Les dangers d'une identité unique

Je suis fatigué de jongler avec plusieurs ID utilisateur et mots de passe sur tous les sites Web, ordinateurs et applications que j'utilise chaque jour. Je suis sûr que vous aussi. J'ai cinq identifiants et mots de passe distincts pour le travail, autant pour les services à domicile (d'iTunes à mon identifiant de société d'alarme), et environ une douzaine pour les services bancaires, e-commerce et commerciaux que j'utilise via Internet, depuis Amazon. com sur la console de gestion de mon domaine Web et les informations d'identification FTP. Certes, la plupart des gens n'ont pas les deux derniers, mais il y a trop de versions prouvant que c'est moi dont je dois me souvenir.

Parce que le problème est courant, l'industrie se lance périodiquement dans la réflexion «un ID pour tous». Il y a quelques années, RSA espérait fournir l'authentification unique authentifiée que tous les fournisseurs utiliseraient, une sorte de registre DNS pour l'identité. L'effort de RSA a échoué car personne ne voulait payer RSA une taxe d'identité sur chaque accès ou ID utilisé. Et n'avoir qu'un seul référentiel semblait assez effrayant: ce serait une excellente cible pour les pirates. (Ces craintes ont ensuite été justifiées par l'incapacité de RSA à empêcher le piratage de son propre système SecurID.)

Galen Gruman de ['' préconise que les utilisateurs soient en mesure de facturer aux fournisseurs l'accès à leurs informations personnelles. | Abonnez-vous dès aujourd'hui à la newsletter de Consumerization of IT. ]

Aujourd'hui, la solution miracle utilise OpenID ou Facebook comme connexion commune à tous les sites Web. OpenID existe depuis des années mais n'a pas vraiment gagné en popularité. Et l'idée de faire confiance à Facebook en tant que référentiel central serait risible sinon effrayante: Facebook viole régulièrement la vie privée de ses utilisateurs et ne devrait pas se voir confier quoi que ce soit d'important.

Mais disons qu'il y avait une entité de confiance que vous pourriez utiliser comme gestionnaire d'identité et validateur, un peu comme un numéro de sécurité sociale contre lequel les sites Web pourraient valider. Ne devrions-nous pas tous l'adopter?

Absolument pas.

De tels systèmes sont intrinsèquement dangereux. Les faux numéros de sécurité sociale volés abondent, par exemple. Tout identifiant unique ferait face au même abus - et une fois que votre identité unique est compromise, vous êtes foutu. Vous ne pouvez plus prouver qui vous êtes. Si vous pensez qu'il est difficile de se remettre d'un vol d'identité, attendez que votre identité unique soit compromise.

De plus, l'identité est bien plus qu'un nom d'utilisateur et un mot de passe, une analyse biométrique et un mot de passe, ou tout autre système que vous souhaitez utiliser. De plus, même si nous sommes tous des individus, nous pourrions avoir plusieurs personnages. Le «moi» que vous lisez est un personnage pour mon rôle de commentateur technologique. Le «moi» dans mes manuels d'utilisation est également différent. Le «moi» que mes amis et ma famille connaissent est différent. Le «moi» de ma banque, Amazon et iTunes sont tous différents. Le «moi» de mon assureur et de mon HMO est différent. Oui, c'est le même moi au fond, mais chaque personnage a un but différent dans le contexte dans lequel il fonctionne, donc je le règle pour cet usage.

Par exemple, dans mon blog, je suis plus extrême que je ne le suis lorsque je rédige un livre pratique ou que je mène une interview sur scène - les objectifs des lieux diffèrent, donc mes personnages aussi. De même, mon profil LinkedIn est différent de mon profil Twitter, qui serait différent de mon profil Google+ si l'algorithme de Google ne l'avait pas sommairement fermé ou de mon profil Facebook (si j'étais assez stupide pour en avoir un). Ils ont des objectifs différents, alors je règle qui je suis en fonction de ces objectifs, tout comme nous le faisons tous lors d'un événement professionnel, d'une fête à la maison, dans un bus, lors d'un entretien d'embauche, etc.