Domanda:
Perché non utilizzare un ID nazionale come nome utente per ogni sito web?
Arman Malekzadeh
2017-10-16 22:46:24 UTC
view on stackexchange narkive permalink

Ogni giorno visitiamo molti siti web, incluso il sito web della nostra università, forse Google, Yahoo e così via. Ma su ciascuno di essi abbiamo un nome utente univoco, mentre ogni persona in un paese può avere un "codice nazionale" tale che nessuna persona condividere un codice. Quindi, potrebbero usare il loro codice nazionale come nome utente su ogni sito web.

Perché no? Perché non è questa la situazione? Non sarebbe meglio se avessimo un nome utente per tutti i siti web del mondo? Ha qualcosa a che fare con la sicurezza?

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/67267/discussion-on-question-by-arman-malekzadeh-why-not-use-a-national-id-as-nome utente).
Per curiosità: come è nata questa idea in primo luogo?
"Non sarebbe meglio se avessimo un nome utente per tutti i siti web del mondo?"Ehm, no?
+1, perché sebbene sia certamente una domanda ingenua, ho sentito cose simili da molte persone.
Quindi per cose come la tua banca, l'autorità fiscale, la firma di contratti, c'è qualcosa in Svezia chiamato mobileBankId.Dai il tuo numero di identificazione al sito Web, quindi per magia una richiesta di verifica di te stesso arriva all'app sul tuo telefono.Non l'ho visto per servizi più "frivoli".È come una versione più cauta del Single Sign-On.
https://www.digid.nl/en/
Indirizzo e-mail, connessione a Twitter, connessione a Facebook ecc.Sono modi in cui puoi già farlo ...
Alcuni siti Web che utilizzano i beacon lo stanno già facendo per tenere traccia dei comportamenti di navigazione delle persone.Il software che tenta di bloccare questi tentativi è ampiamente disponibile e utilizzato da persone che lo considerano un'invasione immorale della privacy.Ci sono molte persone che non vogliono che tutti i loro account siano legati a una singola persona e in effetti piace che le loro azioni su un sito web appaiano separate dalle loro azioni su un altro.Saresti felice che la tua università sapesse quali siti web porno visiti o quali odiosi insulti usi su 4chan?
Bene, Facebook, Google e simili stanno già stabilendo ID nazionali di Internet per il single-sign-on.E sono i migliori esempi del perché questa è una cattiva idea il modo in cui funziona in questo momento.Le istituzioni centrali hanno potere sulla tua identità e la usano per monitorare ogni tua mossa.Inoltre, potresti voler cambiare la tua identità di tanto in tanto, ma con questo meccanismo, non dovresti o non sei autorizzato a farlo.Facebook e Google hanno politiche sui nomi reali per aiutare Cina e Stati Uniti a perseguirti per aver parlato apertamente (noto come incitamento all'odio).
E se il tuo paese non ha documenti d'identità nazionali?
Anche i SSN statunitensi hanno pochissima entropia ora.Per motivi fiscali i genitori ora ottengono rapidamente un SSN per i loro figli e si basano su posizione, cognome, data di registrazione e un contatore non sequenziale.
Mancata la finestra temporale per la modifica ... dati solo il cognome, la città (o solo lo stato?) Di nascita e la data di nascita, alcuni ricercatori affermano di essere in grado di indovinare in modo affidabile il SSN della persona fino a una manciata di possibilità.Prima che l'IRS richiedesse il SSN per tutte le persone a carico dichiarate, molti genitori lo rimandavano fino a quando il figlio più grande non raggiungeva la prima elementare, quindi la data di nascita e il numero di sequenza (basato sulla data di registrazione) erano molto meno strettamente collegati, per non parlare dei genitori che si trasferivano nel frattempo.
All'inizio, crea un account Gmail.Con questo account registrati facebook.Quindi avrai quasi tutti i siti Web a cui collegarti con questi due account.Se non riesci a connetterti con Gmail o Facebook a un sito Web, non registrarti lì.
Pensa a tutti i luoghi in cui hai creato un account (tutti).Ora immagina di utilizzare lo stesso nome account di tutti loro.Ora immagina che sia possibile sapere se un dato nome utente esiste su un particolare sito web.
Tredici risposte:
#1
+271
Philipp
2017-10-16 23:22:15 UTC
view on stackexchange narkive permalink
  1. Privacy . La possibilità di collegare ogni account utente a una persona fisica significherebbe la fine dell'anonimato su Internet. Forse non hai nulla da nascondere, quindi questo non ti preoccupa. Ma come disse Edward Snowden: "Sostenere che non ti interessa il diritto alla privacy perché non hai nulla da nascondere non è diverso dal dire che non ti interessa la libertà di parola perché non hai niente da dire" .
  2. Non tutte le persone sul pianeta avrebbero un numero di identificazione nazionale. Ci sono paesi nel mondo che non forniscono numeri di identificazione ai propri cittadini. In alcune regioni del mondo, la registrazione della residenza è nella migliore delle ipotesi o inesistente. Le persone di questi paesi non potrebbero più utilizzare attivamente Internet. Inoltre, ci sono casi limite come apolidi, persone con più cittadinanze o persone provenienti da territori contesi.
  3. In quei paesi che hanno numeri ID, hai il problema di provare che qualcuno è effettivamente il proprietario di un numero ID . Poiché il tuo numero ID è di dominio pubblico, potrei usarlo per registrarmi a tuo nome su qualsiasi sito web che voglio, rubando così la tua identità.

