Идентификация пользователя в сети оказывается в последнее время одной из самых частых тем среди новостей из мира информационных технологий. Начиная от проблем безопасности и воровства паролей, а потому и выдвижения планов насчёт биометрии разных частей тела вплоть до использования имплантантов, – и заканчивая перспективами виртуального гражданства и введения электронных паспортов. А потому тема идентичность человека в сети заслуживает того, чтобы рассмотреть её немного подробнее и чуть более серьёзно.
На заре существования интернета, когда сетевое пространство отождествлялось с виртуальной реальностью, искусственной и максимально далёкой от реальности настоящей и повседневной, казалось естественным, что попадая в такую искусственную реальность человек становится кем-то другим, часто радикально отличным от той личности, которую он представляет собой в обыденной жизни. Аватары и никнеймы отражали желание человека создать новую виртуальную личность, начать свою сетевую жизнь «с чистого листа», с заменой реального «я» неким суррогатным виртуально-искусственным Эго. Представлялось, что даже в простом общении с другими при помощи компьютера любой человек может выбрать себе совершенно иную личность, иной образец поведения: «В сети он является тем, кем он хочет быть», – писала в 1992 году американская исследовательница такой проблематики Эми Брукман из Университета штата Джорджия. Имелись в виду, кроме прочего, богатые возможности в отношении того, чтобы виртуально изменить (или попросту скрыть) свой возраст, пол, место жительства и т.д., вплоть до формирования некоего идеального «я» по собственному желанию.
Однако картина эта стала меняться уже к началу нынешнего века – в том числе и благодаря распространению доступа к WorldWideWeb по всему миру, а также и вследствие растущей её коммерциализации и зарождения феномена социальных сетей. Оказалось, что в подавляющем большинстве своём пользователи предпочитают не создавать идеализированную виртуальную идентичность, но выражать свою настоящую повседневную личность, в том числе и при помощи общения в социальных сетях. Как показывают исследования немецких психологов, профиль на Facebook на самом деле достаточно точно отражает реальные человеческие черты его владельца. Получается, что сетевая идентичность оказывается не более чем дополнением или формой фиксации идентичности реальной, практически сливаясь с этой последней, – как говорит российский социолог И. В. Костерина, «люди не хотят пользоваться тем преимуществом, которое воспевали раньше обитатели Сети – анонимностью и возможностью примерить на себя другую социальную маску… Попытки поиграть в другой пол и возраст теперь характерны разве что для сайтов знакомств, где пишущие манипулируют личными данными, чтобы повыгоднее «продать себя»… Игра с идентичностью в блогах часто приводит к раскрытию и публичному порицанию обманщика».
«Цифровая идентичность» оказывается не таким уже и таинственным делом, каким она когда-то казалась
Не будем касаться сервисов знакомств, где скрыть свою истинную личность, выдавая себя за другого, может быть как раз главной задачей пользователя, – но большинство других сайтов, включая блоги и форумы, предполагают идентификацию личности как можно более реальной и достоверной. Несмотря на то, что среди специалистов по компьютерной безопасности система «логин – пароль» давно уже считается безнадёжно устаревшей, она по-прежнему продолжает массово использоваться в качестве системы идентификации по умолчанию. Не говоря уже о проблемах с кражами, по имеющимся данным, примерно от 20% до 50% всех обращений в разнообразные службы поддержки составляют просьбы смены забытых паролей. Для многих компаний это довольно весомые затраты (до 70 долл. на один случай), но установка, в целях экономии, автоматических систем смены паролей очевидно приводит к возрастанию рисков – забыть свой пароль, с одной стороны, или выбрать настольно простой способ идентификации, что он может стать и лёгкой добычей мошенников. Как сообщает один из руководителей отдела разработки PayPal Джонатан Леблан, 4,7% пользователей выбирают в качестве пароля слово «password»; 9,8% – «password», 123456 и 12345678; у 40% пароль входит в число ста наиболее распространённых, а если говорить о первой тысяче простейших паролей, то к их обладателям относится уже 91% завсегдатаев Всемирной сети.
Пароль можно и забыть
Для достижения максимального удобства и во избежание необходимости запоминать множество паролей ещё в конце 1990-х годов была предложена система стандартизации сетевой идентичности – с использованием одного-единственного сочетания пароля и имени пользователя для употребления на многих веб-сайтах сразу. Пионером такого подхода была Microsoft с её идеей Microsoft Passport, который стал именоваться первым шагом на пути к настоящей виртуальной идентичности – Identity 1.0. Потребители могли завести себе удобное унифицированное удостоверение личности от известной корпорации, а коммерческие компании – без особых затрат заполучить множество зарегистрированных пользователей. Однако, и у первых, и у вторых затея редмондской корпорации, в итоге популярности не снискала – у Microsoft Passport были проблемы с удобством и сохранением настроек пользователя, да и постоянные переименования этого сервиса — в .NET (2001 г.), потом в Windows Live ID (2006 г.) и наконец в Microsoft account (2012 г.) – не придавали уверенности в его надёжности и последовательности. Кроме того, за гипотетическое удобство приходилось платить опасностью потери, вместе с единственным паролем, сразу доступа ко всем используемым ресурсам.
