林健的BLOG

　　我了解宁波银行，是在张韡武先生的 openbanks.info 网站，上面介绍说该行的网银对非 Windows/IE 平台有良好的支持。出于这一点，在宁波银行北京分行中关村支行开业后，我即前去办理了一张借记卡。使用了一段时间，发现对于我等财力有限且有跨平台网银需求的客户而言，宁波银行确实是一个不错的选择。下面简要介绍一下，只供交流，无软文之念。
　　先看看其优势：
　　1、日常费用暂免：借记卡无开户费，收费项目表中规定的年费（10 元/年）、小额账户管理费（3-5 元/季）以及余额变动短信提醒服务费（3 元/月）目前在北京分行都是免收的。特别是短信提醒服务，宁波银行是零起点，对于喜欢网络交易和无卡交易的客户来说，在心理上增加了一定的安全感。
　　2、跨行、异地 ATM 取款手续费暂免：虽然宁波银行收费项目表中规定的跨行、异地 ATM 取款手续费相比各大城市商业银行算是偏高的，但对于北京分行的客户来说，目前也是免收的。这个比华夏等银行每天第一笔跨行、异地 ATM 取款免费要实用得多，因为很多 ATM 机一次取款的额度较低，大额取款不得不分成多次完成。
　　3、电子渠道转账手续费部分暂免：网上银行的普通同城跨行转账手续费暂免，异地跨行转账手续费实行较低比例的阶梯费率，这一点虽比不上华夏、中信等超级网银完全暂免手续费的银行，但也挺不错了。手机银行（WAP 与 iOS 版）跨行、异地转账手续费暂免，这个费用在招行、京行等不少银行也是暂免的，看来各家都在大力推广手机银行平台。
　　除此，还有其他一些暂免的费用，由于我暂时用不到，故不介绍。
　　4、存款利率为基准利率 1.1 倍：参考这里，这一条几乎是中小商业银行的标配了——虽然对于我等没有多少本金的客户而言，利率高一点低一点没有实质影响。
　　5、最后，也是最重要的，网上银行跨平台：对于 Linux 用户来说，这是最大的福音。网上支付和转账时，不必为了操作网银而去启动 Windows 虚拟机。前提是使用短信动态密码认证，而非 USBKey。短信动态密码的支付和转账每日限额是 50000 元，对于日常使用来说足够了。不过在我的 64 位 Debian 上测试发现宁波银行网银对 Firefox（Iceweasel）支持良好，而在 Chrome 下会有假死现象。目前国内做得到网上银行真正跨平台（即使用标准化技术，而非为不同平台开发不同“控件”）的还有浦发银行，但浦发借记卡的各项费用早已不再免费。另外，部分在华营业的外资银行的网银也是跨平台的，例如渣打和华侨，但是很多外资银行还没有加入超级网银体系，也没有与主流的电子商务网站签约，使之在本来就缺少实体网点的情况下，网上操作的空间也不大，实用性不强。
　　再来看看缺点：
　　1、实体网点少：目前宁波银行只在 9 个城市有分支机构，除北京、深圳外，均集中在长三角。北京只有分行营业部（建国门）和中关村支行 2 个网点。对于我等以网上银行操作为主，通过超级网银来搬钱的客户而言，这一点毫无影响。但对于不习惯网上操作，却又想享受其跨行、异地 ATM 取款手续费暂免的客户而言，恐怕就要多跑几步路了。
　　2、暂免政策只对部分地区分行发行的借记卡适用：宁波银行正在逐步由地方向全国扩张，在北京等新兴市场，暂免力度范围广、力度大，而在宁波本地以及上海等成熟市场，不少服务已经开始收费了。这也是很多地方银行发展的必由之路，浦发、兴业和京行也都是在发展壮大的过程中，由本地及外地，一步步收缩和取消暂免政策的。
　　最后我想说，作为自由软件用户，我十分支持诸如徐继哲等人呼吁网银技术标准化的努力，但在中国当前这种以技术约束弥补信用约束的大环境下，我也不得不理解银行的使用专有技术的合理性。建议地方银行在向全国扩展的过程中，不要局限于 1.1 倍利率、手续费暂免等的同质化竞争。不妨学学宁波银行，考虑网银跨平台带来的优势，从 Linux 用户这里另辟蹊径。小众用户带来不了太多的直接收益，但在技术层面标准、开放的姿态必然会赢得客户的尊重。

　　晚上整理旧文件时，我偶然发现了 2001 年申请的一个网络服务：来自 Everyone.net 的免费邮局（起初没有自己的顶级域名，我注册的邮局名为“8.mail.everyone.net”，邮箱后缀是“@8.every1.net”）。那时只是出于好奇，申请之后在同学间做过宣传，只有两三个人上去注册了自己的邮箱。最后连我自己也没怎么使用就慢慢淡忘了。八年过后，Everyone.net 竟然还保留着我的账户，登录、收发邮件一切正常。这种感觉可以用一个新学到的词汇来形容——Kaopulity。
