قوانین هویت دیجیتال
درک پویاییهایی که باعث موفقیت یا شکست سیستمهای هویت دیجیتال در زمینههای مختلف میشود با عنوان قوانین هویت بیان میگردند. این قوانین یک فراسیستم هویت واحد را تعریف میکنند که لایه هویتی مورد نیاز اینترنت را ارائه میدهند. اینترنت بدون راهی برای دانستن اینکه کاربران به چه کسی و به چه چیزی متصل هستند ساخته شده است که این موضوع، کاربران را در معرض خطرات فزایندهای قرار میدهد و اگر اقدامی صورت نگیرد، سرقتها و فریبهای مجازی به سرعت افزایش مییابند و اعتماد عمومی به اینترنت از بین میرود.
این مقاله در مورد احیای اعتماد از بین رفته در فضای مجازی است و به کاربران احساس عمیقی از امنیت، حریم خصوصی و اطمینان (در مورد اینکه با چه کسی در فضای مجازی ارتباط دارند) میدهد. اگر قرار باشد خدمات و برنامههای کاربردی مبتنی بر وب در فضای سایبری، کارا و اثربخش باشند و انواع تعاملات و خدمات را انجام دهند، هیچ چیز نمیتواند ضروریتر از حفظ اعتماد باشد. این اعتماد توسط قوانین هویت دیجیتال ایجاد میشود که لایه هویتی یکپارچه را در سراسر سیستم ارائه میدهند.
بیان مسئله
اینترنت بدون راهی برای دانستن اینکه به چه کسی و به چه چیزی متصل است ساخته شده است و این یک چالش اساسی در بسیاری از حوزهها همچون بانکداری به شمار میرود. این نوشته از مقاله The Laws Of Identity به عنوان یکی از اولین مقالات مطرح جهانی در حوزه هویت و هویت دیجیتال برگرفته شده است که به عنوان مبنایی برای شکلگیری هویت مدرن در فضای سایبری عمل کرده است.
هویت تکهتکه شده ”محدود به موقعیت One-off”
اینترنت امروزی در غیاب لایه هویت بومی، تبدیل به فضایی با هویت تکهتکه شده است. با افزایش استفاده از خدمات و سرویسهای مجازی، کاربران بیشتر در معرض این مشکلات قرار میگیرند. درحال حاضر هیچ چارچوب منسجم و قابل فهمی وجود ندارد که به کاربران اجازه دهد اعتبار سایتهایی را که بازدید میکنند ارزیابی کنند و روش قابلاعتمادی برای جلوگیری از افشای اطلاعات خصوصی وجود ندارد. امروزه مردم شروع به استفاده از اینترنت برای مدیریت و مبادله بسیاری از خدمات کردهاند و نفوذگران نیز به طور فزایندهای (برای سوء استفاده از دادهها) در سطح بینالمللی خود را حرفهای و سازماندهی کردهاند.
اطلاعات بانکی و سایر اطلاعات کاربران را از طریق طرحهای «فیشینگ» منتشر میکنند و از ناتوانی آنها (در تشخیص اینکه با چه کسی سروکار دارند)، سوء استفاده میکنند. همچنین پایگاههای اطلاعاتی شرکتها، سازمانهای دولتی و آموزشی با ذخایر هویتی هدف قرار میدهند و به سرقت صدها هزار هویت میپردازند. ماهیت هویت موقت اینترنتی نمیتواند در برابر حمله روزافزون مهاجمان حرفهای مقاومت کند و اینترنت اعتبار و پذیرش خود را برای تراکنشهای اقتصادی از دست میدهد. فقدان لایه هویتی یکپارچه، یکی از عوامل محدود کننده فضای مجازی است و کاربران را از بهرهمندی مزایای خدمات وب باز میدارد. وبسرویسها به طراحان اجازه میدهند سیستمهای قوی، انعطافپذیر و توزیعشدهای بسازند که میتوانند قابلیتهای مهم جدید را ارائه دهند و در پاسخ به محیط خود تکامل یابند. اما تا زمانی که هویت دیجیتال به صورت مجموعهای تکهتکه شده باقی بماند، هیچ چیز جدیدی امکانپذیر نخواهد بود.
