V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
pinews
V2EX  ›  奇思妙想

冒出一个统一个人网络身份认证的想法

  •  
  •   pinews · 2018-10-20 18:18:36 +08:00 · 6533 次点击
    这是一个创建于 2221 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前发了个帖子分析 cookie 和 session 引起的思考,最终发现是,其实是互联网没有统一个人网络身份认证,而现在的注册登陆账户设计有很多缺陷,所以和大家交流一下。
    不过第一不要想歪了,把这个跟网络实名认证联系一块,他们是绝不一样的。
    第二,这东西也是想想,现在如 google,qq,微信,支付宝,微博这些拥有海量用户的网站,是绝不同意用户把自己的身份按自己的意愿随意迁移的。

    已经有很多帖子反应账户的问题了,比如类似 1password 这样的网站大家用过没,与其类似的还有浏览器的保存密码,以及 Oauth 协议等。如果把他们结合起来,取长补短,那真是网民之福,不过既然 1password 这样的网站仍属于小网站,看来如我刚才所说,这东西也是想想而已。

    我们把 1password 这样的网站叫做统一个人网络身份认证系统。
    1password 的优点是专门做这个的,密码够安全,缺点不如浏览器结合紧密,也不如 Oauth 协议方便。
    浏览器的密码保存优点是和网站结合紧密,缺点是基于老式的账号密码方案。
    Oauth 协议优点最方便,通过其他服务还能能主动发送消息,缺点,被限制在一个平台无法迁移,而且 Oauth 协议不过大网站的束缚术,他们是有自己正事干的,一旦出现问题,就太麻烦了。

    综上,我们把这个统一个人网络身份认证系统做成一个协议,只要支持协议,谁都可以参与,但除了用户,谁都不能掌握主动权。首先有一个全球分配个人唯一 ID 的组织,和域名系统组织一样,然后选择一个客户端,可以生成保存各家网站的加强账号密码,可以选择一家云服务,提供主账号注册登陆服务, 用来上传下载本地加密后的网站账号密码,以及推送消息和保存好友列表。当遇到一个没注册过的网站时,点击注册,弹出注册协议,和索求权限,如果同意,则一键注册,只需要补充一个用来在网站上显示的用户名就行了。

    好处一,你就是你,不再需要什么人为你证明。
    好处二,可以统一管理网站(之前的都是只有网站管理用户,现在用户终于可以选择管理网站了)
    好处三,可以任意选择客户端,云服务,觉得哪家好用哪家,不再大网站限制。
    好处四,网站再也不能随意访问你的资料。
    好处五,安全,再也不用担心丢号盗号忘号难题。

    抛砖引玉,大家觉呢?
    54 条回复    2018-12-13 11:54:50 +08:00
    M0
        1
    M0  
       2018-10-20 18:33:04 +08:00
    那么,账号密码由谁保存呢?安全问题谁负责呢?
    wolfie
        2
    wolfie  
       2018-10-20 18:34:54 +08:00
    拿到设备容易 GG。

    Chrome 的密码生成与保存用着还行。
    yexm0
        3
    yexm0  
       2018-10-20 18:37:46 +08:00 via Android
    @M0 到时候它家的设备一出了问题那全部网站一起陪葬😁
    M0
        4
    M0  
       2018-10-20 18:38:25 +08:00
    @yexm0 不开心了一拔插销
    pinews
        5
    pinews  
    OP
       2018-10-20 18:41:35 +08:00
    @M0 账号密码本地加密保存,云上也加密备份,安全问题举例说明?
    @wolfie 我去,怎么拿到设备,拿到设备怎么 GG ?
    huclengyue
        6
    huclengyue  
       2018-10-20 18:42:01 +08:00 via Android
    风险更大。
    helone
        7
    helone  
       2018-10-20 18:42:58 +08:00   ❤️ 1
    好处再大也抵不过商业利益,你就告诉我哪个互联网巨头会做方便你引流用户这么傻的事情?
    saluton
        8
    saluton  
       2018-10-20 18:42:59 +08:00
    OpenID 了解一下
    pinews
        9
    pinews  
    OP
       2018-10-20 18:45:03 +08:00
    @yexm0 你说的跟如果 1password 除了问题,qq 出了问题,chrome 出了问题,那不是一样么,肯定安全够高的大网站呀!要全球统一认证有资格的公司啊。
    wolfie
        10
    wolfie  
       2018-10-20 18:48:27 +08:00
    @pinews
    我理解错了,还需要一个类似 1password 的密码。
    pinews
        11
    pinews  
    OP
       2018-10-20 18:50:52 +08:00
    @saluton 什么?我这想法早有人想到了?
    taurenshaman
        12
    taurenshaman  
       2018-10-20 18:52:16 +08:00
    互联网之父搞了一个项目,你可以看看,很搭的:
    Solid ( social linked data )。更像一种协议
    https://solid.mit.edu
    https://github.com/solid/solid

