<p>2022年，數(shù)百萬澳大利亞人的數(shù)據(jù)被泄露。是時(shí)候?qū)?shù)據(jù)的存儲(chǔ)方式進(jìn)行一次徹底的改革了嗎?</p> <p>&nbsp;</p> <p>&ldquo;瘋狂就是一遍又一遍地做同樣的事情，卻期待著不同的結(jié)果&rdquo;這句名言經(jīng)常被錯(cuò)誤地認(rèn)為是愛因斯坦說的。但當(dāng)涉及到網(wǎng)絡(luò)安全行業(yè)，以及他們阻止黑客的嘗試時(shí)，這似乎是一個(gè)恰當(dāng)?shù)亩陶Z，不管世界上最著名的科學(xué)家是否真的說過這句話。</p> <p>&nbsp;</p> <p>我為什么這么說?因?yàn)槊看未笠?guī)模數(shù)據(jù)泄露發(fā)生時(shí)，網(wǎng)絡(luò)安全行業(yè)都在不斷地堅(jiān)持進(jìn)行更多的培訓(xùn)和意識(shí)教育。</p> <p>&nbsp;</p> <p><strong><span class="h1">2022年:數(shù)據(jù)泄露的一年</span></strong></p> <p><br />讓我們回顧一下截至2023年初，澳大利亞在網(wǎng)絡(luò)入侵方面的情況。2022年9月，優(yōu)步遭到入侵，7.7萬名優(yōu)步員工的詳細(xì)信息被泄露，不久之后，Optus也被泄露，超過980萬(或其客戶的10%)客戶的詳細(xì)信息在網(wǎng)絡(luò)犯罪分子的黑客攻擊中被盜。</p> <p>&nbsp;</p> <p>其次是Medibank，約970萬現(xiàn)有和前任客戶及相關(guān)代表的個(gè)人信息被一個(gè)勒索軟件組織竊取，伍爾沃斯的子公司MyDeal有220萬客戶受到影響。</p> <p>&nbsp;</p> <p>所有這些都使得部分?jǐn)?shù)據(jù)被泄露的人面臨著更高的風(fēng)險(xiǎn)，他們的社交媒體賬戶和電話號(hào)碼會(huì)收到垃圾郵件、可疑的短信、釣魚郵件和其他導(dǎo)致惡意軟件(也稱為惡意軟件)部署的釣魚攻擊，身份被盜用的風(fēng)險(xiǎn)等等。</p> <p>&nbsp;</p> <p>隨著這些入侵事件的發(fā)生，人們通常會(huì)呼吁政府在網(wǎng)絡(luò)安全項(xiàng)目上投入更多資金，&ldquo;以確保企業(yè)安全正確地開展網(wǎng)絡(luò)安全實(shí)踐&rdquo;，&ldquo;提高網(wǎng)絡(luò)安全教育和意識(shí)比以往任何時(shí)候都更重要，尤其是對(duì)商業(yè)領(lǐng)袖來說&rdquo;。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1355037951_2.jpg" alt="Shot of a young businesswoman frowning while using a laptop in a modern office" width="808" height="569" />&nbsp;</p> <p>你的數(shù)據(jù)在2022年泄露了嗎?照片:蓋蒂</p> <p>&nbsp;</p> <p>在這些數(shù)據(jù)泄露事件發(fā)生之際，人們呼吁更加繁瑣地使用雙因素身份驗(yàn)證，并不斷要求企業(yè)定期更改其員工的強(qiáng)密碼和登錄憑證，這一切都是為了防止個(gè)人的敏感信息泄露。</p> <p>&nbsp;</p> <p>但是，將這些違規(guī)行為的責(zé)任推到員工身上太容易了，而所有組織都越來越希望高度集中員工和客戶的數(shù)據(jù)。</p> <p>&nbsp;</p> <p>但在當(dāng)前的網(wǎng)絡(luò)安全模式下，這種違規(guī)行為極有可能再次發(fā)生。