取消密码管理,Web2.0数字身份的双赢:提升用户体验,提升系统
Jim 20220718
一、数字身份
使用系统首先是登录,每个系统都要求用户输入账号密码,在系统中激活一个用户的数字身份。各个系统的数字身份都是专用的,使用多个系统的用户需要注册和记忆多套账号密码(多个数字身份),给用户带来记忆负担和安全隐患。
网上看到下图,表示出互联网发展从web1.0到web3.0,用户角色的变化:
随着互联网的发展,用户的角色从只读,到读写,到拥有数字资产。与此同时,用户数字身份也发生了相应的变化:
用户的数字身份,从多中心的逐个激活,到数字身份的扩展(借用),到去中心化的数字钱包的连接。
Web1.0
数字身份就是“账号加密码”,在一个系统内需要注册生成一个唯一的ID,作为用户的数字身份;同时需要用户设置密码用于下次登录验证(激活数字身份);
用户使用每个系统都需要注册账号设置密码,建立系统内部的数字身份。用户使用多个系统,就需要管理多个账号和密码,多个数字身份。随着数字化技术的发展,系统越来越多,数字身份也越来越多。绝大部分人,只能记住当前所使用的一部分数字身份,不常用的数字身份就会忘记。
这里有两个问题:
1、效率低:多个数字身份,难于管理,容易忘记,影响登录效率。
2、不安全:登录次数多,容易被偷窃,有仿冒风险。
减少用户的数字身份就成为一个目标,可以从服务方和用户方两个方向考虑:
1、服务方:站在乙方的立场,将一个组织内的一个用户的多个系统的账号密码归结为一个账号密码,建立一个统一入口(SSO单点登录),用户的数字身份在组织内减少为一个;但这只是数量上的减少,用户每加入一个新组织,就要多一个账号密码,多一个数字身份。所以这还是web1.0,web1.0的改进版。
2、用户方:以用户为中心的角度减少用户的数字身份,用户进入新组织新系统的时候,利用用户已经有的数字身份,不增加用户的数字身份;这就是Web2.0,是站在甲方的视角处理问题。
Web3.0用户只有一个数字身份,数字钱包…
二、中心化讨论
多中心,每个系统都是一个中心
数字身份ID就是中心化的,ID是在一个范围内与他人不同,是唯一的,这个范围就是由一个逻辑上的中心,来保证新用户的新ID与原有用户的ID不同,所以说数字身份ID是一个中心化的产物。
看看它是怎么产生的:
1、系统直接分配一个新的ID
2、给你几个ID供你选择,如车牌的12选1,电话号码在可选清单中挑选。
3、个性化选择:在网站上提交个性化账号,系统确认是否通过。如微信号每年可以更改一次,只要与12亿用户的微信号不重复就行。
多数中心不是全域的,例如:电话是一个中心,微信,淘宝,飞书,京东也都是一个中心,它们是以事件为中心的,涉及的人可以很多,范围可以很大,但不是人人必须的,不是全域的。
身份证号是全域的,以人为中心的,所有的人都有一个ID,全域的ID,可以看做是原生的ID。
去中心化:用户自我管理,有点怀疑?
Web3.0是想将“用户识别”这件事“去中心化”,建一个去中心化身份DID(Decentralized Identity),如比特币的钱包。但是“用户识别”是一个中心化的概念,将一个中心化的概念去中心化,有点像是一个悖论,逻辑上有点混乱。
网上说:“数字身份,从中心化身份,到联盟身份,再到去中心化身份(DID),代表了身份的发展趋势…”
网上也说:“Web3永远不能脱离他们设定的激励机制。最终,Web3将是一个带有不同标签的中心化实体”。“从监管的角度出发,现阶段的Web3.0还是一个比较‘幼稚’的概念”。“共建、共治、共享价值”的web3.0的理念仅仅是一个探索。
亚中心化:借用较大的中心的数字身份
解决数字身份中心化带来的垄断问题,不是去中心化,而是亚中心化,用几个较大的中心之间的竞争来解决。全域的数字身份ID有官方背景的,使用时有许多限制和不便,在竞争中胜出的ID中择优选用,应该是一条出路。
三、身份要素的随身性
身份要素
数字身份的要素,也就是用户身份认证的要素,简称身份要素,按照与主人的时空距离分为三种:
1、离身要素:可以离身的东西,记忆的东西,例如账号、口令、密码。拥有的物品,例如交通卡、信用卡、员工卡、身份证、钥匙。
2、随身要素:随身的东西,例如手机电话、APP(微信,支付宝,飞书等)的在线身份及当前的位置。
3、原生要素:生物识别的特征,例如面容、指纹、声音、DNA。
分析:
1、“账号密码”是离身要素,可以远离主人,在主人不知情的时空中激活数字身份
2、电话号码是随身要素,随身性是由功能决定的,唯一,不会离开主人。
3、微信是随身要素,随身性是7亿日活的规模和特征决定的,长期在线,唯一性登录,使用频率高,不会离开主人。
4、生物识别是原生要素,不会与主人分离。
特别:微信扫码不是利用身份要素来验证激活用户的数字身份,而是直接借用用户身份要素,效率更高,成本更低。
对比表
用户master表设计的四个阶段
说明
1、辅助阶段;unionID作为辅助信息,在原有用户表中增加unionID,作为可有可无的辅助字段,提供扫码登录。
2、充分阶段:unionID作为充分信息,作为增加用户充分条件,即用户可以没有电话。
3、必要阶段:unionID作为必要信息,没有unionID不能增加用户。扫码登录作为主流的登录操作。
4、充要阶段:unionID作为充要信息,仅提供扫码登录;取消密码管理,不提供账号密码登录,。
前三个阶段都需要管理密码,都是在web1.0上的改进。
只有到了第四个阶段,脱离了对密码的管理,对用户来说:
1、用户扫码是自带账号的,不用记账号;
2、没有密码,用户不用记密码;
3、不提供账号密码登录,就不用担心别人冒充自己的身份。
实现了三无(无账号,无密码,无仿冒忧虑),才是web2.0。
新基建
目前,每位用户都有多个长期在线的APP(微信、支付宝、飞书等)数字身份,微信的Unionid只是其中之一;用户在线的数字身份的普遍存在,可以看做是互联网环境提供的公共服务,新基建。
利用它们代替账号密码激活新的数字身份,就像利用电网的电代替自家发电机发电一样,就像利用水网的水代替自家的井水一样,是对“公共服务”的利用。
这样做,初看好像失去了自主能力:电网停电时不能发电,水网停水时没有井水,微信出问题时无法登录;事实上,停电、停水、停微信的概率,远小于自家发电机、水井、自建登录系统出故障的概率;同时,利用公共服务不但成本更低,而且质量更好;今天,还有哪个公司自己发电、自己打井呢?
自建登录系统,自建用户数字身份的web1.0时代,正在走进历史。
四、双赢
用unionID作为oneID,利用用户在线的数字身份,就是Web2.0,就是双赢:
Web2.0就是让用户不记账号,不记密码,提升用户体验;
Web2.0就是让服务方,摆脱账号密码管理这个繁琐,有风险的工作,提高管理水平和管理效率。
Web2.0就是提高用户身份要素的随身性,免除用户忧虑,提升系统中数字身份安全等级;
参考:
1、oneID用户的三无需求(无账号,无密码,无仿冒忧虑)
2、用unionID作为oneID的实质
3、《无密码身份认证:安全数字化转型的下一个突破》摘译https://baijiahao.baidu.com/s?id=1677500800444039761&wfr=spider&for=pc