    https://zhuanlan.zhihu.com/p/46129406

    简单说,Solid 提供了两个基本内容:
    1、访问控制,包括权限验证,对文件的读写
    2、WebID,类似 OpenID

    这是架构图: https://github.com/solid/solid/blob/master/diagrams/solid-architecture.svg
    pinews
        13
    pinews  
    OP
       2018-10-20 18:52:54 +08:00
    @helone 我们联合起来啊,我们不是一般用户啊。
    taurenshaman
        14
    taurenshaman  
       2018-10-20 19:00:20 +08:00
    @saluton
    OpenID 关了一批了,尤其是 MyOpenID 停服。好像是说因为 Facebook、Google、Microsoft 等账户成了某种意义上事实的 ID -_-
    不知道 Solid 能不能发展起来,有几个支持
    Ultraman
        15
    Ultraman  
       2018-10-20 19:08:45 +08:00   ❤️ 1
    @pinews #13
    “我们不是一般用户啊”
    我觉得你太看得起这个“我们”了
    xupefei
        16
    xupefei  
       2018-10-20 19:14:50 +08:00   ❤️ 1
    这种系统在一些国家已经有了。比如有芬兰身份证的话,芬兰的银行可以提供身份验证服务。这样的话,你的身份得到了保证,银行也给减少了假账户风险。
    liuxey
        17
    liuxey  
       2018-10-20 19:15:37 +08:00
    你觉得实现这个想法的难点在哪里?我想你应该懂的!
    pinews
        18
    pinews  
    OP
       2018-10-20 19:16:56 +08:00
    @taurenshaman 试了一个,设计的太丑了,还失败了。。。。
    pinews
        19
    pinews  
    OP
       2018-10-20 19:24:56 +08:00
    我还有很多想法啊,我觉得我思路比 openid 现实的多。他这个客户端云服务主账号自己一个全做了,但是提供的东西太少了,太贪了吧
    taurenshaman
        20
    taurenshaman  
       2018-10-20 19:25:50 +08:00   ❤️ 1
    @pinews
    o(╯□╰)o

    如果注册成功了,可以到这个应用上试试效果:
    https://dokie.li
    dokieli is a clientside editor for decentralised article publishing, annotations and social interactions.

    登录、(文档)存储的位置选择都是通过 URI 指定,挺有意思的,从这里讲,已经超越了 OpenID 单纯身份认证的局限。
    pinews
        21
    pinews  
    OP
       2018-10-20 19:38:46 +08:00
    非常感谢,既然前辈已经有走过这些路,我。。。。且看一下吧,流泪。。
    winterbells
        22
    winterbells  
       2018-10-20 19:57:14 +08:00 via Android
    eid
    HuHui
        23
    HuHui  
       2018-10-20 20:04:09 +08:00 via Android
    Who watches the watchmen
    pinews
        24
    pinews  
    OP
       2018-10-20 20:07:50 +08:00
    @winterbells eid 和身份证一样,属于权威认证,和微博上加 V 一样,不是一回事,一般人没必要。
    @HuHui 加密的。
    xmoiduts
        25
    xmoiduts  
       2018-10-20 20:17:58 +08:00 via Android
    @xupefei 瑞典也有适用于银行的 bankid/mobile bank id 系统,和基于(税务局)身份证的 eID 系统。
    blless
        26
    blless  
       2018-10-20 20:23:09 +08:00 via Android
    现在的注册登陆有很多缺陷?
    zakokun
        27
    zakokun  
       2018-10-20 20:30:12 +08:00
    这不就是手机验证码登录吗?
    memorybox
        28
    memorybox  
       2018-10-20 20:31:10 +08:00
    从历史经验上看,任何一个试图大一统的方案都会失败的。