　　这让我联想到了更早申请的另一项免费服务：来自 Webalias.com 的二级域名。这个网站真可谓是十年如一日，1998 年建立，1999 年小幅改版之后到现在界面和功能一直没有变化（Internet Archive 为证）。我在 1999 年申请的几个二级域名（to.up.to、to.stop.to、to.sail.to）至今还可以访问。试问国内有哪个类似的网络服务做到了这一点？
　　上了十年网，又有几个网站能给我留下 Kaopulity 的印象呢？数数看，自己手头有近十年历史的老账号—— Hotmail、Yahoo!、ICQ、搜狐、网易、新浪，还有已经弃用的 QQ（OICQ），其中 Hotmail 和 Yahoo! 没有出过什么大问题，始终是我较为信任的服务。2000 年前后的互联网泡沫时期，我并没有使用太多的国外服务，因此并不了解当时外国的互联网界被折腾到了什么地步。体会较深的便是 163.net、263.net 等邮箱以及网易、3322.net 等个人主页纷纷倒向收费阵营，QQ 以注册号码、申请会员为切入点发明出各种敛财花样，新浪邮箱缩水、大量个人主页服务商停止申请新账号这类事件。其后几年倒下的网站和服务我还能列举出不少——fm365.com、chinese.com、PCICQ、TomQ……免费服务如此，收费服务同样遭殃，我的第一个顶级域名“ljnu.com”（Lin Jian Networt Union）便是随着注册商“中文热站”（hothost.com）的倒台而消失的（据说这家公司是新网的前身？）
　　大学之初，我也是 Gmail 的早期测试用户，然而 2006 年遇到了一波严重的垃圾邮件攻击让我对这个号称能最有效地拦截垃圾邮件的邮箱产生了严重的怀疑。直到后来发现 Google 的服务不断改进和完善，我才在同学的劝说下第二次注册了 Gmail 账号，稳定使用至今。Google 是这个时代的胜利者之一，但在 web 2.0 时代，网站和服务 Unkaopulity 的因素也逐渐变得复杂了。市场竞争中的优胜劣汰始终是最好的理由，“测试版”的标签也是向用户和监管部门双方规避责任的良好借口。无论选择国内还是国外的服务，web 2.0 所谓用户创造内容的特性往往成为其在辉煌时期突然消失的祸根，这种例子不必多说。
　　糊里糊涂地，我们又让云计算走进了日常应用。一夜之间各类网络服务都被披上了“云”的外衣。我们何以建立云的 Kaopulity 模型？这将是一个综合了技术、政策与用户心理的难题。当然，我们经历的 Unkaopulity 多了去了，自己那点文件也值不得下大工夫维护其安全保密，重要的数据和应用本来就应该在可信域内部署和备份，想让云计算达到可用性与可靠性完美兼备是勉为其难。但是我觉得，超越了 Reliability 和 Security 范畴的、广义上的 Kaopulity，即像 Everyone.net、Webalias.com 那样十年如一日的精神，才是当前的互联网服务商需要倍加重视的——因为云时代的服务商承载的不仅仅是应用程序，而是他人的事业，自己的信用。

　　前面三篇文章分别介绍了三类已经投入实际使用的、独立的 Identity 2.0 机制。与此同时很多在互联网时代既得利益的公司也都试图借助自己庞大的用户资源在身份认证领域分一杯羹。微软的 Windows Live ID（早期称为 .NET Passport、Microsoft Passport Network）算是动手比较早的，Google Account Authentication、Yahoo! BBAuth、Facebook Connect 等是各家公司推出的类似的身份认证服务。但这些服务本质上不符合 Identity 2.0“以用户为中心”的精神，它们仍使用原有的集中式用户系统，由这几家大公司自己维护用户数据，仅允许其它网站借助其 API 验证用户身份，读取用户的非敏感信息。这类技术的用户价值在于单点登录和相对安全（类似于 OpenID），单点失效问题通过内部对用户透明的分布或容错机制实现（目前阶段，这几家大型网站的可靠性相比小型的 OpenID provider 更有技术保障，至少用户的心理体验是这样）。对小型网站的经营者来说，让拥有 Google、Yahoo、Facebook 账号的用户直接登录自己的网站，同时能从知名网站获得用户的部分注册信息，确实有一定的吸引力。目前已经有像 clickpass 这样集成各家身份认证的第三方服务。而对于想为第三方网站提供身份认证服务的普通网站来说，开放的 OAuth 协议可以直接在既有系统中集成，twitter、豆瓣等是其成功案例。但 OAuth 更多地用于与提供身份认证的网站息息相关的第三方应用开发，还不能算是一种通用的身份认证机制。