اضافه کردن یک لایه هویت سخت است
تلاشهایی برای افزودن خدمات هویت دیجیتال استاندارد شده به اینترنت صورت گرفته است و موفقیتهای جزئی در حوزههای خاص مانند استفاده از SSL برای محافظت از اتصالات به سایتهای عمومی یا Kerberos وجود داشته است. اما این موفقیتها کمک چندانی به تبدیل هویت وصله شده به یک بافت یکپارچه در سراسر اینترنت نکرده است. سوال مهمی که مطرح است این است که چرا ایجاد یک لایه هویت برای اینترنت اینقدر سخت است.
عمدتاً به این دلیل که توافق کمی در مورد اینکه هویت یکپارچه چه باید باشد و چگونه باید اجرا شود وجود دارد. این عدم توافق از آنجا ناشی میشود که هویت دیجیتال با محتوا و زمینههای مختلفی مرتبط است و بازیگران درگیر در هر یک از این زمینهها میخواهند هویت دیجیتال را همانطور که بر آنها تأثیر میگذارد، کنترل کنند. بهعنوانمثال، شرکتها روابط خود با مشتریان و کارکنان را به عنوان داراییهای کلیدی میبینند و بهشدت از آنها محافظت میکنند.
غیرمنطقی است که از آنها انتظار برود که انتخابهای خود را محدود کنند یا کنترل خود را بر نحوه ایجاد و نمایش روابط خود بهصورت دیجیتالی کنار بگذارند. زمینههای متفاوت شرکتها منجر به این الزام میشود که آنها در اتخاذ انواع مختلف راهحلها آزاد باشند. بدافزارها و سرقت هویت به طور فزایندهای، مسائل مربوط به حریم خصوصی را برای هر کاربر اینترنتی به نگرانی اساسی تبدیل کرده است. این موضوعات، منجر به افزایش آگاهی و آمادگی برای پاسخگویی به مسائل بزرگتر حریم خصوصی شده است.
همانطور که دنیای مجازی تکامل یافته است، متخصصان حریم خصوصی تحلیلهای ظریف و مستدلی از هویت از دیدگاه مصرفکننده ایجاد کردهاند و متفکران حقوقی، سیاستگذاران دولتی و نمایندگان منتخب به طور فزایندهای از مسائل حریم خصوصی که جامعه با آن مواجه است، آگاه شدهاند. نیازهای متنوع بازیگران ایجاب میکند که هویت یکپارچه واحد تشکیل شود که بتواند از برنامههای هویتی در برابر پیچیدگیهای محافظت کند.
درک موانع
نقش یک فراسیستم هویتی این است که راهی قابل اعتماد برای تعیین اینکه چه کسی با هرکجای اینترنت در ارتباط است، فراهم کند. انواع مختلف سیستمها با موفقیت شناسایی در زمینههای خاص ارائه شدهاند. این تحقیق منجر به مجموعهای از ایدهها به نام قوانین هویت دیجیتال شده است. کلمه «قوانین» به معنای علمی فرضیههای مربوط به جهان است که از مشاهدات ناشی میشوند و میتوان آنها را آزمایش کرد.
این قوانین مجموعهای از پویاییهای عینی را برمیشمارند که یک فراسیستم هویت دیجیتال را تعریف میکنند که میتواند بهطور گستردهای پذیرفته شود تا بتواند به عنوان پشتیبان برای محاسبات توزیعشده در مقیاس اینترنت عمل کند. بهاینترتیب، هر قانون در نهایت منجر به ایجاد یک اصل معماری میشود که ساخت چنین سیستمی را هدایت میکند. درک قوانین هویت دیجیتال میتواند به حذف بسیاری از پیشنهادات محکوم به فنا (قبل از اینکه زمان زیادی را برای آنها تلف شود) کمک کند. به کمک این قوانین میتوان بسیاری از نتایج را پیشبینی کرد و معماری لایه هویت گمشده اینترنت را تعریف کرد.
هویت دیجیتال چیست؟
هویت دیجیتال (Digital Identity) به عنوان مجموعهای از ادعاهای مطرح شده توسط یک موضوع دیجیتال یا موجودیت میباشد. فرهنگ لغت انگلیسی آکسفورد (OED) موضوع دیجیتال را شخص یا چیزی که مورد بحث، توصیف یا برخورد است، تعریف میکند. یک ادعا یک شناسه را منتقل میکند زیرا بسیاری از سیستمهای هویتی با یک ادعا کار میکنند. کاربری ادعا میکند که اطلاعاتی را میداند و باید بتواند واقعیت این ادعا را ثابت کند. مجموعهای از ادعاها ممکن است اطلاعات شناسایی شخصی را برای مثال، نام، آدرس، تاریخ تولد و شهروندی منتقل کنند.
