首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
华为云
V2EX  ›  奇思妙想

冒出一个统一个人网络身份认证的想法

  •  
  •   pinews · 26 天前 · 3781 次点击
    之前发了个帖子分析 cookie 和 session 引起的思考,最终发现是,其实是互联网没有统一个人网络身份认证,而现在的注册登陆账户设计有很多缺陷,所以和大家交流一下。
    不过第一不要想歪了,把这个跟网络实名认证联系一块,他们是绝不一样的。
    第二,这东西也是想想,现在如 google,qq,微信,支付宝,微博这些拥有海量用户的网站,是绝不同意用户把自己的身份按自己的意愿随意迁移的。

    已经有很多帖子反应账户的问题了,比如类似 1password 这样的网站大家用过没,与其类似的还有浏览器的保存密码,以及 Oauth 协议等。如果把他们结合起来,取长补短,那真是网民之福,不过既然 1password 这样的网站仍属于小网站,看来如我刚才所说,这东西也是想想而已。

    我们把 1password 这样的网站叫做统一个人网络身份认证系统。
    1password 的优点是专门做这个的,密码够安全,缺点不如浏览器结合紧密,也不如 Oauth 协议方便。
    浏览器的密码保存优点是和网站结合紧密,缺点是基于老式的账号密码方案。
    Oauth 协议优点最方便,通过其他服务还能能主动发送消息,缺点,被限制在一个平台无法迁移,而且 Oauth 协议不过大网站的束缚术,他们是有自己正事干的,一旦出现问题,就太麻烦了。

    综上,我们把这个统一个人网络身份认证系统做成一个协议,只要支持协议,谁都可以参与,但除了用户,谁都不能掌握主动权。首先有一个全球分配个人唯一 ID 的组织,和域名系统组织一样,然后选择一个客户端,可以生成保存各家网站的加强账号密码,可以选择一家云服务,提供主账号注册登陆服务, 用来上传下载本地加密后的网站账号密码,以及推送消息和保存好友列表。当遇到一个没注册过的网站时,点击注册,弹出注册协议,和索求权限,如果同意,则一键注册,只需要补充一个用来在网站上显示的用户名就行了。

    好处一,你就是你,不再需要什么人为你证明。
    好处二,可以统一管理网站(之前的都是只有网站管理用户,现在用户终于可以选择管理网站了)
    好处三,可以任意选择客户端,云服务,觉得哪家好用哪家,不再大网站限制。
    好处四,网站再也不能随意访问你的资料。
    好处五,安全,再也不用担心丢号盗号忘号难题。

    抛砖引玉,大家觉呢?
    52 回复  |  直到 2018-11-02 09:10:12 +08:00
        1
    M0   26 天前
    那么,账号密码由谁保存呢?安全问题谁负责呢?
        2
    wolfie   26 天前
    拿到设备容易 GG。

    Chrome 的密码生成与保存用着还行。
        3
    yexm0   26 天前 via Android
    @M0 到时候它家的设备一出了问题那全部网站一起陪葬😁
        4
    M0   26 天前
    @yexm0 不开心了一拔插销
        5
    pinews   26 天前
    @M0 账号密码本地加密保存,云上也加密备份,安全问题举例说明?
    @wolfie 我去,怎么拿到设备,拿到设备怎么 GG ?
        6
    huclengyue   26 天前 via Android
    风险更大。
        7
    helone   26 天前   ♥ 1
    好处再大也抵不过商业利益,你就告诉我哪个互联网巨头会做方便你引流用户这么傻的事情?
        8
    saluton   26 天前
    OpenID 了解一下
        9
    pinews   26 天前
    @yexm0 你说的跟如果 1password 除了问题,qq 出了问题,chrome 出了问题,那不是一样么,肯定安全够高的大网站呀!要全球统一认证有资格的公司啊。
        10
    wolfie   26 天前
    @pinews
    我理解错了,还需要一个类似 1password 的密码。
        11
    pinews   26 天前
    @saluton 什么?我这想法早有人想到了?
        12
    taurenshaman   26 天前
    互联网之父搞了一个项目,你可以看看,很搭的:
    Solid ( social linked data )。更像一种协议
    https://solid.mit.edu
    https://github.com/solid/solid

