قوانین هویت دیجیتال

قوانین هویت دیجیتال

درک پویایی‌هایی که باعث موفقیت یا شکست سیستم‌های هویت دیجیتال در زمینه‌های مختلف می‌شود با عنوان قوانین هویت بیان می‌گردند. این قوانین یک فراسیستم هویت واحد را تعریف می‌کنند که لایه هویتی مورد نیاز اینترنت را ارائه می‌دهند. اینترنت بدون راهی برای دانستن اینکه کاربران به چه کسی و به چه چیزی متصل هستند ساخته شده است که این موضوع، کاربران را در معرض خطرات فزاینده‌ای قرار می‌دهد و اگر اقدامی صورت نگیرد، سرقت‌ها و فریب‌های مجازی به سرعت افزایش می‌یابند و اعتماد عمومی به اینترنت از بین می‌رود.

این مقاله در مورد احیای اعتماد از بین رفته در فضای مجازی است و به کاربران احساس عمیقی از امنیت، حریم خصوصی و اطمینان (در مورد اینکه با چه کسی در فضای مجازی ارتباط دارند) می‌دهد. اگر قرار باشد خدمات و برنامه‌های کاربردی مبتنی بر وب در فضای سایبری، کارا و اثربخش باشند و انواع تعاملات و خدمات را انجام دهند، هیچ چیز نمی‌تواند ضروری‌تر از حفظ اعتماد باشد. این اعتماد توسط قوانین هویت دیجیتال ایجاد می‌شود که لایه هویتی یکپارچه را در سراسر سیستم ارائه می‌دهند.

بیشتر بخوانید: نقش اعتبارنامه در احراز هویت

بیان مسئله

اینترنت بدون راهی برای دانستن اینکه به چه کسی و به چه چیزی متصل است ساخته شده است و این یک چالش اساسی در بسیاری از حوزه‌ها همچون بانکداری به شمار می‌رود. این نوشته از مقاله The Laws Of Identity به عنوان یکی از اولین مقالات مطرح جهانی در حوزه هویت و هویت دیجیتال برگرفته شده است که به عنوان مبنایی برای شکل‌گیری هویت مدرن در فضای سایبری عمل کرده است.

هویت تکه‌تکه شده ‌”محدود به موقعیت One-off”

اینترنت امروزی در غیاب لایه هویت بومی، تبدیل به فضایی با هویت تکه‌تکه‌ شده است. با افزایش استفاده از خدمات و سرویس‌های مجازی، کاربران بیشتر در معرض این مشکلات قرار می‌گیرند. درحال حاضر هیچ چارچوب منسجم و قابل فهمی وجود ندارد که به کاربران اجازه دهد اعتبار سایت‌هایی را که بازدید می‌کنند ارزیابی کنند و روش قابل‌اعتمادی برای جلوگیری از افشای اطلاعات خصوصی وجود ندارد. امروزه مردم شروع به استفاده از اینترنت برای مدیریت و مبادله بسیاری از خدمات کرده‌اند و نفوذگران نیز به طور فزاینده‌ای (برای سوء استفاده از داده‌ها) در سطح بین‌المللی خود را حرفه‌ای و سازمان‌دهی کرده‌اند.

اطلاعات بانکی و سایر اطلاعات کاربران را از طریق طرح‌های «فیشینگ» منتشر می‌کنند و از ناتوانی آن‌ها (در تشخیص اینکه با چه کسی سروکار دارند)، سوء استفاده می‌کنند. همچنین پایگاه‌های اطلاعاتی شرکت‌ها، سازمان‌های دولتی و آموزشی با ذخایر هویتی هدف قرار می‌دهند و به سرقت صدها هزار هویت می‌پردازند. ماهیت هویت موقت اینترنتی نمی‌تواند در برابر حمله روزافزون مهاجمان حرفه‌ای مقاومت کند و اینترنت اعتبار و پذیرش خود را برای تراکنش‌های اقتصادی از دست می‌دهد. فقدان لایه هویتی یکپارچه، یکی از عوامل محدود کننده فضای مجازی است و کاربران را از بهره‌مندی مزایای خدمات وب باز می‌دارد. وب‌سرویس‌ها به طراحان اجازه می‌دهند سیستم‌های قوی، انعطاف‌پذیر و توزیع‌شده‌ای بسازند که می‌توانند قابلیت‌های مهم جدید را ارائه دهند و در پاسخ به محیط خود تکامل یابند. اما تا زمانی که هویت دیجیتال به صورت مجموعه‌ای تکه‌تکه ‌شده‌ باقی بماند، هیچ چیز جدیدی امکان‌پذیر نخواهد بود.