　　此外还有一系列或是没有走出实验室、或是没有着力推广的 Identity 2.0 技术。关于它们的讨论可以通过以下一些网站获取：
　　● Identity 2.0 Blog
　　● Identity Commons Wiki
　　● Internet Identity Workshop
　　我们回过头来看，Identity 2.0 概念的提出大约有五年了，而事实上像 Microsoft Passport Network 之类的原型产品的推出是更早之前的事。但即使是现在发展情况最好的 OpenID，支持它的独立公众网站也维持在三位数之内。而看看上述几个网站，文章和项目的活跃程度也在逐渐下降，不少链接失效。Identity 2.0 为什么没有像 Web 2.0 那样大放异彩？这个问题值得业内人士思考。我列出以下几点：
　　“鸡与蛋”的问题——要想让基础设施（互联网标准、客户端软件）支持 Identity 2.0 的特性，就需要用足够的杀手级应用来说明其重要性；而要建立有影响力的杀手级应用，又需要基础设施的原生支持。要让用户接受并广泛使用 Identity 2.0 的个人身份，就需要有大量的既有应用启用 Identity 2.0 机制；而要让现存的网站加入对 Identity 2.0 的支持，又需要广大持有 Identity 2.0 身份的用户来诱发。
　　使用的体验的改变——普通用户可能不会理解 OpenID 这种 provider 中介模式的安全优势，因为在用户看来还是要输入一次用户名密码的，而且是把密码交给了第三方。对于 Information Card，用户可能难以习惯长期保存并随身携带 Card 文件的使用模式，在经历了一两次 Card 丢失或一时无法取得的情况，就会打击用户的使用兴趣。而如果在线保存 Information Card，又存在和密码托管网站一样的信任危机。至于基于 XRI 的 i-name，普通用户可能也不愿意为其缴纳年费。
　　安全性问题——这是任何一种身份认证机制都必须首先保证的。各类 Identity 2.0 技术都宣称自己的协议比传统方式安全，这不假，但它们的前提假设是：provider 等第三方机构确实可信；用户按照一定的规程来使用（比如不随意复制未加密码的 Information Card）。如果 provider 作恶或者用户不遵守使用规程，同样会造成信息泄露。provider 作恶在其它分布式系统中是存在的（比如 DNS 欺骗、虚假 Tor 节点等），难免在 Identity 2.0 中重演；而引入新的用户体验之后，要求用户掌握其操作原则是有时间成本和运营风险的。
　　用户价值的体现——我认为这是核心因素。Identity 2.0 究竟能不能给用户带来全新的使用价值？是否满足普通用户和网站经营者双方的利益需求？身份认证方面的创新能否给互联网带来足够大的积极影响？这些问题不是纯粹的技术问题，有待市场来检验。但 Web 2.0 时代用户是重要的资源，如果将用户系统拱手交出，全线采纳 Identity 2.0，或许是一些既得利益者不愿意看到的。即使对于普通用户，像单点登录、一卡走天下这样的特性真的是大众的需求吗？也许更细的授权粒度、站点独立的密码设置才能让一部分人放下心来。
　　我们不能过早地断言 Identity 2.0 会走向失败。也可能是早期定义的 Identity 2.0 过于激进，我们来看看 OpenID 现在的发展：在多数网站中没有完全取代传统的身份认证机制，而是作为它们的补充；通过底层的服务发现协议来和 LID、i-name 等兼容（最近 Windows Live ID 也要和 OpenID 兼容了），力图建立统一且开放的 Identity 2.0 平台。这种渐近式的、开放包容的路线，应该是 Identity 2.0 的生路所在。

