<p>&ldquo;瘋狂就是一遍又一遍地做同樣的事情，卻期待著不同的結(jié)果&rdquo;這句名言經(jīng)常被錯誤地認(rèn)為是愛因斯坦說的。 但當(dāng)涉及到網(wǎng)絡(luò)安全行業(yè)，以及他們阻止黑客的嘗試時，這似乎是一個恰當(dāng)?shù)亩陶Z，不管世界上最著名的科學(xué)家是否真的說過這句話。</p> <p>&nbsp;</p> <p>我為什么這么說? 因?yàn)槊看未笠?guī)模數(shù)據(jù)泄露發(fā)生時，網(wǎng)絡(luò)安全行業(yè)都在不斷地堅(jiān)持進(jìn)行更多的培訓(xùn)和意識教育。</p> <p>&nbsp;</p> <p><strong><span class="h1">2022年:數(shù)據(jù)泄露的一年</span></strong></p> <p><br /><span>讓我們回顧一下截至2023年初，澳大利亞在網(wǎng)絡(luò)入侵方面的情況。 2022年9月，優(yōu)步遭到入侵，7.7萬名優(yōu)步員工的詳細(xì)信息被泄露，不久之后，Optus也被泄露，超過980萬(或其客戶的10%)客戶的詳細(xì)信息在網(wǎng)絡(luò)犯罪分子的黑客攻擊中被盜。</span></p> <p>&nbsp;</p> <p>其次是Medibank，約970萬現(xiàn)有和前任客戶及相關(guān)代表的個人信息被一個勒索軟件組織竊取，伍爾沃斯的子公司MyDeal有220萬客戶受到影響。</p> <p>&nbsp;</p> <p>所有這些都使得部分?jǐn)?shù)據(jù)被泄露的人面臨著更高的風(fēng)險，他們的社交媒體賬戶和電話號碼會收到垃圾郵件、可疑的短信、釣魚郵件和其他導(dǎo)致惡意軟件(也稱為惡意軟件)部署的釣魚攻擊，身份被盜用的風(fēng)險等等。</p> <p>&nbsp;</p> <p><span>隨著這些入侵事件的發(fā)生，人們通常會呼吁政府在網(wǎng)絡(luò)安全項(xiàng)目上投入更多資金，&ldquo;以確保企業(yè)安全正確地開展網(wǎng)絡(luò)安全實(shí)踐&rdquo;，&ldquo;提高網(wǎng)絡(luò)安全教育和意識比以往任何時候都更重要，尤其是對商業(yè)領(lǐng)袖來說&rdquo;。</span></p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1355037951_2.jpg" alt="一個年輕的女商人在現(xiàn)代辦公室使用筆記本電腦時皺著眉頭的鏡頭" width="808" height="569" />&nbsp;</p> <p>你的數(shù)據(jù)在2022年泄露了嗎? 照片:蓋蒂</p> <p>&nbsp;</p> <p>在這些數(shù)據(jù)泄露事件發(fā)生之際，人們呼吁更加繁瑣地使用雙因素身份驗(yàn)證，并不斷要求企業(yè)定期更改其員工的強(qiáng)密碼和登錄憑證，這一切都是為了防止個人的敏感信息泄露。</p> <p>&nbsp;</p> <p>但是，將這些違規(guī)行為的責(zé)任推到員工身上太容易了，而所有組織都越來越希望高度集中員工和客戶的數(shù)據(jù)。</p> <p>&nbsp;</p> <p>但在當(dāng)前的網(wǎng)絡(luò)安全模式下，這種違規(guī)行為極有可能再次發(fā)生。</p> <p>&nbsp;</p> <p>請參見:網(wǎng)絡(luò)安全漏洞要求對租賃數(shù)據(jù)收集進(jìn)行全面檢查</p> <p>&nbsp;</p> <p><strong><span class="h1">這里真正的問題是什么?</span></strong></p> <p><br /><span>在我看來，主要的問題不僅僅是教育。 這是我們存儲信息的方式，造成了單點(diǎn)故障和重大安全風(fēng)險。</span></p> <p>&nbsp;</p> <p><span>將所有這些與數(shù)十萬甚至數(shù)百萬客戶相關(guān)的信息集中在一起，就像一個巨大的蜜罐，網(wǎng)絡(luò)犯罪的惡意蜜蜂一定會被吸引到這里，尋找他們可以出售的信息。</span></p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/2_4_2.png?itok=Wtql9X3Y" alt="集中式身份" width="563" height="396" />&nbsp;</p> <p>數(shù)據(jù)存儲的集中化模式很常見&hellip;&hellip; 照片:蓋蒂</p> <p>&nbsp;</p> <p>(我的意思是，我們不是嘲笑《星球大戰(zhàn)》電影中的帝國，以及帝國無法從過去的錯誤中吸取教訓(xùn)，堅(jiān)持在設(shè)計(jì)死亡之星時創(chuàng)造單點(diǎn)失敗嗎? 