قوانین هویت دیجیتال

اضافه کردن یک ‌لایه هویت سخت است

تلاش‌هایی برای افزودن خدمات هویت دیجیتال استاندارد شده به اینترنت صورت گرفته است و موفقیت‌های جزئی در حوزه‌های خاص مانند استفاده از SSL برای محافظت از اتصالات به سایت‌های عمومی یا Kerberos وجود داشته است. اما این موفقیت‌ها کمک چندانی به تبدیل هویت وصله شده به یک بافت یکپارچه در سراسر اینترنت نکرده است. سوال مهمی که مطرح است این است که چرا ایجاد یک ‌لایه هویت برای اینترنت این‌قدر سخت است.

عمدتاً به این دلیل که توافق کمی در مورد اینکه هویت یکپارچه چه باید باشد و چگونه باید اجرا شود وجود دارد. این عدم توافق از آنجا ناشی می‌شود که هویت دیجیتال با محتوا و زمینه‌های مختلفی مرتبط است و بازیگران درگیر در هر یک از این زمینه‌ها می‌خواهند هویت دیجیتال را همان‌طور که بر آن‌ها تأثیر می‌گذارد، کنترل کنند. به‌عنوان‌مثال، شرکت‌ها روابط خود با مشتریان و کارکنان را به عنوان دارایی‌های کلیدی می‌بینند و به‌شدت از آن‌ها محافظت می‌کنند.

غیرمنطقی است که از آن‌ها انتظار برود که انتخاب‌های خود را محدود کنند یا کنترل خود را بر نحوه ایجاد و نمایش روابط خود به‌صورت دیجیتالی کنار بگذارند. زمینه‌های متفاوت شرکت‌ها منجر به این الزام می‌شود که آن‌ها در اتخاذ انواع مختلف راه‌حل‌ها آزاد باشند. بدافزارها و سرقت هویت به طور فزاینده‌ای، مسائل مربوط به حریم خصوصی را برای هر کاربر اینترنتی به نگرانی اساسی تبدیل کرده است. این موضوعات، منجر به افزایش آگاهی و آمادگی برای پاسخگویی به مسائل بزرگ‌تر حریم خصوصی شده است.

همان‌طور که دنیای مجازی تکامل یافته است، متخصصان حریم خصوصی تحلیل‌های ظریف و مستدلی از هویت از دیدگاه مصرف‌کننده ایجاد کرده‌اند و متفکران حقوقی، سیاست‌گذاران دولتی و نمایندگان منتخب به طور فزاینده‌ای از مسائل حریم خصوصی که جامعه با آن مواجه است، آگاه شده‌اند. نیازهای متنوع بازیگران ایجاب می‌کند که هویت یکپارچه واحد تشکیل‌ شود که بتواند از برنامه‌های هویتی در برابر پیچیدگی‌های محافظت کند.

درک موانع

نقش یک فراسیستم هویتی این است که راهی قابل اعتماد برای تعیین اینکه چه کسی با هرکجای اینترنت در ارتباط است، فراهم کند. انواع مختلف سیستم‌ها با موفقیت شناسایی در زمینه‌های خاص ارائه شده‌اند. این تحقیق منجر به مجموعه‌ای از ایده‌ها به نام قوانین هویت دیجیتال شده است. کلمه «قوانین» به معنای علمی فرضیه‌های مربوط به جهان است که از مشاهدات ناشی می‌شوند و می‌توان آن‌ها را آزمایش کرد.

