<p>2022年，數百萬澳大利亞人的數據被泄露。是時候對數據的存儲方式進行一次徹底的改革了嗎?</p> <p>&nbsp;</p> <p>&ldquo;瘋狂就是一遍又一遍地做同樣的事情，卻期待著不同的結果&rdquo;這句名言經常被錯誤地認為是愛因斯坦說的。但當涉及到網絡安全行業(yè)，以及他們阻止黑客的嘗試時，這似乎是一個恰當的短語，不管世界上最著名的科學家是否真的說過這句話。</p> <p>&nbsp;</p> <p>我為什么這么說?因為每次大規(guī)模數據泄露發(fā)生時，網絡安全行業(yè)都在不斷地堅持進行更多的培訓和意識教育。</p> <p>&nbsp;</p> <p><strong><span class="h1">2022年:數據泄露的一年</span></strong></p> <p><br />讓我們回顧一下截至2023年初，澳大利亞在網絡入侵方面的情況。2022年9月，優(yōu)步遭到入侵，7.7萬名優(yōu)步員工的詳細信息被泄露，不久之后，Optus也被泄露，超過980萬(或其客戶的10%)客戶的詳細信息在網絡犯罪分子的黑客攻擊中被盜。</p> <p>&nbsp;</p> <p>其次是Medibank，約970萬現有和前任客戶及相關代表的個人信息被一個勒索軟件組織竊取，伍爾沃斯的子公司MyDeal有220萬客戶受到影響。</p> <p>&nbsp;</p> <p>所有這些都使得部分數據被泄露的人面臨著更高的風險，他們的社交媒體賬戶和電話號碼會收到垃圾郵件、可疑的短信、釣魚郵件和其他導致惡意軟件(也稱為惡意軟件)部署的釣魚攻擊，身份被盜用的風險等等。</p> <p>&nbsp;</p> <p>隨著這些入侵事件的發(fā)生，人們通常會呼吁政府在網絡安全項目上投入更多資金，&ldquo;以確保企業(yè)安全正確地開展網絡安全實踐&rdquo;，&ldquo;提高網絡安全教育和意識比以往任何時候都更重要，尤其是對商業(yè)領袖來說&rdquo;。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1355037951_2.jpg" alt="Shot of a young businesswoman frowning while using a laptop in a modern office" width="808" height="569" />&nbsp;</p> <p>你的數據在2022年泄露了嗎?照片:蓋蒂</p> <p>&nbsp;</p> <p>在這些數據泄露事件發(fā)生之際，人們呼吁更加繁瑣地使用雙因素身份驗證，并不斷要求企業(yè)定期更改其員工的強密碼和登錄憑證，這一切都是為了防止個人的敏感信息泄露。</p> <p>&nbsp;</p> <p>但是，將這些違規(guī)行為的責任推到員工身上太容易了，而所有組織都越來越希望高度集中員工和客戶的數據。</p> <p>&nbsp;</p> <p>但在當前的網絡安全模式下，這種違規(guī)行為極有可能再次發(fā)生。</p> <p>&nbsp;</p> <p>請參見:網絡安全漏洞要求對租賃數據收集進行全面檢查</p> <p>&nbsp;</p> <p><strong><span class="h1">這里真正的問題是什么?</span></strong></p> <p><br />在我看來，主要的問題不僅僅是教育。這是我們存儲信息的方式，造成了單點故障和重大安全風險。</p> <p>&nbsp;</p> <p>將所有這些與數十萬甚至數百萬客戶相關的信息集中在一起，就像一個巨大的蜜罐，網絡犯罪的惡意蜜蜂一定會被吸引到這里，尋找他們可以出售的信息。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/2_4_2.png?itok=Wtql9X3Y" alt="Centralised identity" width="563" height="396" />&nbsp;</p> <p>數據存儲的集中化模式很常見&hellip;&hellip;照片:蓋蒂</p> <p>&nbsp;</p> <p>(我的意思是，我們不是嘲笑《星球大戰(zhàn)》電影中的帝國，以及帝國無法從過去的錯誤中吸取教訓，堅持在設計死亡之星時創(chuàng)造單點失敗嗎?不是一次而是兩次!?)</p> <p>&nbsp;</p> <p>信息被集中在一起是一個主要的設計失敗點，意識教育將很難解決。那么，在區(qū)塊鏈支持的去中心化身份的幫助下，如何徹底重新思考設計?</p> <p>&nbsp;</p> <p>請參見:為什么網絡安全仍然是行業(yè)的一個問題</p> <p>&nbsp;</p> <p><strong><span class="h1">用區(qū)塊鏈打破蜜罐</span></strong></p> <p><br />如果我們不把數據集中在一個誘人的蜜罐里，而是允許這些組織的每個員工和客戶保留自己的數據，會怎么樣?