    https://zhuanlan.zhihu.com/p/46129406

    简单说,Solid 提供了两个基本内容:
    1、访问控制,包括权限验证,对文件的读写
    2、WebID,类似 OpenID

    这是架构图: https://github.com/solid/solid/blob/master/diagrams/solid-architecture.svg
        13
    pinews   26 天前
    @helone 我们联合起来啊,我们不是一般用户啊。
        14
    taurenshaman   26 天前
    @saluton
    OpenID 关了一批了,尤其是 MyOpenID 停服。好像是说因为 Facebook、Google、Microsoft 等账户成了某种意义上事实的 ID -_-
    不知道 Solid 能不能发展起来,有几个支持
        15
    vcinex   26 天前   ♥ 1
    @pinews #13
    “我们不是一般用户啊”
    我觉得你太看得起这个“我们”了
        16
    xupefei   26 天前   ♥ 1
    这种系统在一些国家已经有了。比如有芬兰身份证的话,芬兰的银行可以提供身份验证服务。这样的话,你的身份得到了保证,银行也给减少了假账户风险。
        17
    liuxey   26 天前
    你觉得实现这个想法的难点在哪里?我想你应该懂的!
        18
    pinews   26 天前
    @taurenshaman 试了一个,设计的太丑了,还失败了。。。。
        19
    pinews   26 天前
    我还有很多想法啊,我觉得我思路比 openid 现实的多。他这个客户端云服务主账号自己一个全做了,但是提供的东西太少了,太贪了吧
        20
    taurenshaman   26 天前   ♥ 1
    @pinews
    o(╯□╰)o

    如果注册成功了,可以到这个应用上试试效果:
    https://dokie.li
    dokieli is a clientside editor for decentralised article publishing, annotations and social interactions.

    登录、(文档)存储的位置选择都是通过 URI 指定,挺有意思的,从这里讲,已经超越了 OpenID 单纯身份认证的局限。
        21
    pinews   26 天前
    非常感谢,既然前辈已经有走过这些路,我。。。。且看一下吧,流泪。。
        22
    winterbells   26 天前 via Android
    eid
        23
    HuHui   26 天前 via Android
    Who watches the watchmen
        24
    pinews   26 天前
    @winterbells eid 和身份证一样,属于权威认证,和微博上加 V 一样,不是一回事,一般人没必要。
    @HuHui 加密的。
        25
    xmoiduts   26 天前 via Android
    @xupefei 瑞典也有适用于银行的 bankid/mobile bank id 系统,和基于(税务局)身份证的 eID 系统。
        26
    blless   26 天前 via Android
    现在的注册登陆有很多缺陷?
        27
    zakokun   26 天前
    这不就是手机验证码登录吗?
        28
    memorybox   26 天前
    从历史经验上看,任何一个试图大一统的方案都会失败的。

    我觉得关于统一的 userid,目前最有意思的应该是基于区块链的想法,比如 onename.com 这样的;

    当然,像当年的域名币一样,在 bitcoin blockchain 侧链上面建立一个分布式的 DNS 系统,也半死不活这么长时间了,建立一个 userid 系统我觉得就更遥遥无期了。
        29
    bukip   26 天前
    全球分配个人唯一 ID,怎么个人?怎么唯一?实名吗?
        30
    TroyLin0218   26 天前
    我觉得现在注册最**的地方在于验证手机号,绑定一大堆东西之后万一要换手机号真的是麻烦。其次这个全球同意身份认证我很赞成,不过就是这个公司的资质得多厉害才能说得动中国的庙堂之上呢
        31
    1648820920   26 天前
    你觉得实名制 ip 远吗
        32
    gitandgit   26 天前 via iPad
    Blockstack 了解一下,前身是 onename,一个全新的互联网架构,所有的网站都可以用它的授权信息完成用户登陆。目前使用最好的有:graphite,afari,travelstack.强烈推荐。
        33
    kltt22   26 天前 via Android
    匿名才是王道
        34
    ggsimidar   26 天前
    在奇思妙想之前,我更关系有没有做过相关调研,类似方案有哪些都不清楚的想法还是自己想想就好了
        35
    siyushin   26 天前
    已经有人在区块链上做这件事了。
        36
    lovestudykid   26 天前
    可惜 openid 这样的东西很难普及,用户数据是很多公司的命根子。
        37
    pinews   25 天前
    @vcinex 我们应该都有一个网站吧,我们这个群体有几百万吧。

    @blless 账号密码本来是证明网络上的我就是代表现实中的我,但却经常遇到账号密码无法证明我就是我,如果有一个网站也就罢了,我们要遇到几十上百个这样的问题,不应该。