    我觉得关于统一的 userid,目前最有意思的应该是基于区块链的想法,比如 onename.com 这样的;

    当然,像当年的域名币一样,在 bitcoin blockchain 侧链上面建立一个分布式的 DNS 系统,也半死不活这么长时间了,建立一个 userid 系统我觉得就更遥遥无期了。
    bukip
        29
    bukip  
       2018-10-20 20:35:15 +08:00
    全球分配个人唯一 ID,怎么个人?怎么唯一?实名吗?
    TroyLin0218
        30
    TroyLin0218  
       2018-10-20 20:44:50 +08:00
    我觉得现在注册最**的地方在于验证手机号,绑定一大堆东西之后万一要换手机号真的是麻烦。其次这个全球同意身份认证我很赞成,不过就是这个公司的资质得多厉害才能说得动中国的庙堂之上呢
    1648820920
        31
    1648820920  
       2018-10-20 20:48:16 +08:00
    你觉得实名制 ip 远吗
    gitandgit
        32
    gitandgit  
       2018-10-20 21:40:20 +08:00 via iPad
    Blockstack 了解一下,前身是 onename,一个全新的互联网架构,所有的网站都可以用它的授权信息完成用户登陆。目前使用最好的有:graphite,afari,travelstack.强烈推荐。
    kltt22
        33
    kltt22  
       2018-10-20 21:41:38 +08:00 via Android
    匿名才是王道
    ggsimidar
        34
    ggsimidar  
       2018-10-20 22:19:54 +08:00
    在奇思妙想之前,我更关系有没有做过相关调研,类似方案有哪些都不清楚的想法还是自己想想就好了
    siyushin
        35
    siyushin  
       2018-10-20 22:59:37 +08:00
    已经有人在区块链上做这件事了。
    lovestudykid
        36
    lovestudykid  
       2018-10-21 03:18:05 +08:00
    可惜 openid 这样的东西很难普及,用户数据是很多公司的命根子。
    pinews
        37
    pinews  
    OP
       2018-10-21 12:21:20 +08:00
    @vcinex 我们应该都有一个网站吧,我们这个群体有几百万吧。

    @blless 账号密码本来是证明网络上的我就是代表现实中的我,但却经常遇到账号密码无法证明我就是我,如果有一个网站也就罢了,我们要遇到几十上百个这样的问题,不应该。

    @TroyLin0218
    @zakokun 其实手机验证码挺好的,但 正如上面的所说,换手机号麻烦,我这个方案可以放到本地上的。

    @bukip 参考域名系统,原则上网站要知道你的资料需要你授权
    @lovestudykid 是的很难,咱们得换一种思路。

    @taurenshaman solid 和 openid 又看了几遍,几乎和我想的一模一样,很多我一开始没想到的地方,他都想好了,但他这里有几大问题:
    1、完全免费不现实,因为有成本的,而且还要不断完善,提供高质量的服务。
    2、没有本地方案,相当于断绝了 90%了用户。
    3、早在 http 之前就有域名系统和邮件系统,邮件也是利用域名,很多网站也是用邮箱注册,我记得 163 邮箱也曾试过做名片,做社交,可以关联邮箱,可以代收其他邮箱邮件,其实这个邮箱和网络 ID 很像了,我都把邮箱专门分出一个管理账号的文件夹,但 163 这个巨头对此毫无兴趣又或者遇到什么困难。
    nekoneko
        38
    nekoneko  
       2018-10-21 12:52:03 +08:00
    看成了:冒充一个人网络身份的想法
    onionnews
        39
    onionnews  
       2018-10-22 08:27:27 +08:00 via Android
    广告公司追踪起来更方便了
    pinews
        40
    pinews  
    OP
       2018-10-22 09:52:21 +08:00
    @onionnews 这个唯一 ID 只有你知道,别人只能知道你的分身。
    pinews
        41
    pinews  
    OP
       2018-10-22 10:09:37 +08:00
    @pinews 能不能做一个类似 1password 的 openid 网站,之前我是用本地客户端和数据加密解决安全问题的,如果完全放在云上,如何加密呢?
    Davidwg
        42
    Davidwg  
       2018-10-22 13:08:11 +08:00
    gmail ?理论上只要都支持 gmail 登录就完成了撸主说的情况
    taurenshaman
        43
    taurenshaman  
       2018-10-23 19:07:35 +08:00
    @pinews
    solid 主打的就是去中心化。