این قوانین مجموعه‌ای از پویایی‌های عینی را برمی‌شمارند که یک فراسیستم هویت دیجیتال را تعریف می‌کنند که می‌تواند به‌طور گسترده‌ای پذیرفته شود تا بتواند به ‌عنوان پشتیبان برای محاسبات توزیع‌شده در مقیاس اینترنت عمل کند. به‌این‌ترتیب، هر قانون در نهایت منجر به ایجاد یک اصل معماری می‌شود که ساخت چنین سیستمی را هدایت می‌کند. درک قوانین هویت دیجیتال می‌تواند به حذف بسیاری از پیشنهادات محکوم به فنا (قبل از اینکه زمان زیادی را برای آن‌ها تلف شود) کمک کند. به کمک این قوانین می‌توان بسیاری از نتایج را پیش‌بینی کرد و معماری لایه هویت گمشده اینترنت را تعریف کرد.

هویت دیجیتال چیست؟

هویت دیجیتال (Digital Identity) به عنوان مجموعه‌ای از ادعاهای مطرح شده توسط یک موضوع دیجیتال یا موجودیت می‌باشد. فرهنگ لغت انگلیسی آکسفورد (OED) موضوع دیجیتال را شخص یا چیزی که مورد بحث، توصیف یا برخورد است، تعریف می‌کند. یک ادعا یک شناسه را منتقل می‌کند زیرا بسیاری از سیستم‌های هویتی با یک ادعا کار می‌کنند. کاربری ادعا می‌کند که اطلاعاتی را می‌داند و باید بتواند واقعیت این ادعا را ثابت کند. مجموعه‌ای از ادعاها ممکن است اطلاعات شناسایی شخصی را برای مثال، نام، آدرس، تاریخ تولد و شهروندی منتقل کنند.

یک ادعا ممکن است به‌سادگی بیان کند که یک کاربر بخشی از یک گروه خاص است، به‌عنوان‌مثال، سن او کمتر از 18 سال است و یا ممکن است بیان کند که یک موضوع دارای قابلیت خاصی است، به‌عنوان‌مثال، برای سفارش دادن تا سقف معین، یا اصلاح یک فایل معین. هویت دیجیتال شامل، تمام سیستم‌های هویت دیجیتال شناخته شده است و اجازه می‌دهد تا هویت‌های وصله‌کاری شده، از نظر مفهومی یکسان شوند. این موضوع به طراحان امکان می‌دهد هویت دیجیتال را برای یک متاسیستم تعریف کنند که شامل چندین روش پیاده‌سازی و روش‌های انجام کارها می‌باشد.

قوانین هویت دیجیتال

قوانین هویت دیجیتال

قوانین هویت دیجیتال از دید کیم کامرون عبارت‌اند از:

1. کنترل و رضایت کاربر

سیستم‌های هویت فنی فقط باید اطلاعات شناسایی کاربر را با رضایت کاربر فاش کنند. هیچ‌کس به اندازه فردی که از آن سیستم، استفاده می‌کند برای موفقیت فراسیستم هویت، محوری نیست. این سیستم قبل از هر چیز باید از طریق راحتی و سادگی جذاب باشد و مهمتر از آن باید اعتماد کاربر را جلب کند. کسب این اعتماد مستلزم یک تعهد کل‌نگر است. این سیستم باید به‌گونه‌ای طراحی شود که کاربر را در جریان هویت‌های دیجیتالی استفاده شده و اطلاعاتی که منتشر می‌شود، قرار دهد. این سیستم همچنین باید از کاربر در برابر سرقت اطلاعات، محافظت کند و هویت هر طرفی را که درخواست اطلاعات می‌کند تأیید کند. همچنین سیستم به مکانیسم‌هایی نیاز دارد تا کاربر را از اهداف سازمان‌هایی که اطلاعات هویتی افراد را جمع‌آوری می‌کنند، آگاه کند.

