密碼一團亂

安全模型要求我們必須記住多重密碼，而且登錄帳號必須更改。

　　我已經忘記之前的密碼了，但最近的狀況是我連帳號都忘了。我有一組登錄在記事本的密碼，不過我不知道那是給哪個帳號或系統使用的。幸好，我謹慎地記錄另外175組的登錄帳號與密碼。

　　我可能比大部分的人擁有更多的登錄帳號，但也不是那麼與眾不同。現在的網站以帳號註冊數量作為競爭。網路業者在不強迫你開立一個新帳戶的狀況下就允許交易，是極為少見的。「在雲端」的應用程式，像是電子郵件、Google Docs線上辦公室應用軟體，或是社群網站等，無不要求一個唯一的帳號。我已經申請了Yahoo、eBay、Amazon電子商務網站、P a y P a l線上交易公司、Flickr線上儲存服務與社群服務、Facebook與LinkedIn社群網站、4個E-mail帳號、我個人網站的多個系統管理者帳號，以及超過15個與我工作相關的帳號等。

　　那不僅僅是密碼的問題；要維持密碼的唯一性即意味著，和工作相關的帳號需要有8個不同的名稱，而非工作相關的帳號則至少需要一打以上的名稱。真是瘋狂！哪一種愚蠢的安全模型，會希望有人能記住175組不同的密碼與登入帳號呢？

　　然而，大部分的人不會去為每一個帳號設想一個唯一獨特的密碼。無可否認，你的密碼有多隨機複雜也沒有用，萬一它被在你的工作站或是伺服器上的惡意程式吞噬的話。有好多年，我對於自己把加密的密碼清單儲存在Palm PDA這件事，感到相當滿意，但是每當我更新無線裝置時，就必須去找某個軟體，然後再將清單全部鍵入一次。我寧願讓我的瀏覽器去記住那些密碼便了得，不過，假如我要從不同的電腦登入的話，那我手邊就更不可能有正確的密碼了。同時，也會讓入侵者更容易找到那些密碼。

　　相對於提供一大堆無止盡、又無法拋諸腦後的登錄帳號來講，最近有一個使用電子郵件地址作為登入帳號的新方式，的確是對狀況有點幫助。當你忘記密碼，或者就是行不通時，通常你只要點個小按鈕，就會有個新的登入密碼寄給你。但是，就像網路地址轉換(NAT, Network Address Translation)暫時減緩了IPv4位址日益匱乏的壓力；利用電子郵件地址作為帳戶名稱的方式，也無法抵抗共享身分識別計畫，即允許在不同網站中皆使用同一身分與驗證機制，所必經的過渡期。

　　我算是微軟Passport單一登入系統很早期的使用者，現在幾乎已經沒人在使用了。沒有了微軟的包袱，或許OpenID身分認證系統能成為範例轉移的標準，除非像是Yahoo與WordPress那些大型網站，開始願意接受來自其他網域的登錄帳號，一如它們自詡為身分識別的供應者。我尤其是無法信任，國家政府成為強大身分的唯一來源，但是科幻小說作者CharlesStross認為，格林威治標準時間與身分保護，是政府唯一適當且必要性的服務（至少在他Faster-than-Light與Multi-Planet Universe的創作中曾經提及）。

　　我的分析師朋友在這個議題上花了許多時間，他們說，我們應該期待多樣化類型的網路身分識別供應者，諸如商業、政府部門，以及非營利性質等類型。他們明白會有很多預期外枝枝節節的問題，不過他們也漸漸地贊成共享身分識別供應者的概念。我想一開始會有很多的謬誤，以及一些不幸的駭客事件發生，但是如果能對目前發展有助益的話，我是那隻願意被試驗的白老鼠。我已經準備好追隨馬克．吐溫筆下的人物笨瓜威爾森 (Pudd''nhead Wilson)那樣，把所有的雞蛋都放到同一籃子裡，然後緊盯著那籃子。

Jay G. Heiser 是Gartner研究機構駐倫敦的研究副總裁。