    免费的平台,总是能从别的地方赚到钱的。参考搜索引擎之类的。
    kios
        44
    kios  
       2018-10-24 08:13:58 +08:00
    兄弟 你这个想法很危险阿
    kersbal
        45
    kersbal  
       2018-10-26 02:59:56 +08:00
    这个问题的终极难题在于如何落实到普通人身上-----你把 1password 的密码和 secret key 忘掉的话天下无人能帮你登陆。。。所以所有这种技术形式 *如果想要估计大多数普通人* 到最后都需要人力参与和有影响力的机构背书作为终极验证:实名制到手机上,手机号实名到身份证上,身份证是经过发证机关的背书。
    而这种东西参与的环节与角色越多隐私与安全就越无意义了
    dalieba
        46
    dalieba  
       2018-10-26 10:24:13 +08:00 via Android
    同志,国家需要你
    pinews
        47
    pinews  
    OP
       2018-10-26 17:59:39 +08:00
    @taurenshaman 1password 收费都 3 美元 /月了,个人觉得贵了,但不至于完全免费。
    @Davidwg 不想依附大网站
    @kersbal 忘记密码了,那不管的,只要一个密码的话,管理起来还是比较容易的。
    3.14159265358793238462643383279 我还是能脱口而出的。
    kersbal
        48
    kersbal  
       2018-10-26 23:04:46 +08:00
    @pinews
    “忘记密码了,那不管的”:
    不太明白你的意思,这个账号按你的说法是全球唯一的,一旦忘记密码我进不了各种账号还不了话费交不了电费,如此大的风险简直就是社会灾难。
    “我还是能脱口而出的” :
    仔细看我写的“如果想要顾及大多数普通人(之前打错字了)” ,日常记不住银行卡密码的人大有人在,这些人怎么办?
    kersbal
        49
    kersbal  
       2018-10-26 23:07:57 +08:00
    @pinews 而且银行卡只是 6 位数字。你设想中的这个账户如此重要那我岂不是得设置一个 20 位数字字母特殊符号都有的密码才放心?这玩意万一过于简单被人猜出来那才真是“我没办法证明我是我”了。。。
    KingEngine
        50
    KingEngine  
       2018-10-27 00:50:55 +08:00 via Android
    @pinews 1password 本地几乎免费,早期安卓版本就是免费的😂新版本免费试用 30 天,过了 30 天清空 app 数据,然后又有 30 天
    KingEngine
        51
    KingEngine  
       2018-10-27 01:10:14 +08:00 via Android
    @pinews 不知道安卓旧版本是不是破解版,因为百度了下很久前就收费,第一次是在应用宝下载能直接用,现在应用宝是最新版,不过可以在智安商店下(智安保存 app 历史版本这功能还有点实用)
    somethin
        52
    somethin  
       2018-11-02 09:10:12 +08:00
    Linia https://github.com/ConsenSys/Linnia-Smart-Contracts 了解下,特别符合 这个唯一 ID 只有你知道,别人只能知道你的分身。
    lindongwu11
        53
    lindongwu11  
       2018-12-07 21:54:36 +08:00
    来用 Solid 啊,一人一个 Timbl 钦定的 WebID https://learnsolid.cn/
    NBOne
        54
    NBOne  
       2018-12-13 11:54:50 +08:00 via Android
    密码存在客户端还不比存在服务端安全的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:29 · PVG 22:29 · LAX 06:29 · JFK 09:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.