زمانی که کاربر یک ارائه‌دهنده هویتی را انتخاب کرده است باید بتواند رفتار آن را ردیابی کند و سیستم نیز باید این موضوع را به کاربر اطلاع دهد. علاوه بر این، باید این حس را تقویت کند که کاربر بدون توجه به زمینه، کنترل را در دست دارد. این به معنای پشتیبانی از رضایت کاربر در انواع محیط‌های سازمانی است. حفظ پارادایم رضایت ضروری است زیرا این کار هم برای کارمند و هم برای جبران خسارت کارفرما مفید است. قانون کنترل و رضایت کاربر اجازه استفاده از مکانیسم‌هایی را می‌دهد که به‌موجب آن، متاسیستم تصمیمات کاربر را به خاطر می‌سپارد و کاربران ممکن است تصمیم بگیرند که آن‌ها را به‌طور خودکار در موارد بعدی اعمال کنند.

2. حداقل افشا برای استفاده محدود

راه‌حلی که کمترین اطلاعات شناسایی را فاش می‌کند و استفاده از آن را به بهترین شکل محدود می‌کند، پایدارترین راه‌حل بلندمدت است. سازمان‌ها باید مجهز به سیستم‌هایی باشند که اطلاعات شناسایی را بر این اساس بکار ببرند. برای کاهش ریسک، بهتر است اطلاعات را فقط بر اساس «نیاز به دانستن» به دست آورد و آن را فقط بر اساس «نیاز به حفظ» ذخیره نمود. با پیروی از این روش‌ها می‌توان از کمترین آسیب ممکن در صورت نفوذ، اطمینان حاصل کرد.

درعین‌حال، ارزش اطلاعات شناسایی با کاهش مقدار اطلاعات، کاهش می‌یابد. بنابراین، سیستمی که با اصول مینیمالیسم اطلاعات ساخته شده است، هدف کمتر جذابی برای سرقت هویت است و ریسک نفوذ را کاهش می‌دهد. با محدود کردن اصل “نیاز به دانستن” امنیت افزایش می‌یابد زیرا دیگر امکان جمع‌آوری و نگهداری اطلاعات «درصورتی‌که روزی مورد نیاز باشد» وجود ندارد. مفهوم “کمترین اطلاعات شناسایی” باید نه‌تنها به معنای کمترین تعداد ادعاها، بلکه اطلاعاتی که کمترین احتمال را برای شناسایی یک فرد معین در زمینه‌های مختلف دارد، در نظر گرفته شوند.

به‌عنوان‌مثال، اگر سناریویی نیاز به اثبات سن خاصی دارد، بهتر است به‌جای تاریخ تولد، رده سنی را به دست آورد و ذخیره کند. تاریخ تولد به ‌احتمال ‌زیاد در ارتباط با ادعاهای دیگر، به طور منحصربه‌فرد موضوعات دیگر را شناسایی می‌کند و بنابراین نشان‌دهنده “اطلاعات شناسایی بیشتر” است. در جایی که این قانون نقض شود، فاجعه‌های هویتی متعددی رخ می‌دهد. به عبارت دیگر، تجمیع اطلاعات شناسایی، ریسک را نیز تجمیع می‌کند و برای به حداقل رساندن ریسک، تجمع باید به حداقل برسد.

3. طرف‌های قابل توجیه

 سیستم‌های هویت دیجیتال باید طوری طراحی شوند که افشای اطلاعات شناسایی محدود به طرف‌هایی باشد که در یک رابطه هویتی دارای جایگاه ضروری و قابل توجیه هستند. سیستم هویت باید هنگام اشتراک‌گذاری اطلاعات، کاربر خود را از طرف یا طرف‌هایی که با آن‌ها در تعامل است آگاه کند. الزامات توجیهی هم در مورد موضوعی که اطلاعات را افشا می‌کند و هم برای طرف متکی که به آن وابسته است اعمال می‌شود. امروزه برخی از دولت‌ها به فکر ارائه خدمات هویت دیجیتال هستند و مردم هنگام تجارت با دولت از هویت‌های صادرشده توسط دولت استفاده کنند.