　　OpenID 可以在网上免费申请，Information Card 可以在本地自行创建，但如果说有一种 Identity 2.0 的用户身份需要付费注册，你还会使用吗？这就是 i-name。
　　严格地说，i-name 不是一种身份认证技术，而是一种通用的网络资源命名机制。i-name 的缘由要从 OASIS (Organization for the Advancement of Structured Information Standards) 相关工作组制定的 XRI (Extensible Resource Identifier) 说起。XRI 旨在建立一种兼容并扩展 URI 的资源抽象标识符体系，提供统一的，与管理域、位置、应用和传输无关性的标识符。它使用若干符号来标识语义：
　　● “=”：个人，例如“=Mary”代表 Mary；
　　● “@”：组织，例如“@ABC.Company”代表 ABC Company；
　　● “+”：概念或主题，例如“=Mary/(+blog)”代表 Mary 的 blog；
　　● “*”：委托，即委托下一级 XRI 解析器操作，语义上类似于 DNS 中的子域，例如“@ABC.Company*HR”代表 ABC Company 的 HR 部门。
　　为了显式说明一个字符串是 XRI，常在前面加上协议标识“xri://”。
　　上面呈现的几个例子均是对人类友好的、可读的 XRI 形式，这种 XRI 名字称为“i-name”或“可重新赋值的（reassignable）XRI”。此外还有一种以“!”后接点分十六进制标识的、用于机器读取的“i-number”或“持久的（persistent）XRI”，形如“@!7F6F.F50.A4E4.1133”。i-name 和 i-number 相当于架设在 DNS 和 TCP/IP 之上的全局资源命名层，其中 i-number 唯一并永久地标识了特定的网络资源，而 i-name 提供了一种易于记忆的、相对稳定的资源名称。正如 URI 常常指向相应的 HTML 文档，XRI 指向的是机器可读的 XML 数据，这种数据的规范是 XDI (XRI Data Interchange)，它包括了资源的标识、描述、连接、同步等信息（参见 XRI 与 XDI 体系结构图）。与 DNS 系统的运作类似，XRI 体系也有分布式的名字服务器，也需要在客户端使用解析器来定位资源。同样有像域名注册商一样的机构（称为“i-broker”）负责 XRI 名字的注册和管理。注册时通常一并提供 i-name 及其对应的 i-number，用户可以自行改变 i-name 到 i-number 的映射，就像修改 DNS 的 A 记录一样。
　　XRI 还没有形成大气候，它甚至在 OASIS 内部的投票中失败，尚未成为 OASIS 标准，更不用说得到 W3C 的认可。名字服务器的稀少使它还未能充分体现分布式系统的可靠性和高效性；客户端软件与库普遍不支持“xri://”解析，这也限制了 XRI 的应用。不过 XRI 引入了代理（proxy）机制，可以通过 HTTP 访问 XRI。官方提供的“http://xri.net/”代理使得用户通过“http://xri.net/=Mary”就可以访问“xri://=Mary”（下文中的 XRI 均使用代理链接）。目前运营的 i-broker 有 1id、fullXRI 等，它们模拟域名注册商的经营模式，提供 XRI 名字（i-name 与 i-number）的注册和转移。“=”名字和“@”名字的年费分别是 $12 和 $55，作为一种全局资源，这种收费也看似有理有据。此外像 freeXRI 等网站也提供免费的、含“*”的委托名字注册，相当于 DNS 中的免费二级域名。我注册了“http://xri.net/=web*linjian”用于测试。
　　介绍完 XRI，我们再回到作为 Identity 2.0 技术的 i-name。XRI 引入“=”名字的目的就是要将用户作为一种资源，将其接入互联网。i-name 为用户提供多种与个人身份密切绑定的服务（称为“i-service”）。这些服务包括：
