Identity 2.0 何时真正到来?(4)用户价值决定前途走向

2009-09-03

前面三篇文章分别介绍了三类已经投入实际使用的、独立的 Identity 2.0 机制。与此同时很多在互联网时代既得利益的公司也都试图借助自己庞大的用户资源在身份认证领域分一杯羹。微软的 Windows Live ID(早期称为 .NET Passport、Microsoft Passport Network)算是动手比较早的,Google Account AuthenticationYahoo! BBAuthFacebook Connect 等是各家公司推出的类似的身份认证服务。但这些服务本质上不符合 Identity 2.0“以用户为中心”的精神,它们仍使用原有的集中式用户系统,由这几家大公司自己维护用户数据,仅允许其它网站借助其 API 验证用户身份,读取用户的非敏感信息。这类技术的用户价值在于单点登录和相对安全(类似于 OpenID),单点失效问题通过内部对用户透明的分布或容错机制实现(目前阶段,这几家大型网站的可靠性相比小型的 OpenID provider 更有技术保障,至少用户的心理体验是这样)。对小型网站的经营者来说,让拥有 Google、Yahoo!、Facebook 账号的用户直接登录自己的网站,同时能从知名网站获得用户的部分注册信息,确实有一定的吸引力。目前已经有像 clickpass 这样集成各家身份认证的第三方服务。而对于想为第三方网站提供身份认证服务的普通网站来说,开放的 OAuth 协议可以直接在既有系统中集成,twitter豆瓣等是其成功案例。但 OAuth 更多地用于与提供身份认证的网站息息相关的第三方应用开发,还不能算是一种通用的身份认证机制。

Clickpass

此外还有一系列或是没有走出实验室、或是没有着力推广的 Identity 2.0 技术。关于它们的讨论可以通过以下一些网站获取:

我们回过头来看,Identity 2.0 概念的提出大约有五年了,而事实上像 Microsoft Passport Network 之类的原型产品的推出是更早之前的事。但即使是现在发展情况最好的 OpenID,支持它的独立公众网站也维持在三位数之内。而看看上述几个网站,文章和项目的活跃程度也在逐渐下降,不少链接失效。Identity 2.0 为什么没有像 Web 2.0 那样大放异彩?这个问题值得业内人士思考。我列出以下几点:

“鸡与蛋”的问题——要想让基础设施(互联网标准、客户端软件)支持 Identity 2.0 的特性,就需要用足够的杀手级应用来说明其重要性;而要建立有影响力的杀手级应用,又需要基础设施的原生支持。要让用户接受并广泛使用 Identity 2.0 的个人身份,就需要有大量的既有应用启用 Identity 2.0 机制;而要让现存的网站加入对 Identity 2.0 的支持,又需要广大持有 Identity 2.0 身份的用户来诱发。

使用的体验的改变——普通用户可能不会理解 OpenID 这种 provider 中介模式的安全优势,因为在用户看来还是要输入一次用户名密码的,而且是把密码交给了第三方。对于 Information Card,用户可能难以习惯长期保存并随身携带 Card 文件的使用模式,在经历了一两次 Card 丢失或一时无法取得的情况,就会打击用户的使用兴趣。而如果在线保存 Information Card,又存在和密码托管网站一样的信任危机。至于基于 XRI 的 i-name,普通用户可能也不愿意为其缴纳年费。

安全性问题——这是任何一种身份认证机制都必须首先保证的。各类 Identity 2.0 技术都宣称自己的协议比传统方式安全,这不假,但它们的前提假设是:provider 等第三方机构确实可信;用户按照一定的规程来使用(比如不随意复制未加密码的 Information Card)。如果 provider 作恶或者用户不遵守使用规程,同样会造成信息泄露。provider 作恶在其它分布式系统中是存在的(比如 DNS 欺骗、虚假 Tor 节点等),难免在 Identity 2.0 中重演;而引入新的用户体验之后,要求用户掌握其操作原则是有时间成本和运营风险的。

用户价值的体现——我认为这是核心因素。Identity 2.0 究竟能不能给用户带来全新的使用价值?是否满足普通用户和网站经营者双方的利益需求?身份认证方面的创新能否给互联网带来足够大的积极影响?这些问题不是纯粹的技术问题,有待市场来检验。但 Web 2.0 时代用户是重要的资源,如果将用户系统拱手交出,全线采纳 Identity 2.0,或许是一些既得利益者不愿意看到的。即使对于普通用户,像单点登录、一卡走天下这样的特性真的是大众的需求吗?也许更细的授权粒度、站点独立的密码设置才能让一部分人放下心来。

我们不能过早地断言 Identity 2.0 会走向失败。也可能是早期定义的 Identity 2.0 过于激进,我们来看看 OpenID 现在的发展:在多数网站中没有完全取代传统的身份认证机制,而是作为它们的补充;通过底层的服务发现协议来和 LID、i-name 等兼容(最近 Windows Live ID 也要和 OpenID 兼容了),力图建立统一且开放的 Identity 2.0 平台。这种渐近式的、开放包容的路线,应该是 Identity 2.0 的生路所在。