یک ادعا ممکن است بهسادگی بیان کند که یک کاربر بخشی از یک گروه خاص است، بهعنوانمثال، سن او کمتر از 18 سال است و یا ممکن است بیان کند که یک موضوع دارای قابلیت خاصی است، بهعنوانمثال، برای سفارش دادن تا سقف معین، یا اصلاح یک فایل معین. هویت دیجیتال شامل، تمام سیستمهای هویت دیجیتال شناخته شده است و اجازه میدهد تا هویتهای وصلهکاری شده، از نظر مفهومی یکسان شوند. این موضوع به طراحان امکان میدهد هویت دیجیتال را برای یک متاسیستم تعریف کنند که شامل چندین روش پیادهسازی و روشهای انجام کارها میباشد.
قوانین هویت دیجیتال
قوانین هویت دیجیتال از دید کیم کامرون عبارتاند از:
1. کنترل و رضایت کاربر
سیستمهای هویت فنی فقط باید اطلاعات شناسایی کاربر را با رضایت کاربر فاش کنند. هیچکس به اندازه فردی که از آن سیستم، استفاده میکند برای موفقیت فراسیستم هویت، محوری نیست. این سیستم قبل از هر چیز باید از طریق راحتی و سادگی جذاب باشد و مهمتر از آن باید اعتماد کاربر را جلب کند. کسب این اعتماد مستلزم یک تعهد کلنگر است. این سیستم باید بهگونهای طراحی شود که کاربر را در جریان هویتهای دیجیتالی استفاده شده و اطلاعاتی که منتشر میشود، قرار دهد. این سیستم همچنین باید از کاربر در برابر سرقت اطلاعات، محافظت کند و هویت هر طرفی را که درخواست اطلاعات میکند تأیید کند. همچنین سیستم به مکانیسمهایی نیاز دارد تا کاربر را از اهداف سازمانهایی که اطلاعات هویتی افراد را جمعآوری میکنند، آگاه کند.
زمانی که کاربر یک ارائهدهنده هویتی را انتخاب کرده است باید بتواند رفتار آن را ردیابی کند و سیستم نیز باید این موضوع را به کاربر اطلاع دهد. علاوه بر این، باید این حس را تقویت کند که کاربر بدون توجه به زمینه، کنترل را در دست دارد. این به معنای پشتیبانی از رضایت کاربر در انواع محیطهای سازمانی است. حفظ پارادایم رضایت ضروری است زیرا این کار هم برای کارمند و هم برای جبران خسارت کارفرما مفید است. قانون کنترل و رضایت کاربر اجازه استفاده از مکانیسمهایی را میدهد که بهموجب آن، متاسیستم تصمیمات کاربر را به خاطر میسپارد و کاربران ممکن است تصمیم بگیرند که آنها را بهطور خودکار در موارد بعدی اعمال کنند.
2. حداقل افشا برای استفاده محدود
راهحلی که کمترین اطلاعات شناسایی را فاش میکند و استفاده از آن را به بهترین شکل محدود میکند، پایدارترین راهحل بلندمدت است. سازمانها باید مجهز به سیستمهایی باشند که اطلاعات شناسایی را بر این اساس بکار ببرند. برای کاهش ریسک، بهتر است اطلاعات را فقط بر اساس «نیاز به دانستن» به دست آورد و آن را فقط بر اساس «نیاز به حفظ» ذخیره نمود. با پیروی از این روشها میتوان از کمترین آسیب ممکن در صورت نفوذ، اطمینان حاصل کرد.
درعینحال، ارزش اطلاعات شناسایی با کاهش مقدار اطلاعات، کاهش مییابد. بنابراین، سیستمی که با اصول مینیمالیسم اطلاعات ساخته شده است، هدف کمتر جذابی برای سرقت هویت است و ریسک نفوذ را کاهش میدهد. با محدود کردن اصل “نیاز به دانستن” امنیت افزایش مییابد زیرا دیگر امکان جمعآوری و نگهداری اطلاعات «درصورتیکه روزی مورد نیاز باشد» وجود ندارد. مفهوم “کمترین اطلاعات شناسایی” باید نهتنها به معنای کمترین تعداد ادعاها، بلکه اطلاعاتی که کمترین احتمال را برای شناسایی یک فرد معین در زمینههای مختلف دارد، در نظر گرفته شوند.