همین مسائل با واسطه‌هایی مواجه می‌شود که یک ساختار اعتماد ایجاد می‌کنند. هدف تبیین قوانین هویت، ایجاد محدودیت‌ها نیست، بلکه ‌منظور ترسیم پویایی‌هایی است که بازیگران زیست بوم هویت دیجیتال باید از آن آگاه باشند. با توجه به قانون کنترل و رضایت، برای جلب اعتماد، سیستم باید قابل پیش‌بینی و شفاف باشد و کاربر باید بداند که به چه دلایلی و با چه کسی سروکار دارند. در دنیای فیزیکی، کاربر قادر خواهد بود یک موقعیت را قضاوت کند و تصمیم بگیرد که در مورد خود چه چیزی را فاش کنند. هر طرف افشاگر باید بیانیه خط‌مشی مربوط به استفاده از اطلاعات را به‌طرف افشاکننده ارائه دهد. این خط‌مشی باید بر آنچه برای اطلاعات افشاشده اتفاق می‌افتد نظارت کند.

4. هویت کارگردانی شده

در مقایسه با جهان فیزیکی، می‌توان گفت هویت علاوه بر اندازه، دارای جهت نیز است و یک سیستم هویت جهانی باید هم از شناسه‌های «همه جهته» برای استفاده توسط نهاد‌های عمومی و هم از شناسه‌های «یک جهته» برای استفاده توسط نهادهای خصوصی پشتیبانی کند. همچنین از انتشار غیرضروری اطلاعات جلوگیری ‌کند.

هویت‌های عمومی را می‌توان به‌عنوان فانوس‌هایی در نظر گرفت که هویت را برای هرکسی که ظاهر می‌شود منتشر ‌می‌کند. یک وب‌سایت با یک URL شناخته شده و گواهی کلید عمومی نمونه خوبی از چنین هویت عمومی است و هر بازدیدکننده‌ای از سایت گواهی کلید عمومی را بررسی می‌کند. گواهی‌های کلید عمومی زمانی که برای شناسایی افراد در زمینه‌هایی که حریم خصوصی مهم است، استفاده می‌شوند.

بیشتر بخوانید: مدیریت هویت و دسترسی

5. کثرت‌گرایی اپراتورها و فناوری‌ها

یک سیستم هویت جهانی باید ارتباط بین فناوری‌های هویت چندگانه را که توسط چندین ارائه‌دهنده هویت اجرا می‌شوند، فعال کند. یکی از دلایلی که باعث می‌شود یک سیستم یکپارچه کارایی نداشته باشد، این است که ویژگی‌هایی که هر سیستمی را در یک زمینه ‌ایده‌آل می‌کند، آن را در شرایط دیگر رد صلاحیت می‌کند. استفاده از هویت دیجیتال صادرشده توسط دولت در تعامل با خدمات دولتی منطقی است اما در بسیاری از فرهنگ‌ها، کارفرمایان و کارمندان احساس راحتی نمی‌کنند که از شناسه‌های دولتی برای ورود به محل کار استفاده کنند.

زیرا یک شناسه دولتی ممکن است برای مثال برای انتقال اطلاعات مالیاتی استفاده شود. یک سیستم هویتی جهانی باید تمایز را بپذیرد و بتواند تشخیص دهد که هر یک از افراد به طور هم‌زمان و در زمینه‌های مختلف یک شهروند، یک کارمند، یک مشتری و یک شخصیت مجازی است. همچنین راهی برای ارائه اطلاعات از طریق یک تجربه کاربری یکپارچه نیاز است که به افراد و سازمان‌ها اجازه می‌دهد تا ارائه‌دهندگان هویت و ویژگی‌های مناسب را در حین انجام فعالیت‌های روزانه خود انتخاب کنند.