Впрочем, Microsoft сдаваться не собирается – в Windows 10, финальная версия которой ожидается летом 2015 года, вход в систему будет не только привязан к Microsoft account, но и опционально оснащаться системой биометрической идентификации Windows Hello. Для распознавания пользователя будут использоваться различные биометрические сенсоры – от веб-камер для радужной оболочки глаза до специального сканера для отпечатков пальцев, при этом в первом случаеупор будет делаться на инфракрасный спектр или распознавание в различных условиях освещения. Вернётся и система «Паспорт»: активировав её на компьютере или смартфоне с Windows Hello, можно будет, как сообщается, входить без идентификации на всё большее количество веб-сайтов.
Windows Hello пытается распознавать лицо при различной интенсивности освещения, чтобы отличить реального человека от фотографии
Впрочем, в те годы, пока Microsoft занималась совершенствованием своего сервиса идентификации, появилась и получила популярность совсем иная система – Identity 2.0, основанная на использовании профилей социальных сетей в качестве удостоверений личности на многих других сайтах. Популярность первых удачно совместилась тут с развитием сетевой идентичности на фоне проблем с логинами и паролями версии 1.0 – например, в одном только 2013 году логин от Facebook был использован для входа на веб-сайты и в мобильные приложения более 10 миллиардов раз. «Идентичность №2» очевидно намекает на соответствие концепции Web 2.0: основной её идеей был переход от «доменоцетричной» системы идентификации к, что называется, «юзеро-центричной» – с максимальным удобством для пользователя. Правда, отличие это не такое уже и радикальное: как замечает Тим Бернерс-Ли, «Веб 2.0» от «Веб 1.0» ничем принципиально не отличается, если не считать использования новомодного жаргона, – World Wide Web изначально задумывался именно для объединения людей, и любое техническое усовершенствование тут означает не более чем последовательную эволюцию.
С другой стороны, как нетрудно заметить, удобство в одном отношении всегда оборачивается угрозой безопасности или приватности в другом: вместе с идентичностью пользователя в той или иной социальной сети веб-сайт или стоящая за ним корпорация получают и неплохую, из первых рук составленную картину интересов и связей этого пользователя, – и то, каким образом они этой базой данных могут распорядиться, далеко не всегда соответствовать идее «юзеро-центричного» подхода к сетевой идентичности. Разумеется, всё зависит от сознательности самого пользователя, на которого ложится львиная доля ответственности зя степень открытости его личной информации для злоумышленников, включая государственные спецслужбы, – «защита от дурака» плохо сочетается со стремлением к максимальному удобству сетевой идентификации.
Многие сайты предлагают сегодня огромный ассортимент способов идентификации
А потому наиболее интересной оказывается идея нового поколения этой последней – именуемого уже «Identity 3.0» и предложенного ещё в прошлом десятилетии с целью достичь как раз сочетания функциональности и удобства для пользователя с минимизацией риска киберпреступности. Основные принципы Identity 3.0 были сформулированы в 2014 году по трём группам факторов: риск, приватность и функциональность. В принципах первой группы обосновывается, что идентификация должна работать как онлайн, так и автономно, выдаваться авторитетным источником по каждому из атрибутов такой идентичности и использоваться с полным признанием всех возможных рисков. Приватность подчёркивает отсутствие централизованной системы выдачи идентификации и минимизацию публичности путём использования только необходимых сведений в каждом отдельном случае смотря по контексту, а также налагает запрет на распространение биометрической информации. Наконец, в плане функциональности отмечается, кроме прочего, что процесс сетевой идентификации должен быть по возможности как можно более незаметным для конечного пользователя, протекая в фоновом режиме и предусматривая взаимозаменяемость цифровой репрезентации людей, устройств и организаций.
Однако пока что это всё относится скорее к области теории и громких слов. На практике же наиболее очевидным на сегодняшний день оказывается слияние сетевой идентичности с финансово-банковской: если предыдущая эпоха ознаменовалось торжеством социальных профилей, то для нынешней основным моментом идентификации оказывается уже номер кредитной карточки. Apple Pay – пока что один из немногих пионеров в такой области, но и PayPal, и Facebook не зря развивают собственную активность в этом направлении. Недавно появилась новость и о создании украинской системы онлайн-верификации по банковским данным BankID. Разумеется, в идеале банки предпочли бы идентификацию посредством электронного паспорта с чипом в качестве электронной подписи, малодоступной для подделки, – но неудобства, связанные с необходимостью приобретения отдельных считывающих устройств, что для карточек, что для отпечатков пальцев, сводят на нет все планы по широкому распространению такого рода процедур, так что на сегодняшний день основная задача при внедрении Identity 3.0 – найти «золотую середину» между удобством для пользователя и безопасностью.
Примерная структура глобальной сетевой идентичности – по идее Global Identity Foundation (Источник)
Что же касается более или менее ближайшего будущего, то, по словам Патрика Сальера, руководителя службы идентичности Gigya.com, следующим шагом будет воплощение сетевой идентичности пользователя в области «Интернета вещей» – благодаря чему всё более растущее число бытовых устройств, умеющих работать онлайн, от автомобилей до зубных щёток, будут заниматься своим делом не сами по себе, а в единстве друг с другом: «Идентичность оказывается соединяющей нитью, унифицированным языком, который поможет устройствам учиться и развиваться вместе, основываясь на пользовательских предпочтениях, чтобы создать по-настоящему индивидуализированный опыт для современных потребителей. Пока организации не приступят к созданию централизованной потребительской идентичности, «Интернет вещей» останется делом выставок и кинофильмов Голливуда»