身份認證的革命

“活了一輩子，發現自己只是活出了幾個賬號。”就像網絡上一篇文章的題目那樣，在互聯網世界里，你是由你的ID與一連串數據組成的。

身份認證與個人數據安全是互聯網公司需要面對的長久議題，但移動互聯網讓它們有了變數。iPhone 5S推出了Touch ID，與郵箱地址相比，它是一個讓數據與本人嚴格匹配的ID，而在手機完全成為私人財產的今天，個人數據越積越多，隱私也更容易被竊取，數據安全面臨嚴峻挑戰。

而這些新方式與新挑戰，勾勒出一個更有顛覆性（或者破壞性）的場景：通過對個人數據的挖掘利用，互聯網可以是完全個性化的；指紋識別、虹膜識別等生物識別技術讓人們擁有新的“身份證”，移動支付、智能產品操控會變得異常便捷；從隱私的角度，你還可以將個人數據通過一些產品鎖起來。或許在未來，走進一家星巴克就可以瞬間實現自動付款，注視一款新型智能機就可以將自己的數據全部導入。

這種既便利又科幻的生活，聽起來是大勢所趨，但與數據安全相關的話題總是充滿爭議，更像是巨頭的游戲，甚至成為社會基礎設施中的一部分。創業公司能否分一杯羹？

生物識別：有望成為標配

代表產品：iPhone 5S、GALAXY S5、KeyLemon、Nymi、音付、FIDO

手勢、指紋、人臉、眼球、聲音這些方式都能夠識別出獨一無二的你。iPhone 5S中引入了Touch ID，蘋果為此收購了指紋感應器制造商AuthenTec；三星GALAXY S5將會通過虹膜掃描解鎖；瑞士初創企業KeyLemon可以鑒別用戶的臉和聲音；加拿大實驗室推出的Nymi能夠通過心電圖感應器來檢測用戶的心跳頻率；中國天津的“音付”可以將用戶的語音口令存入個人數據庫來進行確認，目前已經應用于話費、網費、快速支付和轉賬。

每種識別方式都可以衍生出幾種解決方案，有個名叫FIDO（Fast Identity Online）的聯盟希望提供一套完整、標準的身份解決方案，成員包含了聯想、黑莓、LG、Paypal等軟硬件公司，下一步將說服蘋果進入。而對于Touch ID的另一種猜想是，它會成為標配，向其他App打開接口。

移動支付與智能產品操控：認證之后，可適用于各種場景

代表產品：PayPal、Google Glass、挖財

在完成認證之后，最容易聯想到的應用場景是移動支付，它會使支付更簡便、更安全。PayPal正在測試人臉識別，據說支付寶也在考慮加入生物識別元素。

而更進一步的授權與操控，應用面非常廣泛。Google Glass會采用視覺認證機制來操控通過WiFi聯網的智能家居，但如果加入了虹膜認證，還可以授予不同操作者以不同權限。還有汽車產業，車主走到汽車旁自動認證并打開車門，也并不是神話。

加密與密碼管理：做移動智能設備的“保安”

代表產品：1KEY、GalaRing、Aptiq、微護照、認證寶、手機密令

一些產品正在借助移動外設來進行加密，以保護你的信息安全。1KEY是一款藍牙接口外設，可以輔助進行用戶身份識別，備份和恢復手機通訊錄等隱私信息；一款名叫GalaRing的智能戒指可以通過觸碰帶有NFC功能的智能手機進行程序鎖定，將隱私信息鎖起來禁止他人應用。

通過軟件來加密，也可以做到對用戶各種密碼的管理，甚至替代。認證管理公司Aptiq的加密工具是一個虛擬密鑰，國內創業公司認證寶、微護照的加密工具是動態二維碼。或者通過軟件來構建通用賬號平臺，手機密令是一款聚合型手機令牌產品，可以在一款App中同時管理淘寶、人人、財付通等社交平臺與支付平臺的賬號，希望達到一個身份登陸所有產品的效果。這些模式也有望與生物識別結合。

打造設備的身份庫：只跟蹤智能設備，不跟蹤人

代表公司：通付盾

這類產品的初衷往往是為金融機構提供風控管理。追蹤用戶的支付記錄會觸及用戶隱私，中國企業“通付盾”構建了一個“網籍庫”，為每一臺PC、pad、手機等智能設備進行編碼，收集其所在網絡、操作系統、使用習慣的信息，通過分析設備行為，控制支付風險，為了與支付對接，它開發了多種認證方式。