　　● OpenID 认证服务。i-name 虽然不是基于 URL 的用户名称，但底层同样使用了 Yadis 服务发现协议，因此和 OpenID、LID 具有互操作性。OpenID 协议 2.0 版本开始原生支持 i-name，理论上说拥有 i-name 即可登录所有使用 OpenID 2.0 或更新版本进行认证的网站。但这也取决于网站程序本身有没有限制非 URL 形式的 OpenID，例如 twitterfeed 虽然可以通过 i-name 的身份认证，却会在登录网站之后报错。从实现上看，i-name 也是通过密码来验证用户对其的合法拥有，因此 i-name 相对于传统用户认证方式的优缺点和 OpenID 是基本一致的。尽管 XRI 和 DNS 一样具备分布式特性，但可靠和高效的优势只在资源名称查找方面有所体现，而身份验证仍需要在注册该 i-name 的 i-broker 服务器上进行，存在单点失效隐患。
　　● 联系服务。相当于对个人私密联系方式（如 Email、Skype）的封装。通过在 i-name 后面追加“+contact”等标识，对访问者提供相应的 web 界面，使之能够与 i-name 的所有者通信，避免暴露 Email 地址等个人私密联系方式，同时有助于防范垃圾信息。例如可以通过“http://xri.net/=web*linjian/(+contact)”给我发邮件。
　　● 转发服务。同样是在 i-name 后面追加特定的“+”标识，以便跳转到该 i-name 所有者事先指定的页面，例如“http://xri.net/=web*linjian/(+www)”、“http://xri.net/=web*linjian/(+blog)”分别指向我的网站与 blog。
　　另外 i-name 还提供 SAML 认证服务、位置服务等。除了身份认证服务，其它服务在“http://xri.net/”代理的封装下失去了 XRI 的特异性，变得和访问一般网页无异。

　　作为与环境无关的、持久的网络资源命名机制，XRI 是一项有意义的探索。目前 XRI 仍处于实验演化和向标准迈进的阶段，产业界的支持与否很大程度上可以决定其生死。作为个人身份标识的 i-name 似乎是 XRI 面向市场宣传的唯一“杀手级应用”，有点喧宾夺主。但从原理上说，Yadis 协议已经使得此类技术趋同，i-name 宣称的终身性、持久性优势紧密依赖于 XRI 的存亡。相比之下域名系统已经稳定运行了数十年，技术和市场早已成熟，保守的用户也许会选择用更少的开销维护一个自己的域名来保证 OpenID 或 LID 的持久性。但我们也不能忽视 XRI 成功的可能性，说不准现阶段就是投资抢注 i-name 的大好时机。

　　在 Identity 2.0 技术族中，Information Card（信息卡）算是 2006 年左右炒作得比较多，然而目前发展却不尽如人意的一支。当时微软把 Windows CardSpace——即它的 Information Card 套件同 WCF、WPF、WF 并列，作为 .NET Framework 3.0 的四大新兴组件来宣传。然而仅从现在的技术图书市场就可以看到：W*F 相关书籍在 .Net 书架上大行其道，而有关 Windows CardSpace 的书籍则是凤毛麟角。细心的 Windows 用户常常会疑惑：新版系统的控制面板中为什么会有一个似乎是制作名片用的 Windows CardSpace 工具？一般用户很少知道微软当年“Codename InfoCard”的雄心。

　　事实上，Information Card 不是微软一家独推的身份认证技术，它还得到了 Intel、Google、Novell、Oracle、Paypal 等公司的支持，并由这些公司共同组建了非盈利的 Information Card Foundation (ICF) 来推进这一技术。和 OpenID 一样，Information Card 也开放标准，没有中心节点，允许任何人按照标准独立实现和构建 Identity Provider 以及基于 Information Card 认证的网络应用，甚至允许用户使用相应的软件在本地自行创建个人 Information Card。Information Card 的工作模型源于生活中的实体证件认证机制：Identity Provider 是按照一定的规则给用户颁发 Information Card，并可以管理和验证自己颁发的 Information Card 的机构，相当于颁发驾照的交管部门或发行信用卡的银行；Identity Selector 是帮助用户保存和管理自己的 Information Card 的本地软件或网络应用，相当于钱包或保险柜；很多 Identity Selector 也兼具创建个人 Information Card 的功能，相当于名片印刷设备。