    Una soluzione a questo problema sarebbe un servizio di autenticazione supportato dallo stato (qualcosa come OAuth). Ma considerando quanti governi ci sono nel mondo, sarebbe impossibile concordare uno standard di protocollo che sia supportato da tutti in tutto il mondo. E se riesci in qualche modo a convincere i circa 200 governi nel mondo a collaborare a qualcosa (un'impresa degna di un premio Nobel per la pace), ora dai loro una tremenda responsabilità. Non solo potrebbero impedire molto facilmente ai propri cittadini di utilizzare i servizi che non gradiscono non autenticandoli più, ma potrebbero anche impersonare i propri cittadini su qualsiasi sito web.

Non dimenticare l'hacking: diciamo che crappysite.com ha una perdita: ora posso [invertire la forza bruta] (https://en.wikipedia.org/wiki/Brute-force_attack#Reverse_brute-force_attack) su tonnellate di altri siti utilizzandola password trapelata e il tuo ID globale (perché il riutilizzo della password è comune).
E per quanto riguarda la privacy, considera l'assoluto field day che gli inserzionisti avrebbero correlato l'attività su diversi siti web.Non devono più ricorrere al rilevamento delle impronte digitali!
@Blackhawk Non ho trovato nessuno dei due punti che valesse la pena aggiungere perché è davvero solo un leggero aggiornamento sui problemi che abbiamo già.Collegare gli account tra loro quando si hanno tutte le informazioni personali disponibili su entrambi i siti non è in realtà molto difficile e i tracker pubblicitari sono già in grado di tracciare la maggior parte degli utenti di Internet in modo molto affidabile.
Vero, ma immagino che l'OP potrebbe non essere a conoscenza dei dettagli delle PII come dominio di sicurezza delle informazioni, quindi ho scelto gli esempi pratici.Anche +1 per aver suggerito la gestione delle identità federate - Penso che l'OP potrebbe essere interessato a controllare specificamente [Google Identity Platform] (https://developers.google.com/identity/) o altri [esempi] (https: // en.wikipedia.org / wiki / Federated_identity # Esempi).
@Blackhawk Per essere onesti, la maggior parte delle persone usa lo stesso indirizzo e-mail e / o nome utente, quindi il primo problema esiste già, solo su scala minore.
Potresti dare l'esempio specifico degli Stati Uniti al punto 2.
@OganM Gli Stati Uniti hanno i loro numeri di previdenza sociale.Sebbene non siano mai stati concepiti come identificatori univoci per ogni cittadino, sono de facto utilizzati come tali.
non tutti i cittadini ne hanno uno però.anche se sono rari esistono.
Aggiungi governi corrotti a questo rilascio di numeri ID falsi e errati.Visto questo prima.
Gli SSN di @Philipp: sarebbero * terribili * per questo perché abilitano direttamente il furto di identità.Se hai intenzione di collezionarli, devi avere un livello di OpSec sostanzialmente superiore a quello previsto dall'OP.
@Kevin: gli SSN consentono il furto di identità solo perché le persone li usano impropriamente come autenticatori.Questo dovrebbe essere fermato dal governo degli Stati Uniti che fornisce un sito Web che consente a chiunque di cercare il nome SSN di una persona e il DOB (ma * non * per eseguire la ricerca inversa).
La discussione sulle carenze dei numeri di previdenza sociale degli Stati Uniti come fattori di autenticazione e su come correggere quel sistema è certamente interessante, ma non proprio rilevante per questa risposta.
Ho sempre amato quella citazione - [Jean Michel Jarre & Edward Snowden - Exit] (https://www.youtube.com/watch?v=YNESMafb5ZI)
Nell'ultimo paragrafo, almeno un paese non sarebbe d'accordo con una cosa del genere, la Corea del Nord.Saranno due se conti anche la Repubblica Cinese.
Tutti hanno qualcosa da nascondere.Forse stai prendendo una settimana di vacanza e non vuoi che i ladri sappiano quando la tua casa / appartamento sarà vuoto quella settimana.O forse non vuoi che le persone nel tuo quartiere sappiano che hai $ 10.000 di attrezzature fotografiche installate nel tuo garage.Eccetera.
@StephanBranczyk che fa un caso migliore rispetto alla citazione di Snowden.
Il problema con la citazione di Snowden è che in un certo senso, beh, si ritorce contro (gioco di parole): * "Non mi interessa il diritto di portare armi perché non ho nessuno che voglio uccidere" * sicuramente volerebbe nel mio libro.
In Belgio al momento è in vigore una legge secondo cui conservare l'ID nazionale nei database è illegale a meno che non li usiamo effettivamente per qualcosa.E anche usarlo come identificatore univoco non è consentito.
@Lyrion, sicuramente è già illegale memorizzare i numeri di identificazione nazionale delle persone nei database se non vengono utilizzati, ai sensi dell'attuazione belga della direttiva sulla protezione dei dati dell'UE 95/46 / CE?
Non farei mai affidamento sulla legge per proteggere la mia privacy.Chi viola la mia privacy spesso non conosce o non si cura della legge.Coloro che dovrebbero far rispettare la legge raramente hanno le risorse o la comprensione tecnica per fermarli.Coloro che dovrebbero mantenere le leggi aggiornate con gli sviluppi tecnici ricevono tutti i loro consigli dai lobbisti del settore che si preoccupano solo degli interessi economici.
@Blackhawk Un tale sistema (se fosse ben progettato) non userebbe password per i singoli servizi.L'accesso sarebbe invece concesso tramite un token di accesso emesso dall'autorità centrale, specifico per il servizio a cui si accede.Una perdita (idealmente) non rivelerebbe nulla di valore al di fuori dei dati per quel servizio.
#2
+84
user15392
2017-10-16 23:08:08 UTC
view on stackexchange narkive permalink