بهعنوانمثال، اگر سناریویی نیاز به اثبات سن خاصی دارد، بهتر است بهجای تاریخ تولد، رده سنی را به دست آورد و ذخیره کند. تاریخ تولد به احتمال زیاد در ارتباط با ادعاهای دیگر، به طور منحصربهفرد موضوعات دیگر را شناسایی میکند و بنابراین نشاندهنده “اطلاعات شناسایی بیشتر” است. در جایی که این قانون نقض شود، فاجعههای هویتی متعددی رخ میدهد. به عبارت دیگر، تجمیع اطلاعات شناسایی، ریسک را نیز تجمیع میکند و برای به حداقل رساندن ریسک، تجمع باید به حداقل برسد.
3. طرفهای قابل توجیه
سیستمهای هویت دیجیتال باید طوری طراحی شوند که افشای اطلاعات شناسایی محدود به طرفهایی باشد که در یک رابطه هویتی دارای جایگاه ضروری و قابل توجیه هستند. سیستم هویت باید هنگام اشتراکگذاری اطلاعات، کاربر خود را از طرف یا طرفهایی که با آنها در تعامل است آگاه کند. الزامات توجیهی هم در مورد موضوعی که اطلاعات را افشا میکند و هم برای طرف متکی که به آن وابسته است اعمال میشود. امروزه برخی از دولتها به فکر ارائه خدمات هویت دیجیتال هستند و مردم هنگام تجارت با دولت از هویتهای صادرشده توسط دولت استفاده کنند.
همین مسائل با واسطههایی مواجه میشود که یک ساختار اعتماد ایجاد میکنند. هدف تبیین قوانین هویت، ایجاد محدودیتها نیست، بلکه منظور ترسیم پویاییهایی است که بازیگران زیست بوم هویت دیجیتال باید از آن آگاه باشند. با توجه به قانون کنترل و رضایت، برای جلب اعتماد، سیستم باید قابل پیشبینی و شفاف باشد و کاربر باید بداند که به چه دلایلی و با چه کسی سروکار دارند. در دنیای فیزیکی، کاربر قادر خواهد بود یک موقعیت را قضاوت کند و تصمیم بگیرد که در مورد خود چه چیزی را فاش کنند. هر طرف افشاگر باید بیانیه خطمشی مربوط به استفاده از اطلاعات را بهطرف افشاکننده ارائه دهد. این خطمشی باید بر آنچه برای اطلاعات افشاشده اتفاق میافتد نظارت کند.
4. هویت کارگردانی شده
در مقایسه با جهان فیزیکی، میتوان گفت هویت علاوه بر اندازه، دارای جهت نیز است و یک سیستم هویت جهانی باید هم از شناسههای «همه جهته» برای استفاده توسط نهادهای عمومی و هم از شناسههای «یک جهته» برای استفاده توسط نهادهای خصوصی پشتیبانی کند. همچنین از انتشار غیرضروری اطلاعات جلوگیری کند.
هویتهای عمومی را میتوان بهعنوان فانوسهایی در نظر گرفت که هویت را برای هرکسی که ظاهر میشود منتشر میکند. یک وبسایت با یک URL شناخته شده و گواهی کلید عمومی نمونه خوبی از چنین هویت عمومی است و هر بازدیدکنندهای از سایت گواهی کلید عمومی را بررسی میکند. گواهیهای کلید عمومی زمانی که برای شناسایی افراد در زمینههایی که حریم خصوصی مهم است، استفاده میشوند.
5. کثرتگرایی اپراتورها و فناوریها
یک سیستم هویت جهانی باید ارتباط بین فناوریهای هویت چندگانه را که توسط چندین ارائهدهنده هویت اجرا میشوند، فعال کند. یکی از دلایلی که باعث میشود یک سیستم یکپارچه کارایی نداشته باشد، این است که ویژگیهایی که هر سیستمی را در یک زمینه ایدهآل میکند، آن را در شرایط دیگر رد صلاحیت میکند. استفاده از هویت دیجیتال صادرشده توسط دولت در تعامل با خدمات دولتی منطقی است اما در بسیاری از فرهنگها، کارفرمایان و کارمندان احساس راحتی نمیکنند که از شناسههای دولتی برای ورود به محل کار استفاده کنند.
زیرا یک شناسه دولتی ممکن است برای مثال برای انتقال اطلاعات مالیاتی استفاده شود. یک سیستم هویتی جهانی باید تمایز را بپذیرد و بتواند تشخیص دهد که هر یک از افراد به طور همزمان و در زمینههای مختلف یک شهروند، یک کارمند، یک مشتری و یک شخصیت مجازی است. همچنین راهی برای ارائه اطلاعات از طریق یک تجربه کاربری یکپارچه نیاز است که به افراد و سازمانها اجازه میدهد تا ارائهدهندگان هویت و ویژگیهای مناسب را در حین انجام فعالیتهای روزانه خود انتخاب کنند.
