I pericoli di una singola identità

Sono stanco di destreggiarsi tra più ID utente e password su tutti i siti Web, computer e app che utilizzo ogni giorno. Sono sicuro che lo sei anche tu. Ho cinque ID e password separati per il lavoro, altrettanti per i servizi a casa (da iTunes al mio ID della società di allarme) e circa una dozzina per i servizi bancari, e-commerce e aziendali che utilizzo tramite Internet, da Amazon. com alla console di gestione del mio dominio Web e alle credenziali FTP. Certo, la maggior parte delle persone non ha gli ultimi due, ma ci sono troppe versioni per provare che sono io perché me le ricordi.

Poiché il problema è comune, l'industria periodicamente passa al pensiero "un ID per tutti". Alcuni anni fa, RSA sperava di fornire il Single Sign-On autenticato che tutti i provider avrebbero utilizzato, una sorta di registro DNS per l'identità. Lo sforzo di RSA è fallito perché nessuno voleva pagare a RSA un'imposta sull'ID su ogni accesso o ID utilizzato. E avere un solo repository sembrava piuttosto spaventoso: sarebbe stato un ottimo obiettivo per gli hacker. (Questi timori sono stati successivamente giustificati dall'incapacità di RSA di impedire che il proprio sistema SecurID venisse violato.)

[Galen Gruman sostiene che gli utenti dovrebbero essere in grado di addebitare ai fornitori l'accesso alle proprie informazioni personali. | Iscriviti alla newsletter di Consumerization of IT oggi. ]

Oggi, la bacchetta magica utilizza OpenID o Facebook come accesso comune a tutti i siti web. OpenID è in circolazione da anni ma non ha davvero guadagnato terreno. E l'idea di fidarsi di Facebook come archivio centrale sarebbe ridicola se non così spaventosa: Facebook viola regolarmente la privacy dei suoi utenti e non dovrebbe essere considerata attendibile con nulla di importante.

Ma supponiamo che ci fosse un'entità fidata che potresti usare come gestore e convalidatore di identità, una sorta di numero di previdenza sociale che i siti web potrebbero convalidare. Non dovremmo adottarlo tutti?

Assolutamente no.

Tali sistemi sono intrinsecamente pericolosi. Ad esempio, i numeri di previdenza sociale falsi e rubati abbondano. Ogni singolo ID subirebbe lo stesso abuso e una volta che la tua singola identità è compromessa, sei fregato. Non puoi più provare chi sei. Se ritieni che il recupero da un furto di identità sia difficile, attendi fino a quando la tua singola identità non viene compromessa.

Inoltre, l'identità è molto più di un nome utente e una password, una scansione biometrica e una password o qualsiasi sistema tu voglia utilizzare. Inoltre, sebbene tutti possiamo essere individui, potremmo avere più personaggi. Il "me" in cui leggi è una persona per il mio ruolo di commentatore tecnologico. Anche il "me" nei miei manuali è diverso. Il "me" che conoscono i miei amici e la mia famiglia è diverso. Il "io" della mia banca, Amazon e iTunes sono tutti diversi. Il "me" del mio assicuratore e del mio HMO è diverso. Sì, sono lo stesso io al centro, ma ogni personaggio ha uno scopo diverso nel contesto in cui opera, quindi lo ottimizzo per quell'uso.

Ad esempio, nel mio blog, sono più estremo di quanto non lo sia quando scrivo un libro di istruzioni o conduco un'intervista sul palco: gli obiettivi dei luoghi sono diversi, quindi anche i miei personaggi. Allo stesso modo, il mio profilo LinkedIn è diverso dal mio profilo Twitter, che sarebbe diverso dal mio profilo Google+ se l'algoritmo di Google non lo avesse sommariamente chiuso o il mio profilo Facebook (se fossi così sciocco da averne uno). Hanno scopi diversi, quindi sintonizzo chi sono in base a quegli scopi, proprio come facciamo tutti quando a un evento di lavoro, a una festa a casa, su un autobus, quando intervistiamo per un lavoro e così via.