自白

蘋果推Touch ID是在搶底層

顧晨煒：挖財總裁

通過更電子化、智能化的方式去做認證，肯定是趨勢。挖財內部剛剛發起了一個項目：想讓用戶在我們的App里買基金，想要完成這種大額、遠程、“無磁”支付，必須提前認證。在認證之前，這盞象征安全的燈是暗的，認證之后就亮了，但亮的程度有很多種。我們可以自己做，可以和Touch ID對接，或者找公安部、移動運營商對接身份證號與手機號碼，甚至推給基金公司去做后續的認證工作。但毫無疑問，這盞燈的亮與暗之間的區別非常大。

認證這件事情，是所有做支付、電商、社交的公司都需要考慮到的。其中的悖論是，大家都要在安全和便利性之間找平衡，想要安全就導致不便利；如果要便利，就無法確定百分之百是你，很難判斷“屏幕對面的是人還是一條狗”。

尤其是在手機上，大家還在做新的嘗試。Touch ID的推出讓我覺得蘋果非常聰明。10年前，我還在Capital One（美國一家基于數據挖掘成長起來的信用卡公司）做風險控制，大家開會時冒出過很多點子，通過每個人特有的指紋、音調甚至氣味來認證。我認為Touch ID可以接上無數種應用，在使用App進行一些特定操作的時候，直接加上一步，讓用戶驗證指紋。

而且蘋果在搶底層，它太厲害了。一旦生物認證做起來，蘋果、英特爾、思科這些公司都會介入，它們會做得非常底層，放到芯片里面，就沒人能超越了嘛。以前我認為，創業者只要拿出很牛的技術、硬東西就會成功，進入互聯網行業才發現，成功是個概率事件，97%以上的創業公司都在專注做一件事，如果沒有巨頭收購，也許就死掉了。

當然也有別的可能，例如可以提煉出很多認證的層級，創業公司可以做SDK，或者有資源的創業者去做一套中國特有的標準。但認證是更容易被“大家伙”做的事，甚至由國家來建立標準，你吭哧吭哧做半天，萬一人家不認怎么辦？

創業公司想推動一個認證體系，幾乎不可能

張沖：安天實驗室、Maker-X團隊創始人

GalaRing相當于一把鑰匙，可以通過NFC與手機之間交換信息。現在大家在手機上用的九宮格密碼或者數字密碼，其實強度比較弱。如果用戒指，把輸入簡化，利用NFC芯片在觸碰的同時能夠傳遞高位數密碼，就比較難破解。

現在手機上，尤其是Android機上面的安全機制不太好，安裝App之后，不經意間通信錄、短信等信息就會被傳到云端。在iOS上是信息只傳給蘋果，如果蘋果不濫用就問題不大，但是Android就很難，會傳到黑客那里，黑客會把數據轉賣。安天是一家反病毒引擎技術供應商，一直處于“安全圈”內，我們清楚這種交易很多，在中國尤其嚴重。

目前在網上，比較流行通用賬號體系，用QQ號、新浪微博可以登錄的地方非常多，而且巨頭之間實際上有一套通用賬號體系的協議，可以根據自己的業務放一些權限給其他公司，即使兩家公司有競爭，之間也有數據和權限的分享。再比如，以前微博和阿里的數據是割裂的，現在有些數據庫就是打通的。

我聽說國家層面也在推動一套eID（網絡身份認證），如果以后變成國家大力推，那我們每個人都會有一個ID，它可能直接跟QQ號等等互聯。所以這是一個極大的生意，就像發放身份證。

GalaRing現在還是發燒友玩的東西，我們想和一些有自己賬號體系的公司去談，把這個東西變成它們體系里的一部分。假設與小米聯合出產品，在GalaRing里面把小米的賬號綁定進去，就變成MI系列的ID了，整個體系都可以用這個東西保護。這種方式更現實一些，我們自己想推動一個體系幾乎是不可能的。