对其工作机制的一个简单比喻是：用户自行制作数字名片，或在发证机关办理数字卡片或证件；平时把自己的数字名片、卡片或证件放在虚拟的钱包或保险柜中；在需要向目标网站证明自己身份的时候，打开钱包或输入保险柜密码，出示相关名片、卡片或证件（事实上只是它们部分“页面”的“复印件”）；目标网站获取其中的非敏感信息，有时还需要向发证机关求证一下卡片或证件的真伪；通过验证之后目标网站即可为用户提供相应的服务。
　　上文所谓的“名片”即个人（Personal）Information Card，这是 Information Card 最常见的一种形式。个人 Information Card 包含用户的非敏感信息，及其创建时间、创建软件和唯一的 ID 等。在发送给目标站点进行身份认证时，只有用户的非敏感信息被传送，因此不存在前文所述的缺点1、2。由于目标网站没有拿到 Information Card 上的 ID 等重要信息，所以它们无法伪造一个与原 Information Card 完全相同的复本来登录原用户注册过的其它网站。在登录时，一个根据协议生成的、不可修改的 Site-Specific Card ID 会发送给目标站点，它唯一表示了特定 Information Card 与特定目标站点的认证关联。Site-Specific Card ID 配合安全协议，具有双向认证特性，可以防止恶意用户伪造他人 Information Card 或钓鱼站点欺骗用户登录（缺点3）。缺点4和缺点5的克服与 OpenID 类似。而个人 Information Card 优于 OpenID 的，是它不存在单点失效问题——因为个人 Information Card 根本用不到 Identity Provider。个人 Information Card 的薄弱环节存在于 Identity Selector，不同的 Identity Selector 可以实现不同的 Information Card 管理和使用授权策略。例如 Windows CardSpace 使用 PIN 码验证本地用户对 Information Card 合法拥有，由于 PIN 码验证完全在本机进行，因此没有网络传输的危险；Windows CardSpace 也不允许导出非加密的 Information Card 文件，因此只要 Windows CardSpace 软件机制没有被破解，设置过 PIN 的 Information Card 是不能从本机或网络轻易窃取的——当然还有一个大前提是用户不滥用 Administrator 权限，否则“C:\Users\[Username]\AppData\Local\Microsoft\CardSpace”目录还是有被盗取的危险。而另一家知名的 Identity Selector——Azigo 则提供支持多平台的、本地与在线相结合的 Information Card 存储，其信任模型类似于密码托管服务。
　　而上文所谓的“卡片或证件”的学名则是托管（Managed）Information Card，它的主要功能不是验证用户身份和传递用户信息，而是用以证明用户具有某种资质（例如成年用户具有在购物网站购买酒精饮料的资质；持有特定信用卡的用户具有在银行网站使用贵宾服务的资质）。Identity Provider 通过额外的手段审查用户具有某种资质之后，在服务器端生成相应记录，并颁发给用户具有特定字段的托管 Information Card。托管 Information Card 本质上只是一个 XML 格式的、指向 Identity Provider 中相应记录的“指针”文件，它也可以像个人 Information Card 一样保存在 Identity Selector 中。当网站需要验证用户某种资质的时候，托管 Information Card 中的“指针”信息被传送给目标网站，目标网站再连接 Identity Provider 查证用户资质是否存在。托管 Information Card 同样可以克服传统用户名-密码机制的诸多缺点，然而单点失效的问题再一次显露。