不是一次而是兩次!?)</p> <p>&nbsp;</p> <p>信息被集中在一起是一個主要的設(shè)計(jì)失敗點(diǎn)，意識教育將很難解決。 那么，在區(qū)塊鏈支持的去中心化身份的幫助下，如何徹底重新思考設(shè)計(jì)?</p> <p>&nbsp;</p> <p>請參見:為什么網(wǎng)絡(luò)安全仍然是行業(yè)的一個問題</p> <p>&nbsp;</p> <p><span><strong><span class="h1">用區(qū)塊鏈打破蜜罐</span></strong></span></p> <p><span><br />如果我們不把數(shù)據(jù)集中在一個誘人的蜜罐里，而是允許這些組織的每個員工和客戶保留自己的數(shù)據(jù)，會怎么樣?</span></p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/1_4_1.png?itok=_LinDgch" alt="去中心化身份" width="563" height="396" />&nbsp;</p> <p>．.． 但是去中心化身份呢? 照片:蓋蒂</p> <p>&nbsp;</p> <p>我們可以通過去中心化數(shù)據(jù)來跳過這個單點(diǎn)故障，并使用區(qū)塊鏈啟用的去中心化身份(也稱為DID)，讓每個客戶和員工對自己的數(shù)據(jù)點(diǎn)擁有主權(quán)。</p> <p>&nbsp;</p> <p>DID是什么? 它有一個基于萬維網(wǎng)聯(lián)盟(W3C)的定義良好的標(biāo)準(zhǔn)，作為一種&ldquo;支持可驗(yàn)證的、分散的數(shù)字身份的新型標(biāo)識符&hellip;&hellip; 與典型的聯(lián)邦標(biāo)識符相比，did的設(shè)計(jì)使它們可以與集中式注冊中心、身份提供者和證書頒發(fā)機(jī)構(gòu)分離&rdquo;。</p> <p>&nbsp;</p> <p>這意味著，公司不需要在誘人的一站式信息商店中持有所有客戶的數(shù)據(jù)，而是每個人都有責(zé)任維護(hù)對自己數(shù)據(jù)的主權(quán)。</p> <p>&nbsp;</p> <p>另見:Optus泄露后，澳大利亞應(yīng)在數(shù)據(jù)法律中采用&ldquo;黃金標(biāo)準(zhǔn)&rdquo;</p> <p>&nbsp;</p> <p><strong><span class="h1">去中心化身份如何工作?</span></strong></p> <p><br /><span>DID的工作原理并不太難理解。</span></p> <p>&nbsp;</p> <p>它有三個基本組成部分:1)個人持有者，2)數(shù)字證書的頒發(fā)者，3)驗(yàn)證者。 整個過程跨越這三個實(shí)體，并基于在密碼學(xué)中非常常見的公私鑰對的利用，與加密貨幣的工作方式類似。</p> <p>&nbsp;</p> <p>每個持有者表示由其公鑰表示的區(qū)塊鏈上的指針。 該指針是公共的，可以作為單個持有者的代表公開和全局地廣播。 個人持有者將其私鑰秘密保存在本地設(shè)備或內(nèi)存中，永遠(yuǎn)不會向任何人透露。</p> <p>&nbsp;</p> <p>個人持有者積累與他們的經(jīng)濟(jì)身份相關(guān)的信息，稱為數(shù)字證書。</p> <p>&nbsp;</p> <p>數(shù)字證書的例子可以是你的駕照、教育證書、犯罪記錄和護(hù)照。 它們是由相關(guān)當(dāng)局發(fā)布的(他們也會在區(qū)塊鏈上注冊他們的個人公鑰作為公開廣播的公共指針，同時保持他們的私鑰安全)。</p> <p>&nbsp;</p> <p>當(dāng)數(shù)字憑據(jù)由發(fā)行者頒發(fā)給個人時，將使用發(fā)行者創(chuàng)建的數(shù)字簽名對其進(jìn)行簽名，然后由個人存儲憑據(jù)。</p> <p>&nbsp;</p> <p>DID的最后一個組件是驗(yàn)證器。 這些驗(yàn)證者可以采取與個人持有者交互的組織或其他個人的形式。 驗(yàn)證者可以請求與各個持有者所持有的數(shù)字憑證相關(guān)聯(lián)的特定信息，以便發(fā)生交易或提供服務(wù)。