</p> <p>&nbsp;</p> <p>請(qǐng)參見:網(wǎng)絡(luò)安全漏洞要求對(duì)租賃數(shù)據(jù)收集進(jìn)行全面檢查</p> <p>&nbsp;</p> <p><strong><span class="h1">這里真正的問題是什么?</span></strong></p> <p><br />在我看來，主要的問題不僅僅是教育。這是我們存儲(chǔ)信息的方式，造成了單點(diǎn)故障和重大安全風(fēng)險(xiǎn)。</p> <p>&nbsp;</p> <p>將所有這些與數(shù)十萬甚至數(shù)百萬客戶相關(guān)的信息集中在一起，就像一個(gè)巨大的蜜罐，網(wǎng)絡(luò)犯罪的惡意蜜蜂一定會(huì)被吸引到這里，尋找他們可以出售的信息。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/2_4_2.png?itok=Wtql9X3Y" alt="Centralised identity" width="563" height="396" />&nbsp;</p> <p>數(shù)據(jù)存儲(chǔ)的集中化模式很常見&hellip;&hellip;照片:蓋蒂</p> <p>&nbsp;</p> <p>(我的意思是，我們不是嘲笑《星球大戰(zhàn)》電影中的帝國，以及帝國無法從過去的錯(cuò)誤中吸取教訓(xùn)，堅(jiān)持在設(shè)計(jì)死亡之星時(shí)創(chuàng)造單點(diǎn)失敗嗎?不是一次而是兩次!?)</p> <p>&nbsp;</p> <p>信息被集中在一起是一個(gè)主要的設(shè)計(jì)失敗點(diǎn)，意識(shí)教育將很難解決。那么，在區(qū)塊鏈支持的去中心化身份的幫助下，如何徹底重新思考設(shè)計(jì)?</p> <p>&nbsp;</p> <p>請(qǐng)參見:為什么網(wǎng)絡(luò)安全仍然是行業(yè)的一個(gè)問題</p> <p>&nbsp;</p> <p><strong><span class="h1">用區(qū)塊鏈打破蜜罐</span></strong></p> <p><br />如果我們不把數(shù)據(jù)集中在一個(gè)誘人的蜜罐里，而是允許這些組織的每個(gè)員工和客戶保留自己的數(shù)據(jù)，會(huì)怎么樣?</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/1_4_1.png?itok=_LinDgch" alt="decentralised identity" width="563" height="396" />&nbsp;</p> <p>但是去中心化身份呢?照片:蓋蒂</p> <p>&nbsp;</p> <p>我們可以通過去中心化數(shù)據(jù)來跳過這個(gè)單點(diǎn)故障，并使用區(qū)塊鏈啟用的去中心化身份(也稱為DID)，讓每個(gè)客戶和員工對(duì)自己的數(shù)據(jù)點(diǎn)擁有主權(quán)。</p> <p>&nbsp;</p> <p>DID是什么?它有一個(gè)基于萬維網(wǎng)聯(lián)盟(W3C)的定義良好的標(biāo)準(zhǔn)，作為一種&ldquo;支持可驗(yàn)證的、分散的數(shù)字身份的新型標(biāo)識(shí)符&hellip;&hellip;與典型的聯(lián)邦標(biāo)識(shí)符相比，did的設(shè)計(jì)使它們可以與集中式注冊(cè)中心、身份提供者和證書頒發(fā)機(jī)構(gòu)分離&rdquo;。</p> <p>&nbsp;</p> <p>這意味著，公司不需要在誘人的一站式信息商店中持有所有客戶的數(shù)據(jù)，而是每個(gè)人都有責(zé)任維護(hù)對(duì)自己數(shù)據(jù)的主權(quán)。</p> <p>&nbsp;</p> <p>另見:Optus泄露后，澳大利亞應(yīng)在數(shù)據(jù)法律中采用&ldquo;黃金標(biāo)準(zhǔn)&rdquo;</p> <p>&nbsp;</p> <p>去中心化身份如何工作?