</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/styles/half_width/public/thumbnails/image/1_4_1.png?itok=_LinDgch" alt="decentralised identity" width="563" height="396" />&nbsp;</p> <p>但是去中心化身份呢?照片:蓋蒂</p> <p>&nbsp;</p> <p>我們可以通過去中心化數據來跳過這個單點故障，并使用區(qū)塊鏈啟用的去中心化身份(也稱為DID)，讓每個客戶和員工對自己的數據點擁有主權。</p> <p>&nbsp;</p> <p>DID是什么?它有一個基于萬維網聯盟(W3C)的定義良好的標準，作為一種&ldquo;支持可驗證的、分散的數字身份的新型標識符&hellip;&hellip;與典型的聯邦標識符相比，did的設計使它們可以與集中式注冊中心、身份提供者和證書頒發(fā)機構分離&rdquo;。</p> <p>&nbsp;</p> <p>這意味著，公司不需要在誘人的一站式信息商店中持有所有客戶的數據，而是每個人都有責任維護對自己數據的主權。</p> <p>&nbsp;</p> <p>另見:Optus泄露后，澳大利亞應在數據法律中采用&ldquo;黃金標準&rdquo;</p> <p>&nbsp;</p> <p>去中心化身份如何工作?</p> <p><br />DID的工作原理并不太難理解。</p> <p>&nbsp;</p> <p>它有三個基本組成部分:1)個人持有者，2)數字證書的頒發(fā)者，3)驗證者。整個過程跨越這三個實體，并基于在密碼學中非常常見的公私鑰對的利用，與加密貨幣的工作方式類似。</p> <p>&nbsp;</p> <p>每個持有者表示由其公鑰表示的區(qū)塊鏈上的指針。該指針是公共的，可以作為單個持有者的代表公開和全局地廣播。個人持有者將其私鑰秘密保存在本地設備或內存中，永遠不會向任何人透露。</p> <p>&nbsp;</p> <p>個人持有者積累與他們的經濟身份相關的信息，稱為數字證書。</p> <p>&nbsp;</p> <p>數字證書的例子可以是你的駕照、教育證書、犯罪記錄和護照。它們是由相關當局發(fā)布的(他們也會在區(qū)塊鏈上注冊他們的個人公鑰作為公開廣播的公共指針，同時保持他們的私鑰安全)。</p> <p>&nbsp;</p> <p>當數字憑據由發(fā)行者頒發(fā)給個人時，將使用發(fā)行者創(chuàng)建的數字簽名對其進行簽名，然后由個人存儲憑據。</p> <p>&nbsp;</p> <p>DID的最后一個組件是驗證器。這些驗證者可以采取與個人持有者交互的組織或其他個人的形式。驗證者可以請求與各個持有者所持有的數字憑證相關聯的特定信息，以便發(fā)生交易或提供服務。</p> <p>&nbsp;</p> <p>在提交該信息時，個人持有者將向該信息添加自己的數字簽名以進行身份驗證。</p> <p>&nbsp;</p> <p>簡而言之，驗證者將能夠使用與所請求的信息相關聯的兩個數字簽名(一個來自發(fā)行者，另一個來自個人持有者)，并使用發(fā)行者和個人持有者在區(qū)塊鏈上公布的各自公鑰對其進行驗證。</p> <p>&nbsp;</p> <p>在整個過程中，數字簽名是特定于所傳輸信息的特定實例化的，不能由任何不擁有相應私鑰的人復制，因此保留了個人持有者對自己的隱私擁有主權的權威。</p> <p>&nbsp;</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-999302432_1.jpg" alt="A baby just born at the hospital rests in a hospital bassinet crib, wrapped in a swaddle and wearing a beanie hat." width="808" height="569" />&nbsp;</p> <p>從你的出生證明到駕照，所有東西都可以使用區(qū)塊鏈啟用的去中心化身份存儲。照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:區(qū)塊鏈可能是核材料安全保障的關鍵</p> <p>&nbsp;</p> <p>為什么這會減少網絡安全攻擊?</p> <p><br />當我們擁有一個去中心化的數據管理模型時，我們本質上是在將漏洞擴散到邊緣。</p> <p>&nbsp;</p> <p>繼續(xù)這個比喻，與攻擊蜜罐并帶走整個罐子不同，攻擊者最多只能得到一滴。不值得花時間和精力去換取報酬!</p> <p>&nbsp;</p> <p>當然，沒有什么制度是完美的。個人仍然容易受到DID的網絡攻擊。但是，在這種情況下，如果一個人粗心大意，隨后被黑客攻擊，這不會影響到任何其他小心保護自己身份的人。DID沒有將所有人的信息存儲在中央服務器上，而是允許個人在自己的設備上保存自己的信息。</p> <p>&nbsp;</p> <p>因此，如果攻擊者希望進行網絡安全攻擊，他們將不得不瞄準每一臺移動設備。這既昂貴又不切實際。這一概念適用于對財務和健康數據等敏感數據的保護，在這些數據中，個人是唯一能夠決定如何以及與誰共享數據的人。</p> <p>&nbsp;</p> <p>參見:澳大利亞的監(jiān)管對加密貨幣意味著什么?