</p> <p>&nbsp;</p> <p>在提交該信息時，個人持有者將向該信息添加自己的數(shù)字簽名以進(jìn)行身份驗(yàn)證。</p> <p>&nbsp;</p> <p>簡而言之，驗(yàn)證者將能夠使用與所請求的信息相關(guān)聯(lián)的兩個數(shù)字簽名(一個來自發(fā)行者，另一個來自個人持有者)，并使用發(fā)行者和個人持有者在區(qū)塊鏈上公布的各自公鑰對其進(jìn)行驗(yàn)證。</p> <p>&nbsp;</p> <p><span>在整個過程中，數(shù)字簽名是特定于所傳輸信息的特定實(shí)例化的，不能由任何不擁有相應(yīng)私鑰的人復(fù)制，因此保留了個人持有者對自己的隱私擁有主權(quán)的權(quán)威。</span></p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-999302432_1.jpg" alt="一個剛在醫(yī)院出生的嬰兒躺在醫(yī)院的搖籃嬰兒床里，裹在襁褓里，戴著無檐小便帽。" width="808" height="569" />&nbsp;</p> <p>從你的出生證明到駕照，所有東西都可以使用區(qū)塊鏈啟用的去中心化身份存儲。 照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:區(qū)塊鏈可能是核材料安全保障的關(guān)鍵</p> <p>&nbsp;</p> <p><strong><span class="h1">為什么這會減少網(wǎng)絡(luò)安全攻擊?</span></strong></p> <p><br /><span>當(dāng)我們擁有一個去中心化的數(shù)據(jù)管理模型時，我們本質(zhì)上是在將漏洞擴(kuò)散到邊緣。</span></p> <p>&nbsp;</p> <p>繼續(xù)這個比喻，與攻擊蜜罐并帶走整個罐子不同，攻擊者最多只能得到一滴。 不值得花時間和精力去換取報(bào)酬!</p> <p>&nbsp;</p> <p>當(dāng)然，沒有什么制度是完美的。 個人仍然容易受到DID的網(wǎng)絡(luò)攻擊。 但是，在這種情況下，如果一個人粗心大意，隨后被黑客攻擊，這不會影響到任何其他小心保護(hù)自己身份的人。 DID沒有將所有人的信息存儲在中央服務(wù)器上，而是允許個人在自己的設(shè)備上保存自己的信息。</p> <p>&nbsp;</p> <p>因此，如果攻擊者希望進(jìn)行網(wǎng)絡(luò)安全攻擊，他們將不得不瞄準(zhǔn)每一臺移動設(shè)備。 這既昂貴又不切實(shí)際。 這一概念適用于對財(cái)務(wù)和健康數(shù)據(jù)等敏感數(shù)據(jù)的保護(hù)，在這些數(shù)據(jù)中，個人是唯一能夠決定如何以及與誰共享數(shù)據(jù)的人。</p> <p>&nbsp;</p> <p>參見:澳大利亞的監(jiān)管對加密貨幣意味著什么?</p> <p>&nbsp;</p> <p>去中心化身份在防止網(wǎng)絡(luò)攻擊方面有什么缺點(diǎn)?</p> <p><br /><span>一個主要的缺點(diǎn)是DID的概念假設(shè)個人能夠并且愿意承擔(dān)確保他們的設(shè)備安全的責(zé)任。 這意味著，不要把他們的私鑰寫下來，讓攻擊者到處亂放，并避免在使用公共wi-fi時進(jìn)行冒險行為，比如在網(wǎng)絡(luò)瀏覽器上訪問密鑰。</span></p> <p>&nbsp;</p> <p>因此，如果一個人粗心大意，遭受攻擊，如果他們的財(cái)務(wù)信息和更多信息泄露，這是他們自己的責(zé)任。</p> <p>&nbsp;</p> <p>從這個意義上說，這又回到了一個關(guān)于人類本質(zhì)的基本論點(diǎn)，以及人類是否可以被信任對自己負(fù)責(zé)。</p> <p>&nbsp;</p> <p>但我堅(jiān)信，在涉及網(wǎng)絡(luò)安全時，我們需要反思我們的激勵體系。 如果激勵系統(tǒng)是錯誤的，那么來自更高權(quán)力的再多的強(qiáng)迫、規(guī)勸或教育都不會改變一個人的行為。</p> <p>&nbsp;</p> <p><span>但是，如果個人受到激勵去保護(hù)這些數(shù)據(jù)，因?yàn)檫@些數(shù)據(jù)純粹是他們自己的，而且是實(shí)實(shí)在在的，他們自己也會受到更強(qiáng)烈的激勵去保護(hù)這些數(shù)據(jù)。