</p> <p><br />DID的工作原理并不太難理解。</p> <p>&nbsp;</p> <p>它有三個(gè)基本組成部分:1)個(gè)人持有者，2)數(shù)字證書的頒發(fā)者，3)驗(yàn)證者。整個(gè)過程跨越這三個(gè)實(shí)體，并基于在密碼學(xué)中非常常見的公私鑰對(duì)的利用，與加密貨幣的工作方式類似。</p> <p>&nbsp;</p> <p>每個(gè)持有者表示由其公鑰表示的區(qū)塊鏈上的指針。該指針是公共的，可以作為單個(gè)持有者的代表公開和全局地廣播。個(gè)人持有者將其私鑰秘密保存在本地設(shè)備或內(nèi)存中，永遠(yuǎn)不會(huì)向任何人透露。</p> <p>&nbsp;</p> <p>個(gè)人持有者積累與他們的經(jīng)濟(jì)身份相關(guān)的信息，稱為數(shù)字證書。</p> <p>&nbsp;</p> <p>數(shù)字證書的例子可以是你的駕照、教育證書、犯罪記錄和護(hù)照。它們是由相關(guān)當(dāng)局發(fā)布的(他們也會(huì)在區(qū)塊鏈上注冊(cè)他們的個(gè)人公鑰作為公開廣播的公共指針，同時(shí)保持他們的私鑰安全)。</p> <p>&nbsp;</p> <p>當(dāng)數(shù)字憑據(jù)由發(fā)行者頒發(fā)給個(gè)人時(shí)，將使用發(fā)行者創(chuàng)建的數(shù)字簽名對(duì)其進(jìn)行簽名，然后由個(gè)人存儲(chǔ)憑據(jù)。</p> <p>&nbsp;</p> <p>DID的最后一個(gè)組件是驗(yàn)證器。這些驗(yàn)證者可以采取與個(gè)人持有者交互的組織或其他個(gè)人的形式。驗(yàn)證者可以請(qǐng)求與各個(gè)持有者所持有的數(shù)字憑證相關(guān)聯(lián)的特定信息，以便發(fā)生交易或提供服務(wù)。</p> <p>&nbsp;</p> <p>在提交該信息時(shí)，個(gè)人持有者將向該信息添加自己的數(shù)字簽名以進(jìn)行身份驗(yàn)證。</p> <p>&nbsp;</p> <p>簡(jiǎn)而言之，驗(yàn)證者將能夠使用與所請(qǐng)求的信息相關(guān)聯(lián)的兩個(gè)數(shù)字簽名(一個(gè)來自發(fā)行者，另一個(gè)來自個(gè)人持有者)，并使用發(fā)行者和個(gè)人持有者在區(qū)塊鏈上公布的各自公鑰對(duì)其進(jìn)行驗(yàn)證。</p> <p>&nbsp;</p> <p>在整個(gè)過程中，數(shù)字簽名是特定于所傳輸信息的特定實(shí)例化的，不能由任何不擁有相應(yīng)私鑰的人復(fù)制，因此保留了個(gè)人持有者對(duì)自己的隱私擁有主權(quán)的權(quán)威。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-999302432_1.jpg" alt="A baby just born at the hospital rests in a hospital bassinet crib, wrapped in a swaddle and wearing a beanie hat." width="808" height="569" />&nbsp;</p> <p>從你的出生證明到駕照，所有東西都可以使用區(qū)塊鏈啟用的去中心化身份存儲(chǔ)。照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:區(qū)塊鏈可能是核材料安全保障的關(guān)鍵</p> <p>&nbsp;</p> <p>為什么這會(huì)減少網(wǎng)絡(luò)安全攻擊?</p> <p><br />當(dāng)我們擁有一個(gè)去中心化的數(shù)據(jù)管理模型時(shí)，我們本質(zhì)上是在將漏洞擴(kuò)散到邊緣。