几乎在9 / 11恐怖袭击发生后,华盛顿和世界其他国家的国会议员立即开始呼吁实行国民身份证——长期以来,这种极端的安全措施在自由社会似乎不合适。
由Jeffrey Kutler
2002年5月
亚博赞助欧冠机构投资者杂志
这种迅速的反应是可以理解的。毕竟,身份识别和安全检查未能阻止劫机者登机。随后,由于伪造文件、化名和其他手段,调查人员难以查明犯罪者的真实姓名。
尽管当时的民调显示,70%的美国人(超过80%的英国人)支持国民身份证,但这股热情已逐渐消退。美国的政策制定者把重点放在加强移民控制和缩短签证上。一些人提议至少使用指纹或其他生物识别身份的形式来更密切地跟踪非居民。
但那还只是说说而已。去年10月,美国确实颁布了影响深远的《爱国者法案》(Patriot Act),以更微妙的方式提高了个人身份认证标准。如何?通过加强反洗钱法规,要求金融机构保留其客户的背景文件,并监督其交易的合法性。
实际上,《爱国者法案》将金融服务公司变成了反恐战争中的身份登记代理人。
理由很简单:银行长期以来一直不得不遵守所谓的“了解你的客户”要求。它们在开立账户时确立客户的诚信,在结算支付或回应第三方询问和核实请求时为客户的合法性提供担保。
根据爱国者法案,几乎所有的美国金融机构——不仅仅是自20世纪70年代以来一直受到洗钱规定约束的商业银行——都被禁止与他们无法可靠识别的客户进行交易。对于一个以能够为有价值的客户提供个性化服务而自豪的行业来说,这本身可能是一个值得承担的负担。
但是,一个机构如何才能真正知道它的客户就是他们所说的那个人呢?部署最新的客户关系管理软件,分析客户活动并建议交叉销售的产品和服务是一回事。超越数字、姓名、密码和母亲婚前姓名的抽象概念,来验证客户或交易对手是他、她或它声称的那个人,完全是另一回事。
上世纪90年代末,随着电子商务的兴起,可验证的名称和身份以及如何最好地验证这些名称和身份的问题首次成为人们关注的焦点。答案从自动柜员机上输入的个人身份号码开始,然后逐步升级为更高价值的交易,再到更复杂的数字签名,甚至是生物识别技术。
但正如9·11灾难所显示的那样,认证问题还远远没有解决。“身份问题正变得越来越不可忽视。Daniel Geer说。他是总部位于纽约的咨询公司@stake的首席技术官,也是CertCo的前高级策略师,CertCo是旧的Bankers Trust公司的数据安全分支。
事实上,这个行业已经找到了完全电子效率处理20美元ATM提款和200万美元股票转让的方法,并且每种方法都有适当的风险控制。在一个因恐怖主义而变得无限复杂的世界里,这个行业必须重新考虑其认证方法。从简单的密码开始,没有一种现有的方法是万无一有的。吉尔甚至警告说,不要把指纹或其他身体特征视为理所当然;他说,它们是“一种身份确认的工具,而不是身份断言。”
这是因为这些措施只和注册过程一样可靠——金融机构的员工将一个可验证的名字绑定到一个识别代码或设备上。如果这个人盗用了一个身份或建立了一个别名,那么一切都完了。
控制从知道一个人的身份开始。硅谷资深安全主管恩里克·塞勒姆(Enrique Salem)解释道。他最近刚从位于加州库比蒂诺的一家名为obix的公司离职,该公司为美国运通(American Express Co.)、波音(Boeing Co.)、嘉信理财(Charles Schwab Corp.)等大公司提供身份识别管理系统。南非的老互助银行和挪威的海德鲁公司。obilx基础设施允许用户授权或限制员工、客户或战略合作伙伴对系统的访问;管理员可以申请驾照、护照或其他证明文件。
“这是一个困难的问题,”@stake的吉尔承认。吉尔说,美国当局在试图确定9 / 11劫机者和Guantànamo湾塔利班囚犯的真实姓名时发现,“真实身份和反复证实的姓名之间是有区别的。”
