NSTIC(National Strategy for Trusted Identities in Cyberspace)是一個美國的網路身份認證架構,這個架構主要是為了可以建立一個Identity Ecosystem (身份生態),可以更安全的確認使用者的身份。這個NSTIC對於SEO有何影響呢? 對於網路的後續發展有何影響呢?
舉個例子來說明NSTIC架構,例如: 以前使用者都必須記一堆帳號與密碼來登入電子郵件、銀行帳戶、或是其他需要登入的網路服務,但是這個架構也引來了許多identity theft (身份盜竊),讓駭客偷偷的潛入別人的私人領域,進行竊取個人資料、個人線上財物、或是銀行存款等等。
現在,使用者可以透過數位憑證 (digital credential) 進行登入網路服務,可以不再仰賴帳密才能登入。這個很類似台灣推動的「自然人憑證」,透過自然人憑證可以在線上使用各種E化政府的服務,公家單位可以使用自然人憑證簽核電子公文等等。
但是,NSTIC的數位憑證與自然人憑證稍微不同的是,數位憑證的來源可以有許多認證單位,例如這篇”NSTIC, Google & SEO“就說到Google也是數位憑證的提供者,其他如 PayPal 與 Equifax 也是第一輪的數位憑證的提供者。
根據NSTIC的FAQ資料,我們來看看哪些作法與台灣自然人憑證的不同~
(1) Identity Ecosystem並不是由政府來執行,而是由私人公司來處理,使用者自己選擇數位憑證的提供者,政府只是居中協調及確保所有數位憑證的提供者的作法都合乎規範。
(2) 如果不常上網,是否就不需要使用這個數位憑證架構呢? 是否需要數位憑證不是看是否經常上網而定,而是只要你需要更安全的登入服務的話,就需要數位憑證。
(3) 數位憑證的提供者會不會洩露我的網路上的行為呢? 數位憑證的提供只提供必須的登入認證服務,完成登入後數位憑證的提供者並不知道你的網路活動。
(4) 數位憑證的提供者會不會盜用我的身份去登入服務,造成我的損失呢? 因為數位憑證是屬於PKCS (public-key cryptography standards),你的數位憑證包括了公鑰、私鑰、密碼,因此數位憑證的提供者盜用的機會相當低,必須取得你的私鑰及密碼才可能偷取你的身份。
詳細內容請參考NSTIC說明文件 ~ http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf
以下是DataCollectors的說明圖,在網路上以及實際生活上,有許多單位收集你的資料,各單位只要通過NSTIC的規範,就能夠具有Trustmark,成為Identity Ecosystem的一環,當作數位憑證提供者。
以下是DataUsers的說明圖,在網路與實際生活中,會有許多單位需要抓取使用者的資料,就會透過Data Broker (資料中介者)傳遞,例如銀行就屬於Data Users。
以下是關於NSTIC運作的說明影片
所以NSTIC就具有以下幾個特性:
(1) Faster : 使用者就可以在線上使用相同的認證登入方式,而不需要一大堆的帳號密碼,可以加速線上的活動,所以一個數位憑證加上一個密碼,就可以使用所有的網路服務,或是各種需要認證的服務。
(2) More convenient : 如此一來,各種企業或是政府服務都可以放到網路上,讓使用者透過網路認證登入使用。
(3) Safer : 因為不是只有帳密登入,讓身份竊盜可以降到最低,只要PKCS不被破解,NSTIC的架構就能保證安全性。
(4) Private : 進行安全登入作業時,只有必要的資料傳遞,並且登入之後的活動也不被收集,所以使用者的網路隱私可以被保障。
(5) Voluntary : 這整個數位憑證架構都是自願性質的,數位憑證提供者與使用者都可以在自由意願選擇下進行。
至於事實是否如上所敘述呢? 當然這只是理想上的說法囉。
也許你會質疑,這麼大的一個架構,為什麼不以政府的力量來做? 而把數位憑證提供者讓私人公司去進行呢? 我們從這篇”A Manhattan Project for online identity“看出一點端倪,因為作者形容這是一個在公眾監督下的曼哈頓計畫,不會如當年的曼哈頓計畫一樣,政府關起門來以為自己在做好事,但是卻造成了科技去幫助戰爭的局面。
並且由於Facebook的Facebook Connect模式的成功,也可能間接的鼓舞NSTIC的模式應該也可以成功。當然NIST (National Institute of Standards and Technology 美國國家標準與技術研院)不能只擬出NSTIC,然後讓私人公司自己去玩,還更應該去訂定出監督方式去確保所有行事都在遊戲規則內。
另外一個不以官方集中管理的原因,我們以小人之心去揣測的話,就是NSTIC的最終目標是讓全球的數位憑證都在NSTIC的架構之下。
所以以私人公司當成數位憑證提供者,就不會引發其他政治方面的問題,如果Facebook是~ Facebook.gov 的話,還能夠發展到全球都使用嗎?
但是不管是Google或是其他的數位憑證提供者,終究還是在美國的管轄之下,必須遵守美國的管理。
那麼這個NSTIC對於SEO會有什麼影響呢? 如果數位憑證提供者極度分散的話,可能影響還不大,但是如果Google或是某個提供者變成數位憑證提供者的主宰者的話,那麼情況就不太一樣。
以往網路是極度的匿名性質的,直到社交網路的廣泛使用,實名開始變成主導的遊戲規則,然後社交網路再跟搜尋活動搭上線後,讓許多人為了搜尋到更符合需求的資料,或是無意識的使用登入搜尋,使得實名變成普遍的現象。
所以我們以後會不會被逼得必須使用Google的數位憑證呢? 不知道,我們現在不是已經被逼得,不得不使用Facebook或是Google+嗎? 如果一堆網站都只能使用Facebook Connect登入,你用不用呢?