目前這個階段，個人認證與數據安全都需要關注，我個人認為這個階段是必然要走的，越來越多的地方需要互聯網服務，如果沒有方便安全的認證，很多業務和體驗都沒法做到極致。蘋果推出指紋認證，它的產品覆蓋面又這么大，因而可能在這一塊兒取得一定的主導權。

點評

個人數據可能會越來越開放

蔡金：GuruDigger創始人

GuruDigger幫助互聯網企業尋找靠譜的技術人才，方法是在工程師授權自己Email及社交賬戶之后，通過API及賬戶授權，在一些技術論壇及社交網絡中獲取工程師的個人數據，推薦給招聘企業。

關于移動設備上的生物認證，我個人研究不太多，但是從互聯網上的個人數據方面，我認為大家對隱私的界定以及介意程度都在變化。

在互聯網上獲取個人相關數據的方式有很多種，例如軟件利用cookie記錄用戶的動作。以瀏覽器舉例，理論上，只要你打開它，訪問各種網頁的信息都緩存在服務器里面；還有像我們這樣在網上爬數據；移動互聯網的SDK也會收集到一些數據。

利用這些個人數據，不一定會構成對隱私的侵犯，反而可以形成新的模式。例如，早期Gmail推出的時候，谷歌稱會掃描用戶郵件內容，利用自然語言分析判斷內容，推送廣告給用戶，當時很多人反對，現在多數人都不在乎。Facebook這些大公司一直在修改服務條款，GuruDigger的模式是通過ID和email來爬你在互聯網上的腳印，但它們未必和隱私有關。換句話說，某張隱私圖片被放到網上了，很可能被別人利用，但責任在于那個把圖片放到網上的人。

個人數據甚至會越來越開放。幾年前是沒有“開放平臺”的，每家公司的數據完全不會泄露，社交開放之后，現在開發者可以通過豆瓣、Twitter的API接口，導出與用戶相關的信息。例如，豆瓣可以把你看過的書、電影、說過的話都導出來，目前豆瓣比較開放，新浪微博、人人網稍封閉一些。

Email依然是PC互聯網上的重要認證，我們通過那幾家的API導出數據時，需要獲取到工程師的email，發給對方來提取。Email是可驗證的。指紋、人臉等生物識別技術，在我看來也相當于給你一個ID，每次識別的時候再去比對。

但隱私永遠是值得討論的議題，最近火起來的Snapchat不就號稱防止隱私泄露嗎？

現實社會的行為數據，在網上也會變得容易獲得

劉二海：君聯資本董事總經理

人的一生花在自我介紹上的時間著實不少，有了身份，還需要識別身份。現實世界中，識別個體的生物身份最可信賴的應該是DNA檢測，但并不容易。于是就出現了很多替代方式。生物方法包括指紋、面部、眼底等。密碼及鑰匙是最古老的方法。

由于網絡的虛擬特性，自然引出了身份識別的新問題，我認為網絡上一切活動的開始，都是身份，匿名也是一種身份，正如現實社會中一樣，身份是社會運作的基礎。

身份識別要求便捷和安全。兩者之間是有矛盾的，通過手機識別身份是便捷的方式，但我們必須考慮手機丟失帶來的安全問題。

一旦身份在網絡能夠識別，則很多業務可以通過網絡完成。最基礎的自然是與財富相關的業務，如網絡購物、網上支付、網絡匯款等。

另外，社交網絡也成了人們了解對方的一個重要途徑。據說，很多大學招生錄取學生，單位招收員工、高管，都要研究其在Facebook和Twitter上的言論。也就是說，身份識別會與網上行為分析相結合。

可以預見的是，其一，身份識別的技術會越來越先進，諸如指紋、面部、密碼、加密裝置等，一旦加密技術打開大門，網絡對現實世界的滲透會越來越廣泛；其二，社交網絡的發展以及日益增多的網上活動，為個人網絡行為分析提供了可能，這也是所謂的大數據分析；其三，現實社會的行為數據在網上也會變得容易獲得，比如個人信用調查、個體資格查詢（如：畢業證、學位證）等；其四，移動互聯網迅速發展，手機外設成本降低，手機會在身份認證中扮演重要角色；其五，網絡越重要，網絡安全和隱私也會變得越受關注；其六，與身份認證相關的業務技術性強、應用廣泛、市場容量大，往往會出現贏者通吃或少數玩家勝出的局面。