吉尔补充说,不存在永久的、普遍有效的命名系统。“名字不是唯一的,”他说。“名字往往是其上下文的唯一结果。”换句话说,认证机构,比如银行,必须更加仔细地检查客户出示的身份证明。
被称为Web服务的新互联网技术浪潮的开放性和多功能性使识别变得越来越令人烦恼。以微软公司(Microsoft Corp.)的。net架构为代表的Web服务承诺在服务提供商、他们的客户、批发供应商、合资企业和合作营销伙伴之间实现无缝连接。在金融行业中,Web服务可以加速和简化证券结算和直接处理,或使在线投资者更容易与多个经纪公司和银行进行业务。但这样的安排需要信任的一个新的飞跃:交易链中的不同公司必须接受彼此的客户认证。
“问题是,你是谁,你有权或被授权做什么?”Eliot M. Solomon咨询公司(位于纽约Brooklyn)的负责人,同时也是证券业中间件委员会(证券业中间件委员会是纽约一个试图解决身份识别问题的协会)主席的Eliot Solomon说。
Web服务推动者正在兜售一种称为联邦身份的解决方案,它可以使一家公司接受另一家公司颁发的在线凭据。这是微软。net产品Passport的基础,也是微软主要竞争对手太阳微系统公司(Sun Microsystems)倡导的多行业标准Liberty Alliance的基础。Liberty Alliance由美国运通(American Express)、美国在线时代华纳(AOL Time Warner)、美国银行(Bank of America Corp.)、富达投资(Fidelity Investments)、美国联合航空(United Airlines)等大约30家公司组成。
早期联合的ID行动是零售的。花旗集团的信用卡部门在3月份宣布了测试Passport的计划,允许网上购物者在不同网站之间切换,而无需重新输入密码。Liberty的初步申请将于今年晚些时候公布,其中可能包括联合航空公司(United Airlines)接受赫兹租车公司(Hertz Corp.)的在线租车资格,反之亦然。与此同时,在为自由联盟(Liberty Alliance)招募人员不到一年之后,太阳微系统公司(Sun Microsystems)已将其首个大规模网络服务ID包推向市场,支持至少1万名企业版注册用户和25万名以上的互联网注册用户。
SIMC的所罗门对这种快速的进步表示赞赏,但他坚持认为,证券业不能以原始、通用的形式采用联合的身份。他说:“现有的标准对于基本的Web服务来说还不错,但我们对审计跟踪、问责制、风险管理和监督有特殊需求。”“我们会向科技公司提出如何解决我们的担忧的建议。”
总部位于纽约的Communicator为机构证券行业提供在线认证服务,其总裁兼首席执行官Leo Schlinkert指出:“消费者身份管理与商业世界有很大不同。消费者交易规模较小,你可以依靠信用卡(进行验证)。在企业对企业的背景下,你绝对必须知道你在和谁打交道。”
这些限制并没有阻止花旗集团(Citigroup)的尝试。花旗在支持自由联盟的同时,也在与微软(Microsoft)合作。花旗电子商务部门的技术副总裁Ed Glassman说:“到目前为止,我们的信用卡部门只与。net合作。”“但我们认为,利用互联网向客户全面介绍他们与花旗集团的所有关系,这对企业方面也非常重要。我们只是还不知道怎么做,也不知道什么时候做。”
e-Citi研发部门的技术执行主管艾伦•杨(Alan Young)表示,高端安全技术——比如通常用于企业转账的数据加密系统——可以渗透到大众市场。他解释说:“芯片中嵌入数字证书并锁定身份的智能卡可能成为一个强大的认证来源。”“更好的是,如果你添加一种非侵入性生物特征,比如声音识别,银行可以进行匹配,并允许交易通过任何电话发起。”
但Young强调,这种情况“还需要很多年才能实现。”身份识别技术还处于起步阶段,花旗将谨慎推进。它还没有准备好将身份验证委托给第三方。“信任是我们的事业,”他说。“一旦以任何方式出现问题,我们就有大问题了。”