况且不同的 Identity Provider 提供的资质证明服务是异质的，它们与目标网站也通过证书认证等方式绑定，故不能像 Delegating OpenID 那样简单地找替代品绕过，这是托管 Information Card 有待解决的问题。另外，由于托管 Information Card 的“指针”文件容易复制和传播，为保证其安全，协议规定需要使用 X.509 证书、Kerberos ticket、个人 Information Card 或传统的用户名-密码等至少一种机制来验证用户对托管 Information Card 的合法拥有。这将托管 Information Card 的安全性问题划归到上述机制的安全性问题上了。
　　机制的灵活性使得创造其它类型的 Information Card 成为可能。但新的 Information Card 特性往往需要目标网站和 Identity Selector 的支持。例如 Azigo 支持的几种 Action Card 类似于现实中的商场会员卡、打折卡，启用之后可以和 Google、Yahoo 或一些购物网站交互，对使用本卡可打折的商品加以图标提示。
　　Information Card 已经发布多年了，但支持用它登录的网站依然很少，ICF 官方的资源目录中登记的站点屈指可数。微软的 Windows Live 的 Information Card 支持长期处于“Beta”阶段。具有讽刺意味的是专门提供 CardSpace ASP.NET 控件的 Quality Data 公司自己的网站还在使用用户名-密码登录。稍微有点意义的托管 Information Card 是 Equifax 提供的“Over 18 I-Card”成人验证。它通过查证用户的美国社会保险号码发给其代表成人身份的托管 Information Card，目前唯一的用途是在 Watch-This 网站观看 18+ 的视频。而那几家提供 Azigo Action Card 的网站也往往只把虚拟打折卡和实体打折卡绑定，没有让用户体验到 Information Card 的优势，反而是用一种复杂的机制实现了简单的会员折扣提醒功能。
　　Information Card 市场接受程度远不如 OpenID 的原因，我想很可能与其 Identity Selector 机制有关。Identity Selector 确实在一定程度上增强了安全性，但它不像 OpenID 只基于现有的 Web 机制，而需要在客户端部署依赖于操作系统、浏览器的组件。这使得用户感到不便乃至不安，网站运营者因此不会有太大的兴趣。我目前还没有找到在 Chrome 和 Opera 下好使的 Identity Selector。就连 Windows CardSpace 在 IE8 下工作得都有问题，像 SignOn 等网站只有使用 IE7 兼容模式才能登录。可以想像网站运营者如果添加 Information Card 认证，只能收到更多用户的询问或抱怨。Windows Vista 以后 Windows CardSpace 以成为了系统标配，但微软这种把标准协议绑定到 IE 上的行为反而可能引起某些第三方开发者的不满，正如 Mono 常常被一些“纯粹”的自由软件人士抵制一样。
　　和 Information Card 思路类似的是 IBM、Novell 等公司发起的 Higgins 开源项目，它提供给用户的“名片”称为 I-Card，也借助客户端（或网络托管的）Selector 保存 I-Card（沿用 ICF 的部分工作）。并支持两种可替换的 Identity Services，其中一种“可信伙伴”服务可以将 Information Card 或 OpenID 认证方式接入 Higgins 框架。此外 Higgins 还引入了 Attribute Services，用于表述数据的上下文及实体（用户、目标网站）之间的关系，并提供访问控制支持（对用户来说，他们此时需要持有一种表示实体间关系 Relationship Card）。Higgins 仍是一个演进中的实验室项目，它提出的一系列认证模型和身份、关系管理机制值得在学术界研究，但目前阶段实用部署仍显复杂。对网站运营者和普通用户来说，额外组件的安装部署、既有应用的修改、新的使用模式和安全守则的学习都是不小的开销。“名片”模式要摆脱现在这种尴尬境地，任重而道远。