Non puoi:

  • avere più account separati (ad es. account professionali e personali separati o un account parodia separato)

  • avere un account veramente anonimo

  • avere un account se sei un apolide o da un paese che non ha un documento d'identità nazionale, o troppo giovane o altrimenti non idoneo per avere un documento d'identità nazionale

  • consentire ai programmi di identità nazionale di mai cambia (o riemetti i numeri)

Il meraviglioso eufemismo * "racconto parodia" * merita un * "parodico" * su :-)
Eufemismo @peterh?Gli account parodia (almeno su siti come Twitter e Reddit che non cercano di applicare la politica per un utente e un account) sono esattamente questo.Ecco un esempio (avviso: lingua): https://twitter.com/nihilist_arbys?lang=en
Caro Dio, perché qualcuno non pensa ai [pupazzi di calza] (https://en.wikipedia.org/wiki/Sockpuppet_ (Internet))!;) +1
Per aggiungere a ciò: non puoi garantire che i documenti d'identità nazionali siano univoci in tutto il mondo.
#3
+55
Relaxed
2017-10-17 03:06:59 UTC
view on stackexchange narkive permalink

In alcuni paesi, è semplicemente vietato utilizzare gli ID univoci più importanti in database diversi da quelli per cui era stato originariamente concepito. Ad esempio, potresti ottenere un documento d'identità per il sistema di assicurazione sanitaria statale, che l'ufficio delle imposte non è autorizzato a utilizzare e viceversa. Tutto ciò per garantire la privacy e rendere più difficile il confronto incrociato dei database con le informazioni personali.

In effetti, i requisiti dell'UE in materia di informazioni personali stanno diventando più severi e tutte le società che hai menzionato hanno già problemi a garantire la conformità con le loro approccio attuale. Questo da solo è un motivo sufficiente per evitare i numeri di identificazione nazionali come la peste.

In effetti, vale la pena sottolineare che il Registrar per la protezione dei dati del Regno Unito (ora noto come Information Commissioner) ha emesso una guida secondo cui sarebbe stato preso in considerazione l'utilizzo del numero di assicurazione nazionale del Regno Unito come identificatore univoco per qualsiasi applicazione in cui non è strettamente necessario raccoglierlo.una violazione del principio imposto dalla legge secondo cui "[p] i dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità o alle finalità per le quali sono trattati."E questo era basato sulla versione del 1984 del Data Protection Act.Oggi è molto più severo.
Questo è un punto importante e il motivo è che la cosa più pericolosa per la libertà individuale è attraversare diversi database.Questa è la preoccupazione francese * Loi informatique et liberté * (legge sull'informazione e la libertà) e questa è la logica alla base della regolamentazione dell'UE.
@Jules Sento un ritrovato calore nei confronti del Commissario per le informazioni!
1984. Le persone che hanno deciso di modificare quella legge hanno apprezzato molto la loro ironia.
@Jules che impedisce al sito di raccoglierlo, ma non impedisce all'utente di offrirlo.Diventa "rilevante" quando lo offri come ID utente.
@UKMonkey Puoi usare quello che vuoi come nome utente.Puoi usare il tuo NIN come vuoi, e nessuno è nei guai.Si mettono nei guai quando, invece di darti una casella Nome utente, ti danno una casella che richiede di inserire il tuo NIN.
@Tim - corretto, questo è quello che ho detto.
#4
+21
Mike Scott
2017-10-16 23:01:13 UTC
view on stackexchange narkive permalink