由Jeffrey Kutler
2002年5月
亚博赞助欧冠机构投资者杂志
这种迅速的反应是可以理解的。毕竟,身份识别和安全检查未能阻止劫机者登机。随后,由于伪造文件、化名和其他手段,调查人员难以查明犯罪者的真实姓名。
尽管当时的民调显示,70%的美国人(超过80%的英国人)支持国民身份证,但这股热情已逐渐消退。美国的政策制定者把重点放在加强移民控制和缩短签证上。一些人提议至少使用指纹或其他生物识别身份的形式来更密切地跟踪非居民。
但那还只是说说而已。去年10月,美国确实颁布了影响深远的《爱国者法案》(Patriot Act),以更微妙的方式提高了个人身份认证标准。如何?通过加强反洗钱法规,要求金融机构保留其客户的背景文件,并监督其交易的合法性。
实际上,《爱国者法案》将金融服务公司变成了反恐战争中的身份登记代理人。
理由很简单:银行长期以来一直不得不遵守所谓的“了解你的客户”要求。它们在开立账户时确立客户的诚信,在结算支付或回应第三方询问和核实请求时为客户的合法性提供担保。
根据爱国者法案,几乎所有的美国金融机构——不仅仅是自20世纪70年代以来一直受到洗钱规定约束的商业银行——都被禁止与他们无法可靠识别的客户进行交易。对于一个以能够为有价值的客户提供个性化服务而自豪的行业来说,这本身可能是一个值得承担的负担。
但是,一个机构如何才能真正知道它的客户就是他们所说的那个人呢?部署最新的客户关系管理软件,分析客户活动并建议交叉销售的产品和服务是一回事。超越数字、姓名、密码和母亲婚前姓名的抽象概念,来验证客户或交易对手是他、她或它声称的那个人,完全是另一回事。
上世纪90年代末,随着电子商务的兴起,可验证的名称和身份以及如何最好地验证这些名称和身份的问题首次成为人们关注的焦点。答案从自动柜员机上输入的个人身份号码开始,然后逐步升级为更高价值的交易,再到更复杂的数字签名,甚至是生物识别技术。
但正如9·11灾难所显示的那样,认证问题还远远没有解决。“身份问题正变得越来越不可忽视。Daniel Geer说。他是总部位于纽约的咨询公司@stake的首席技术官,也是CertCo的前高级策略师,CertCo是旧的Bankers Trust公司的数据安全分支。
事实上,这个行业已经找到了完全电子效率处理20美元ATM提款和200万美元股票转让的方法,并且每种方法都有适当的风险控制。在一个因恐怖主义而变得无限复杂的世界里,这个行业必须重新考虑其认证方法。从简单的密码开始,没有一种现有的方法是万无一有的。吉尔甚至警告说,不要把指纹或其他身体特征视为理所当然;他说,它们是“一种身份确认的工具,而不是身份断言。”
这是因为这些措施只和注册过程一样可靠——金融机构的员工将一个可验证的名字绑定到一个识别代码或设备上。如果这个人盗用了一个身份或建立了一个别名,那么一切都完了。
控制从知道一个人的身份开始。硅谷资深安全主管恩里克·塞勒姆(Enrique Salem)解释道。他最近刚从位于加州库比蒂诺的一家名为obix的公司离职,该公司为美国运通(American Express Co.)、波音(Boeing Co.)、嘉信理财(Charles Schwab Corp.)等大公司提供身份识别管理系统。南非的老互助银行和挪威的海德鲁公司。obilx基础设施允许用户授权或限制员工、客户或战略合作伙伴对系统的访问;管理员可以申请驾照、护照或其他证明文件。
“这是一个困难的问题,”@stake的吉尔承认。吉尔说,美国当局在试图确定9 / 11劫机者和Guantànamo湾塔利班囚犯的真实姓名时发现,“真实身份和反复证实的姓名之间是有区别的。”
吉尔补充说,不存在永久的、普遍有效的命名系统。“名字不是唯一的,”他说。“名字往往是其上下文的唯一结果。”换句话说,认证机构,比如银行,必须更加仔细地检查客户出示的身份证明。