</p> <p>&nbsp;</p> <p>繼續(xù)這個(gè)比喻，與攻擊蜜罐并帶走整個(gè)罐子不同，攻擊者最多只能得到一滴。不值得花時(shí)間和精力去換取報(bào)酬!</p> <p>&nbsp;</p> <p>當(dāng)然，沒有什么制度是完美的。個(gè)人仍然容易受到DID的網(wǎng)絡(luò)攻擊。但是，在這種情況下，如果一個(gè)人粗心大意，隨后被黑客攻擊，這不會(huì)影響到任何其他小心保護(hù)自己身份的人。DID沒有將所有人的信息存儲(chǔ)在中央服務(wù)器上，而是允許個(gè)人在自己的設(shè)備上保存自己的信息。</p> <p>&nbsp;</p> <p>因此，如果攻擊者希望進(jìn)行網(wǎng)絡(luò)安全攻擊，他們將不得不瞄準(zhǔn)每一臺(tái)移動(dòng)設(shè)備。這既昂貴又不切實(shí)際。這一概念適用于對(duì)財(cái)務(wù)和健康數(shù)據(jù)等敏感數(shù)據(jù)的保護(hù)，在這些數(shù)據(jù)中，個(gè)人是唯一能夠決定如何以及與誰共享數(shù)據(jù)的人。</p> <p>&nbsp;</p> <p>參見:澳大利亞的監(jiān)管對(duì)加密貨幣意味著什么?</p> <p>&nbsp;</p> <p>去中心化身份在防止網(wǎng)絡(luò)攻擊方面有什么缺點(diǎn)?</p> <p><br />一個(gè)主要的缺點(diǎn)是DID的概念假設(shè)個(gè)人能夠并且愿意承擔(dān)確保他們的設(shè)備安全的責(zé)任。這意味著，不要把他們的私鑰寫下來，讓攻擊者到處亂放，并避免在使用公共wi-fi時(shí)進(jìn)行冒險(xiǎn)行為，比如在網(wǎng)絡(luò)瀏覽器上訪問密鑰。</p> <p>&nbsp;</p> <p>因此，如果一個(gè)人粗心大意，遭受攻擊，如果他們的財(cái)務(wù)信息和更多信息泄露，這是他們自己的責(zé)任。</p> <p>&nbsp;</p> <p>從這個(gè)意義上說，這又回到了一個(gè)關(guān)于人類本質(zhì)的基本論點(diǎn)，以及人類是否可以被信任對(duì)自己負(fù)責(zé)。</p> <p>&nbsp;</p> <p>但我堅(jiān)信，在涉及網(wǎng)絡(luò)安全時(shí)，我們需要反思我們的激勵(lì)體系。如果激勵(lì)系統(tǒng)是錯(cuò)誤的，那么來自更高權(quán)力的再多的強(qiáng)迫、規(guī)勸或教育都不會(huì)改變一個(gè)人的行為。</p> <p>&nbsp;</p> <p>但是，如果個(gè)人受到激勵(lì)去保護(hù)這些數(shù)據(jù)，因?yàn)檫@些數(shù)據(jù)純粹是他們自己的，而且是實(shí)實(shí)在在的，他們自己也會(huì)受到更強(qiáng)烈的激勵(lì)去保護(hù)這些數(shù)據(jù)。</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1303145712_1.jpg" alt="Phishing, mobile phone hacker or cyber scam concept. Password and login pass code in smartphone. Online security threat and fraud. Female scammer with cellphone and laptop. Bank account security." width="808" height="569" />&nbsp;</p> <p>使用去中心化身份意味著個(gè)人(而不是組織)將負(fù)責(zé)保護(hù)自己的數(shù)據(jù)。