    @TroyLin0218
    @zakokun 其实手机验证码挺好的,但 正如上面的所说,换手机号麻烦,我这个方案可以放到本地上的。

    @bukip 参考域名系统,原则上网站要知道你的资料需要你授权
    @lovestudykid 是的很难,咱们得换一种思路。

    @taurenshaman solid 和 openid 又看了几遍,几乎和我想的一模一样,很多我一开始没想到的地方,他都想好了,但他这里有几大问题:
    1、完全免费不现实,因为有成本的,而且还要不断完善,提供高质量的服务。
    2、没有本地方案,相当于断绝了 90%了用户。
    3、早在 http 之前就有域名系统和邮件系统,邮件也是利用域名,很多网站也是用邮箱注册,我记得 163 邮箱也曾试过做名片,做社交,可以关联邮箱,可以代收其他邮箱邮件,其实这个邮箱和网络 ID 很像了,我都把邮箱专门分出一个管理账号的文件夹,但 163 这个巨头对此毫无兴趣又或者遇到什么困难。
        38
    nekoneko   25 天前
    看成了:冒充一个人网络身份的想法
        39
    onionnews   25 天前 via Android
    广告公司追踪起来更方便了
        40
    pinews   25 天前
    @onionnews 这个唯一 ID 只有你知道,别人只能知道你的分身。
        41
    pinews   25 天前
    @pinews 能不能做一个类似 1password 的 openid 网站,之前我是用本地客户端和数据加密解决安全问题的,如果完全放在云上,如何加密呢?
        42
    Davidwg   24 天前
    gmail ?理论上只要都支持 gmail 登录就完成了撸主说的情况
        43
    taurenshaman   23 天前
    @pinews
    solid 主打的就是去中心化。

    免费的平台,总是能从别的地方赚到钱的。参考搜索引擎之类的。
        44
    kios   23 天前
    兄弟 你这个想法很危险阿
        45
    kersbal   21 天前
    这个问题的终极难题在于如何落实到普通人身上-----你把 1password 的密码和 secret key 忘掉的话天下无人能帮你登陆。。。所以所有这种技术形式 *如果想要估计大多数普通人* 到最后都需要人力参与和有影响力的机构背书作为终极验证:实名制到手机上,手机号实名到身份证上,身份证是经过发证机关的背书。
    而这种东西参与的环节与角色越多隐私与安全就越无意义了
        46
    dalieba   21 天前 via Android
    同志,国家需要你
        47
    pinews   20 天前
    @taurenshaman 1password 收费都 3 美元 /月了,个人觉得贵了,但不至于完全免费。
    @Davidwg 不想依附大网站
    @kersbal 忘记密码了,那不管的,只要一个密码的话,管理起来还是比较容易的。
    3.14159265358793238462643383279 我还是能脱口而出的。
        48
    kersbal   20 天前
    @pinews
    “忘记密码了,那不管的”:
    不太明白你的意思,这个账号按你的说法是全球唯一的,一旦忘记密码我进不了各种账号还不了话费交不了电费,如此大的风险简直就是社会灾难。
    “我还是能脱口而出的” :
    仔细看我写的“如果想要顾及大多数普通人(之前打错字了)” ,日常记不住银行卡密码的人大有人在,这些人怎么办?
        49
    kersbal   20 天前
    @pinews 而且银行卡只是 6 位数字。你设想中的这个账户如此重要那我岂不是得设置一个 20 位数字字母特殊符号都有的密码才放心?这玩意万一过于简单被人猜出来那才真是“我没办法证明我是我”了。。。
        50
    KingEngine   20 天前 via Android
    @pinews 1password 本地几乎免费,早期安卓版本就是免费的😂新版本免费试用 30 天,过了 30 天清空 app 数据,然后又有 30 天
        51
    KingEngine   20 天前 via Android
    @pinews 不知道安卓旧版本是不是破解版,因为百度了下很久前就收费,第一次是在应用宝下载能直接用,现在应用宝是最新版,不过可以在智安商店下(智安保存 app 历史版本这功能还有点实用)
        52
    somethin   14 天前
    Linia https://github.com/ConsenSys/Linnia-Smart-Contracts 了解下,特别符合 这个唯一 ID 只有你知道,别人只能知道你的分身。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3320 人在线   最高记录 3821   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 28ms · UTC 03:42 · PVG 11:42 · LAX 19:42 · JFK 22:42
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1