被称为Web服务的新互联网技术浪潮的开放性和多功能性使识别变得越来越令人烦恼。以微软公司(Microsoft Corp.)的。net架构为代表的Web服务承诺在服务提供商、他们的客户、批发供应商、合资企业和合作营销伙伴之间实现无缝连接。在金融行业中,Web服务可以加速和简化证券结算和直接处理,或使在线投资者更容易与多个经纪公司和银行进行业务。但这样的安排需要信任的一个新的飞跃:交易链中的不同公司必须接受彼此的客户认证。
“问题是,你是谁,你有权或被授权做什么?”Eliot M. Solomon咨询公司(位于纽约Brooklyn)的负责人,同时也是证券业中间件委员会(证券业中间件委员会是纽约一个试图解决身份识别问题的协会)主席的Eliot Solomon说。
Web服务推动者正在兜售一种称为联邦身份的解决方案,它可以使一家公司接受另一家公司颁发的在线凭据。这是微软。net产品Passport的基础,也是微软主要竞争对手太阳微系统公司(Sun Microsystems)倡导的多行业标准Liberty Alliance的基础。Liberty Alliance由美国运通(American Express)、美国在线时代华纳(AOL Time Warner)、美国银行(Bank of America Corp.)、富达投资(Fidelity Investments)、美国联合航空(United Airlines)等大约30家公司组成。
早期联合的ID行动是零售的。花旗集团的信用卡部门在3月份宣布了测试Passport的计划,允许网上购物者在不同网站之间切换,而无需重新输入密码。Liberty的初步申请将于今年晚些时候公布,其中可能包括联合航空公司(United Airlines)接受赫兹租车公司(Hertz Corp.)的在线租车资格,反之亦然。与此同时,在为自由联盟(Liberty Alliance)招募人员不到一年之后,太阳微系统公司(Sun Microsystems)已将其首个大规模网络服务ID包推向市场,支持至少1万名企业版注册用户和25万名以上的互联网注册用户。
SIMC的所罗门对这种快速的进步表示赞赏,但他坚持认为,证券业不能以原始、通用的形式采用联合的身份。他说:“现有的标准对于基本的Web服务来说还不错,但我们对审计跟踪、问责制、风险管理和监督有特殊需求。”“我们会向科技公司提出如何解决我们的担忧的建议。”
总部位于纽约的Communicator为机构证券行业提供在线认证服务,其总裁兼首席执行官Leo Schlinkert指出:“消费者身份管理与商业世界有很大不同。消费者交易规模较小,你可以依靠信用卡(进行验证)。在企业对企业的背景下,你绝对必须知道你在和谁打交道。”
这些限制并没有阻止花旗集团(Citigroup)的尝试。花旗在支持自由联盟的同时,也在与微软(Microsoft)合作。花旗电子商务部门的技术副总裁Ed Glassman说:“到目前为止,我们的信用卡部门只与。net合作。”“但我们认为,利用互联网向客户全面介绍他们与花旗集团的所有关系,这对企业方面也非常重要。我们只是还不知道怎么做,也不知道什么时候做。”
e-Citi研发部门的技术执行主管艾伦•杨(Alan Young)表示,高端安全技术——比如通常用于企业转账的数据加密系统——可以渗透到大众市场。他解释说:“芯片中嵌入数字证书并锁定身份的智能卡可能成为一个强大的认证来源。”“更好的是,如果你添加一种非侵入性生物特征,比如声音识别,银行可以进行匹配,并允许交易通过任何电话发起。”
但Young强调,这种情况“还需要很多年才能实现。”身份识别技术还处于起步阶段,花旗将谨慎推进。它还没有准备好将身份验证委托给第三方。“信任是我们的事业,”他说。“一旦以任何方式出现问题,我们就有大问题了。”