照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:下一個(gè)區(qū)塊鏈大熱潮是什么?</p> <p>&nbsp;</p> <p>那么，是什么阻止我們現(xiàn)在使用去中心化身份呢?</p> <p><br />在建立DID方面存在一些障礙。由于這一概念非常新，目前在國家和國際一級(jí)還沒有實(shí)現(xiàn)和確立這一愿景的戰(zhàn)略路線圖。</p> <p>&nbsp;</p> <p>建立DID并給每個(gè)人一個(gè)數(shù)字身份的第一步是需要就一套程序達(dá)成一致，允許人們?cè)趨^(qū)塊鏈上注冊(cè)他們的DID，并擁有相關(guān)的政府機(jī)構(gòu)。</p> <p>&nbsp;</p> <p>這將適用于每個(gè)人，因此他們可以識(shí)別與他們的DID連接，并且該連接在區(qū)塊鏈上是正式的和可審計(jì)的。這也適用于所有政府機(jī)構(gòu)，他們也將正式連接到區(qū)塊鏈上的唯一DID，以實(shí)現(xiàn)可審計(jì)性。</p> <p>&nbsp;</p> <p>系統(tǒng)地創(chuàng)建did與其現(xiàn)實(shí)實(shí)體之間連接的可審計(jì)跟蹤將是第一步，也是最重要的一步，最好將其記錄在一個(gè)開放的去中心化區(qū)塊鏈上。這將確保在發(fā)生政治或民事動(dòng)亂時(shí)，did仍可被其他人審計(jì)。</p> <p>&nbsp;</p> <p>(把它想象成你的工作電子郵件。這封電子郵件通常對(duì)所有人公開，但只有你可以使用。但如果公司一夜之間破產(chǎn)了，你將失去那封電子郵件。但上面概述的區(qū)塊鏈方法是永久性的，在政權(quán)更迭的情況下，您的身份不能被刪除。)</p> <p>&nbsp;</p> <p>請(qǐng)參見:你知道你的數(shù)據(jù)在哪里嗎?為什么我們選擇方便而不是隱私</p> <p>&nbsp;</p> <p><strong><span class="h1">采用自底向上的方法</span></strong></p> <p><br />不幸的是，政府和商業(yè)組織(本質(zhì)上)是中央集權(quán)的狂熱分子。因此，通過自上而下的方法來實(shí)現(xiàn)這種發(fā)展的興趣不大。</p> <p>&nbsp;</p> <p>DID系統(tǒng)的這種變化或?qū)嵤┲荒軓淖韵露系姆椒ㄖ畜w現(xiàn)出來，像我們這樣的個(gè)人要求重新思考整個(gè)網(wǎng)絡(luò)安全范式，并且停止在每次發(fā)生這樣的安全漏洞時(shí)都舉手投降并說&ldquo;這就是它&rdquo;。</p> <p>&nbsp;</p> <p>DID系統(tǒng)的哲學(xué)基礎(chǔ)，就像整個(gè)加密行業(yè)一樣，是關(guān)于個(gè)人承擔(dān)責(zé)任的意愿。它并不像大多數(shù)人認(rèn)為的那樣是技術(shù)上的靈丹妙藥。這很艱難，但它確實(shí)意味著你要重新獲得自己的主權(quán)。</p> <p>&nbsp;</p> <p>當(dāng)然，另一種選擇是用數(shù)據(jù)換取便利，讓大型科技公司將我們的數(shù)據(jù)變現(xiàn)并控制我們的數(shù)據(jù)。</p> <p>&nbsp;</p> <p>Eric Lim博士是新南威爾士大學(xué)商學(xué)院信息系統(tǒng)與技術(shù)管理學(xué)院的高級(jí)講師，也是新南威爾士大學(xué)加密診所的創(chuàng)始人?？梢酝ㄟ^e.t.lim@unsw.edu.au聯(lián)系到他就上述內(nèi)容或與區(qū)塊鏈、加密貨幣、去中心化身份等相關(guān)的任何內(nèi)容發(fā)表評(píng)論。</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學(xué)態(tài)度觀點(diǎn)。</p> </blockquote>