цели G+ - это то, что сказал Эрик Шмидт, то есть G+ - это не социальная сеть, а служба идентификации, а Google теперь готов стать IdP для более чем 300 миллионов пользователей, когда система NSTIC будет полностью развернута.
И где еще мы можем увидеть доказательства работы экосистемы идентификационных данных в Google?
Авторские патенты
Одно из наиболее примечательных мест, где можно найти прямое сходство между системой NSTIC и Google, - это патентные заявки Google. Особенно, если вы прочитаете патенты на авторство и контент, в которых говорится:
“Проверка личности пользователя путем проверки учетных данных пользователя; и после проверки личности пользователя создают значок автора для контента, размещенного пользователем онлайн, при этом значок автора включает в себя идентификатор значка; передача бейджа автора на клиентский компьютер»
Личность автора подтверждается с помощью учетных данных авторства, передаваемых от пользователя третьей стороне. Знакомо?
На самом деле, в историях между SEO-специалистами есть неофициальные свидетельства того, что контент некоторых авторов не может ранжироваться или индексироваться и что автор был отмечен. Прочтите патенты, и вы увидите, что это не только возможно, но и в патентах это обсуждается.
Кроме того, автор проверяется по его онлайн-репутации, социальным сетям, образованию, известному опыту и другим факторам «доверия», которые могут быть перенесены не только на автора, но и «[0013] от одного интернет-издателя к другой.»
Помните, как Эрик Шмидт упоминал о людях, нуждающихся в нескольких личностях в течение жизни, NSTIC и обзор патентов авторов начинают заставлять эти «сумасшедшие шмидтизмы» внезапно выглядеть рациональными заявлениями.
Где еще мы видим действующую экосистему идентичности?
Кто из вас знает о панели управления Google?
Панель управления Google - это место, где Google позволяет вам проверить всю информацию, которую Google хранит о вас. Если вы никогда там не были, это может показаться вам особенно откровенным и, возможно, пугающим, в зависимости от того, сколько бесплатных сервисов Google вы используете.
С информационной панели теперь заметно удалена ссылка на некоторые данные, где Google показывал вам социальные связи, по которым они вас отслеживали. Да, они показали вам, кого вы знаете, откуда вы их знаете и с помощью какого онлайн-сервиса они нашли эту информацию. Теперь это произошло с такими вещами, как Twitter, и потеря пожарного шланга Twitter могла быть причиной того, что ссылка на эти данные больше не существует, но интересно, что ее больше нет.
Так что же еще есть на приборной панели?
О себе
Google теперь включает в панель управления раздел о вашей репутации в Интернете, о том, что вы можете найти о себе в Google, как ею управлять и как исправить ее, если она нарушена. Итак, как SEO/Ms, мы все называем это управлением репутацией, но в этом новом, более широком контексте Google как IdP, репутация выходит далеко за рамки того, появляется ли о вас плохая ссылка на первой странице.
Что еще делает Google?
Вы можете увидеть доказательства того, что NSTIC появляется внутри Google по всем направлениям. Двухфакторная аутентификация? Это рекомендация NSTIC. Изменение Политики конфиденциальности Google с США на ЕС. NSTIC - это международный проект, а не только американский. Многие недавние изменения и корректировки Google, похоже, соответствуют предпочтительным практикам NSTIC.
Мы не хотим создать впечатление, что в вашей жизни нет других IdP. Многие готовы выйти в Интернет, подготовить свои сертификаты, попросить свои учетные данные; но сейчас я могу говорить только о тех немногих, кто действительно получил свои учетные данные: Google, Equifax и PayPal. Однако знайте, что это только начало.
Всего лишь начало
Год назад NSTIC была возможной программой, которая могла войти и могла войти в вашу жизнь. Это уже не так.
НСТИК готов; он реализован для определенных услуг, предоставляемых наряду с другими методами в рамках более старой программы Federated ID для федеральных служб, таких как Medicaid и Medicare. Это пресловутый шар, спускающийся вниз, на пути которого находится ваша онлайн-личность. Вопрос теперь не в том, произойдет ли это и когда, а в том, в какой форме и как это произойдет.
NSTIC будет позиционировать себя как частный, анонимный и даже безопасный. Однако по своей конструкции это не может быть ни одна из этих вещей.
Однако еще более коварным является применение этой экосистемы идентификации к парадигме поиска. Злоумышленники в пространстве поиска могут оказаться неспособными работать без создания новой идентичности. Сумасшедший? Возможно.
Прочитайте свою панель управления Google и просмотрите все данные, которые могут быть связаны с вами как с физическим лицом, маркетологом, автором, человеком, и теперь прикрепите их к Google в качестве своего IdP, G+ в качестве входа в систему вашего IdP. который также раздает ваши учетные данные всем, с кем вы совершаете транзакции в Интернете.
Вы поняли? Никаких шапочек из фольги, потому что все это реально и все данные здесь.
Просто возникает вопрос: как далеко это зайдет после реализации, когда вам понадобится использовать свой IdP для транзакций, и что IdP также хранит/сканирует вашу электронную почту, знает, где вы были этим утром (по телефону), с кем вы разговаривали в чате/электронной почте/смс/голосовом сообщении, над какими аналитическими учетными записями вы работаете, какими Adwords вы управляете и т. д. и т. д. и все это для того, чтобы сказать, что вы тот, кем вы себя называете в сети.
Лично мне дайте пароль. Лучше несколько беспорядочных цифр, чем потенциал цифрового тоталитаризма, потому что все сделано неправильно и в нынешнем состоянии, без управления IdP? На ум приходит старая фраза: «Абсолютная власть развращает, абсолютно».
Примечание автора: я настоятельно рекомендую вам просмотреть ресурсы ниже, перейти по ссылкам на предыдущие статьи и найти необходимую информацию. Чтобы понять будущее Google, вы должны понимать Google как поставщика удостоверений, а не только Google как поисковую систему. Идентичность уже задействована, и ее важность и значение может только расти.
Ресурсы
- Запуск NSTIC на заседании Торговой палаты США (длинно, но важно)
- Программа NSTIC
- Управление НСТИК
- Объявление предложений по пилотной программе NSTIC
- Обновление конфиденциальности и анализ предлагаемых поправок к Paypal
- Промовидео NSTIC (2011) Старое видео - Неправда, о провайдере не знает