6. ادغام انسانی
فراسیستم هویت جهانی باید کاربر انسانی را به عنوان جزئی از سیستم توزیعشده تعریف کند که از طریق مکانیسمهای ارتباطی بدون ابهام انسان و ماشین (که محافظت در برابر حملات هویت را ارائه میدهد)، یکپارچهشده است. لذا طراحان برای ایمنسازی کانال بین سرورهای وب و مرورگرها اقدام به انواع روشهای رمزنگاری نمودهاند. سیستم هویت باید بر اساس کاربر انسانی گسترش یابد و آن را یکپارچه کند. ازآنجاییکه سیستمهای هویتی باید روی همه پلتفرمها کار کند، لذا باید ایمن باشند و بایستی به سطوح بسیار بالایی از قابلیت اطمینان در ارتباط بین سیستم و کاربران انسانی آن دست یافت.
7. تجربه ثابت در سراسر زمینهها
متاسیستم هویت متحدکننده باید تجربه ساده و ثابتی را برای کاربران خود تضمین کند و درعینحال امکان جداسازی زمینهها از طریق اپراتورها و فناوریهای متعدد را فراهم کند. کاربران در فضای مجازی با هویتهای مختلفی روبرو هستند:
- مرور: هویتی برای کاوش در وب (بدون داده واقعی)
- شخصی: کاربر هویتی میخواهد که با استفاده از آنها رابطه مستمر و خصوصی داشته باشند.
- جامعه: هویت عمومی برای همکاری با دیگران
- حرفهای: یک هویت عمومی برای همکاری که توسط کارفرما صادرشده است
- کارت اعتباری: هویتی که توسط موسسه مالی صادرشده است
- شهروند: هویتی که توسط دولت صادرشده است
کاربران ممکن است، ترکیبهای متفاوتی از این هویتهای دیجیتالی داشته باشند. برای امکانپذیر ساختن این امر، باید هویتهای دیجیتالی تکامل پیدا کنند و آنها را به “چیزهایی” تبدیل کنند که کاربر بتواند روی دسکتاپ ببیند، اضافه و حذف کند، انتخاب کرده و به اشتراک بگذارد. همانطور که اگر (در استفاده از رایانه شخصی) آیکونها اختراع نمیشد که به طور مداوم پوشهها و اسناد را نشان دهند، رایانههای امروزی قابل استفاده نبودند.
طراحان هویتهای دیجیتال نیز باید همین کار را انجام دهند. لذا هویت طرفهای متکی (که کاربر میخواهد از آنها سرویس دریافت کند)، باید مشخص شوند. سپس هویتهای دیجیتالی تطبیقدهنده را به کاربر نشان میدهند و کاربر میتواند بین آنها را انتخاب کند و از آنها برای دریافت اطلاعات درخواستی استفاده کند. این موضوع به کاربر اجازه میدهد تا آنچه را که منتشر میشود، کنترل نماید. طرفهای متکی به انواع مختلفی از هویتهای دیجیتال نیاز دارند و اغلب مایل هستند بیش از یک نوع هویت را بپذیرند.
همچنین کاربر میخواهد گزینههای خود را بفهمد و بهترین هویت را برای زمینه کاری خود انتخاب کند. با کنار هم گذاشتن تمام قوانین میتوان دریافت که درخواست، انتخاب و ارائه اطلاعات هویتی باید بهگونهای انجام شود که کانال ارتباطی بین طرفین امن باشد. تجربه کاربری همچنین باید از ابهام در رضایت کاربر جلوگیری کند و برای این کار، سازگاری در میان زمینهها لازم است. کاربران، باید هویتهای مختلف خود را به عنوان بخشی از یک دنیای یکپارچه ببینید. سازمانهایی که روی سیستمهای هویتی (یا با آنها) کار میکنند، باید از قوانین هویت پیروی کنند و با حمایت از آنها میتوانند یک فراسیستم هویتی یکپارچه بسازند که مورد پذیرش جهانی باشد.
نویسندگان: محمدصالح میثمی، تورج اکبری
مراجع
[1] Kim Cameron, “the laws of identity,” Microsoft Corporation, جلد 1, شماره digital identity, pp. 1-12, 2005.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.