6. ادغام انسانی

فراسیستم هویت جهانی باید کاربر انسانی را به عنوان جزئی از سیستم توزیع‌شده تعریف کند که از طریق مکانیسم‌های ارتباطی بدون ابهام انسان و ماشین (که محافظت در برابر حملات هویت را ارائه می‌دهد)، یکپارچه‌شده است. لذا طراحان برای ایمن‌سازی کانال بین سرورهای وب و مرورگرها اقدام به انواع روش‌های رمزنگاری نموده‌اند. سیستم هویت باید بر اساس کاربر انسانی گسترش یابد و آن را یکپارچه کند. ازآنجایی‌که سیستم‌های هویتی باید روی همه پلتفرم‌ها کار کند، لذا باید ایمن باشند و بایستی به سطوح بسیار بالایی از قابلیت اطمینان در ارتباط بین سیستم و کاربران انسانی آن دست یافت.

7. تجربه ثابت در سراسر زمینه‌ها

متاسیستم هویت متحدکننده باید تجربه ساده و ثابتی را برای کاربران خود تضمین کند و درعین‌حال امکان جداسازی زمینه‌ها از طریق اپراتورها و فناوری‌های متعدد را فراهم کند. کاربران در فضای مجازی با هویت‌های مختلفی روبرو هستند:

  • مرور: هویتی برای کاوش در وب (بدون داده واقعی)
  • شخصی: کاربر هویتی می‌خواهد که با استفاده از آن‌ها  رابطه مستمر و خصوصی داشته باشند.
  • جامعه: هویت عمومی برای همکاری با دیگران
  • حرفه‌ای: یک هویت عمومی برای همکاری که توسط کارفرما صادرشده است
  • کارت اعتباری: هویتی که توسط موسسه مالی صادرشده است
  • شهروند: هویتی که توسط دولت صادرشده است

کاربران ممکن است، ترکیب‌های متفاوتی از این هویت‌های دیجیتالی داشته باشند. برای امکان‌پذیر ساختن این امر، باید هویت‌های دیجیتالی تکامل پیدا کنند و آن‌ها را به “چیزهایی” تبدیل کنند که کاربر بتواند روی دسکتاپ ببیند، اضافه و حذف کند، انتخاب کرده و به اشتراک بگذارد. همانطور که اگر (در استفاده از رایانه شخصی) آیکون‌ها اختراع نمی‌شد که به طور مداوم پوشه‌ها و اسناد را نشان دهند، رایانه‌های امروزی قابل استفاده نبودند.

طراحان هویت‌های دیجیتال نیز باید همین کار را انجام دهند. لذا هویت طرف‌های متکی (که کاربر می‌خواهد از آن‌ها سرویس دریافت کند)، باید مشخص شوند. سپس هویت‌های دیجیتالی تطبیق‌دهنده را به کاربر نشان می‌دهند و کاربر می‌تواند بین آن‌ها را انتخاب کند و از آن‌ها برای دریافت اطلاعات درخواستی استفاده کند. این موضوع  به کاربر اجازه می‌دهد تا آنچه را که منتشر می‌شود، کنترل نماید. طرف‌های متکی به انواع مختلفی از هویت‌های دیجیتال نیاز دارند و اغلب مایل هستند بیش از یک نوع هویت را بپذیرند.

همچنین کاربر می‌خواهد گزینه‌های خود را بفهمد و بهترین هویت را برای زمینه کاری خود انتخاب کند. با کنار هم گذاشتن تمام قوانین می‌توان دریافت که درخواست، انتخاب و ارائه اطلاعات هویتی باید به‌گونه‌ای انجام شود که کانال ارتباطی بین طرفین امن باشد. تجربه کاربری همچنین باید از ابهام در رضایت کاربر جلوگیری کند و برای این کار، سازگاری در میان زمینه‌ها لازم است. کاربران، باید هویت‌های مختلف خود را به عنوان بخشی از یک دنیای یکپارچه ببینید. سازمان‌هایی که روی سیستم‌های هویتی (یا با آن‌ها) کار می‌کنند، باید از قوانین هویت پیروی کنند و با حمایت از آن‌ها می‌توانند یک فراسیستم هویتی یکپارچه بسازند که مورد پذیرش جهانی باشد.

نویسندگان: محمدصالح میثمی، تورج اکبری

مراجع

 [1]           Kim Cameron, “the laws of identity,” Microsoft Corporation, جلد 1, شماره digital identity, pp. 1-12, 2005.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.