</p> <p>&nbsp;</p> <p>去中心化身份在防止網絡攻擊方面有什么缺點?</p> <p><br />一個主要的缺點是DID的概念假設個人能夠并且愿意承擔確保他們的設備安全的責任。這意味著，不要把他們的私鑰寫下來，讓攻擊者到處亂放，并避免在使用公共wi-fi時進行冒險行為，比如在網絡瀏覽器上訪問密鑰。</p> <p>&nbsp;</p> <p>因此，如果一個人粗心大意，遭受攻擊，如果他們的財務信息和更多信息泄露，這是他們自己的責任。</p> <p>&nbsp;</p> <p>從這個意義上說，這又回到了一個關于人類本質的基本論點，以及人類是否可以被信任對自己負責。</p> <p>&nbsp;</p> <p>但我堅信，在涉及網絡安全時，我們需要反思我們的激勵體系。如果激勵系統(tǒng)是錯誤的，那么來自更高權力的再多的強迫、規(guī)勸或教育都不會改變一個人的行為。</p> <p>&nbsp;</p> <p>但是，如果個人受到激勵去保護這些數據，因為這些數據純粹是他們自己的，而且是實實在在的，他們自己也會受到更強烈的激勵去保護這些數據。</p> <p><img src="https://newsroom.unsw.edu.au/sites/default/files/thumbnails/image/gettyimages-1303145712_1.jpg" alt="Phishing, mobile phone hacker or cyber scam concept. Password and login pass code in smartphone. Online security threat and fraud. Female scammer with cellphone and laptop. Bank account security." width="808" height="569" />&nbsp;</p> <p>使用去中心化身份意味著個人(而不是組織)將負責保護自己的數據。照片:蓋蒂</p> <p>&nbsp;</p> <p>另見:下一個區(qū)塊鏈大熱潮是什么?</p> <p>&nbsp;</p> <p>那么，是什么阻止我們現在使用去中心化身份呢?</p> <p><br />在建立DID方面存在一些障礙。由于這一概念非常新，目前在國家和國際一級還沒有實現和確立這一愿景的戰(zhàn)略路線圖。</p> <p>&nbsp;</p> <p>建立DID并給每個人一個數字身份的第一步是需要就一套程序達成一致，允許人們在區(qū)塊鏈上注冊他們的DID，并擁有相關的政府機構。</p> <p>&nbsp;</p> <p>這將適用于每個人，因此他們可以識別與他們的DID連接，并且該連接在區(qū)塊鏈上是正式的和可審計的。這也適用于所有政府機構，他們也將正式連接到區(qū)塊鏈上的唯一DID，以實現可審計性。</p> <p>&nbsp;</p> <p>系統(tǒng)地創(chuàng)建did與其現實實體之間連接的可審計跟蹤將是第一步，也是最重要的一步，最好將其記錄在一個開放的去中心化區(qū)塊鏈上。這將確保在發(fā)生政治或民事動亂時，did仍可被其他人審計。</p> <p>&nbsp;</p> <p>(把它想象成你的工作電子郵件。這封電子郵件通常對所有人公開，但只有你可以使用。但如果公司一夜之間破產了，你將失去那封電子郵件。但上面概述的區(qū)塊鏈方法是永久性的，在政權更迭的情況下，您的身份不能被刪除。)</p> <p>&nbsp;</p> <p>請參見:你知道你的數據在哪里嗎?為什么我們選擇方便而不是隱私</p> <p>&nbsp;</p> <p><strong><span class="h1">采用自底向上的方法</span></strong></p> <p><br />不幸的是，政府和商業(yè)組織(本質上)是中央集權的狂熱分子。因此，通過自上而下的方法來實現這種發(fā)展的興趣不大。</p> <p>&nbsp;</p> <p>DID系統(tǒng)的這種變化或實施只能從自下而上的方法中體現出來，像我們這樣的個人要求重新思考整個網絡安全范式，并且停止在每次發(fā)生這樣的安全漏洞時都舉手投降并說&ldquo;這就是它&rdquo;。</p> <p>&nbsp;</p> <p>DID系統(tǒng)的哲學基礎，就像整個加密行業(yè)一樣，是關于個人承擔責任的意愿。它并不像大多數人認為的那樣是技術上的靈丹妙藥。這很艱難，但它確實意味著你要重新獲得自己的主權。</p> <p>&nbsp;</p> <p>當然，另一種選擇是用數據換取便利，讓大型科技公司將我們的數據變現并控制我們的數據。</p> <p>&nbsp;</p> <p>Eric Lim博士是新南威爾士大學商學院信息系統(tǒng)與技術管理學院的高級講師，也是新南威爾士大學加密診所的創(chuàng)始人?？梢酝ㄟ^e.t.lim@unsw.edu.au聯系到他就上述內容或與區(qū)塊鏈、加密貨幣、去中心化身份等相關的任何內容發(fā)表評論。</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學態(tài)度觀點。</p> </blockquote>