</span></p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1303145712_1.jpg" alt="網(wǎng)絡(luò)釣魚、手機(jī)黑客或網(wǎng)絡(luò)詐騙概念。智能手機(jī)中的密碼和登錄密碼。在線安全威脅和欺詐。女騙子與手機(jī)和筆記本電腦。銀行賬戶安全。" width="808" height="569" />&nbsp;</p> <p>使用去中心化身份意味著個人(而不是組織)將負(fù)責(zé)保護(hù)自己的數(shù)據(jù)。 照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:下一個區(qū)塊鏈大熱潮是什么?</p> <p>&nbsp;</p> <p>那么，是什么阻止我們現(xiàn)在使用去中心化身份呢?</p> <p><br /><span>在建立DID方面存在一些障礙。 由于這一概念非常新，目前在國家和國際一級還沒有實(shí)現(xiàn)和確立這一愿景的戰(zhàn)略路線圖。</span></p> <p>&nbsp;</p> <p>建立DID并給每個人一個數(shù)字身份的第一步是需要就一套程序達(dá)成一致，允許人們在區(qū)塊鏈上注冊他們的DID，并擁有相關(guān)的政府機(jī)構(gòu)。</p> <p>&nbsp;</p> <p>這將適用于每個人，因此他們可以識別與他們的DID連接，并且該連接在區(qū)塊鏈上是正式的和可審計(jì)的。 這也適用于所有政府機(jī)構(gòu)，他們也將正式連接到區(qū)塊鏈上的唯一DID，以實(shí)現(xiàn)可審計(jì)性。</p> <p>&nbsp;</p> <p>系統(tǒng)地創(chuàng)建did與其現(xiàn)實(shí)實(shí)體之間連接的可審計(jì)跟蹤將是第一步，也是最重要的一步，最好將其記錄在一個開放的去中心化區(qū)塊鏈上。 這將確保在發(fā)生政治或民事動亂時，did仍可被其他人審計(jì)。</p> <p>&nbsp;</p> <p>(把它想象成你的工作電子郵件。 這封電子郵件通常對所有人公開，但只有你可以使用。 但如果公司一夜之間破產(chǎn)了，你將失去那封電子郵件。 但上面概述的區(qū)塊鏈方法是永久性的，在政權(quán)更迭的情況下，您的身份不能被刪除。 )</p> <p>&nbsp;</p> <p>請參見:你知道你的數(shù)據(jù)在哪里嗎? 為什么我們選擇方便而不是隱私</p> <p>&nbsp;</p> <p><strong><span class="h1">采用自底向上的方法</span></strong></p> <p><br /><span>不幸的是，政府和商業(yè)組織(本質(zhì)上)是中央集權(quán)的狂熱分子。 因此，通過自上而下的方法來實(shí)現(xiàn)這種發(fā)展的興趣不大。</span></p> <p>&nbsp;</p> <p>DID系統(tǒng)的這種變化或?qū)嵤┲荒軓淖韵露系姆椒ㄖ畜w現(xiàn)出來，像我們這樣的個人要求重新思考整個網(wǎng)絡(luò)安全范式，并且停止在每次發(fā)生這樣的安全漏洞時都舉手投降并說&ldquo;這就是它&rdquo;。</p> <p>&nbsp;</p> <p>DID系統(tǒng)的哲學(xué)基礎(chǔ)，就像整個加密行業(yè)一樣，是關(guān)于個人承擔(dān)責(zé)任的意愿。 它并不像大多數(shù)人認(rèn)為的那樣是技術(shù)上的靈丹妙藥。 這很艱難，但它確實(shí)意味著你要重新獲得自己的主權(quán)。</p> <p>&nbsp;</p> <p>當(dāng)然，另一種選擇是用數(shù)據(jù)換取便利，讓大型科技公司將我們的數(shù)據(jù)變現(xiàn)并控制我們的數(shù)據(jù)。</p> <p>&nbsp;</p> <p>Eric Lim博士是新南威爾士大學(xué)商學(xué)院信息系統(tǒng)與技術(shù)管理學(xué)院的高級講師，也是新南威爾士大學(xué)加密診所的創(chuàng)始人。 可以通過e.t.lim@unsw.edu.au聯(lián)系到他就上述內(nèi)容或與區(qū)塊鏈、加密貨幣、去中心化身份等相關(guān)的任何內(nèi)容發(fā)表評論。</p> <p>&nbsp;</p> <blockquote> <p><span>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學(xué)態(tài)度觀點(diǎn)。</span></p> </blockquote>