Oltre alla sicurezza, ci sono anche enormi problemi di privacy. Probabilmente non vuoi che Facebook e Pornhub siano in grado di confrontare le note e collegare il tuo account Pornhub al tuo account Facebook. E, naturalmente, qualcuno potrebbe voler creare due account diversi, ma ha solo un ID.

E se fosse il nome utente della mia università?Perché non utilizzare il mio codice nazionale come nome utente dell'università?
@ArmanMalekzadeh Forse sei uno studente straniero e non hai ancora un documento di identità nazionale.Forse sei un amministratore di sistema e hai bisogno di un account utente non privilegiato a scopo di test, oltre al tuo account amministratore.Forse l'università non vuole che la polizia segreta sia in grado di vedere facilmente cosa hanno fatto il loro staff e gli studenti.E così via e così via.
@MikeScott Quel commento dovrebbe davvero andare nella risposta.
Non hai bisogno del collegamento tramite un documento d'identità nazionale per far sparare la tua privacy all'inferno.Il semplice vecchio ML e il riconoscimento facciale lo faranno per te.[Facebook collega il tuo profilo di lavoratrice sessuale a quello "civile"] (https://gizmodo.com/how-facebook-outs-sex-workers-1818861596) e [L'identificazione degli attori di PronHub potrebbe essere un problema per il sesso "amatoriale"attori] (https://motherboard.vice.com/en_us/article/a3kmpb/facial-recognition-for-porn-stars-is-a-privacy-nightmare-waiting-to-happen), collegamenti tramite [Bruce Schneier](https://www.schneier.com/blog/archives/2017/10/technology_to_o.html).
* Forse sei uno studente straniero e non hai ancora un documento d'identità nazionale * o ne hai uno da casa ma è nel formato sbagliato (come codici postali, immatricolazioni di veicoli)
@StephanKolassa Il tuo commento è piuttosto facile da interpretare erroneamente come * attori sessuali "amatoriali", ** come ** Bruce Schneier.* che invece cambia il significato!
@StephanKolassa Solo perché qualcuno può ucciderti con un coltello non significa che dovresti dargli una pistola;)
Ora voglio vedere un caso in cui qualcuno indossa [questi] (https://www.theverge.com/2016/11/3/13507542/facial-recognition-glasses-trick-impersonate-fool) e qualcuno salta la pistola epubblica che era una prostituta quando sorpresa!Erano solo degli occhiali stravaganti.
@MikeScott Il resto delle tue obiezioni sono, ovviamente, valide, ma non c'è motivo per cui un amministratore non possa avere un account di prova senza privilegi con un nome utente che non è un ID nazionale.
#5
+17
JimmyJames
2017-10-16 23:24:48 UTC
view on stackexchange narkive permalink

In realtà abbiamo un caso molto pertinente sul motivo per cui questa non è una buona idea. Negli Stati Uniti disponiamo da tempo di un sistema di reporting del credito basato sull'ID nazionale. La presunzione (assurda) era che se conosci l'ID nazionale di una persona e il suo nome, data di nascita ecc., Devi essere quella persona. Il problema con questo è che scoprire l ' ID nazionale di qualcuno sta diventando sempre più banale. Il risultato è che le persone impersonano regolarmente altri per guadagni illeciti. I problemi per l'effettivo proprietario di quell'ID possono essere davvero grandi.

Questa idea che stai proponendo in realtà contribuirebbe ancora di più a questo problema, ma non è proprio questo il punto che sto facendo qui. Cambiare la tua identità nazionale è molto difficile nella maggior parte (tutti?) Paesi. Una volta che qualcuno ha queste informazioni, è utile per un lungo periodo di tempo e vittime di questa lotta per decenni per affrontare tutti i problemi costanti come le agenzie di recupero crediti che li chiamano al lavoro o terrorizzano le loro famiglie. Di recente ho sentito parlare di una donna la cui carta d'identità è stata rubata e usata da un'altra donna che stava andando in prigione.

I problemi con questo tipo di sistema sono molto simili all'uso della biometria. Se la mia impronta digitale è il mio ID e qualcuno può riprodurla, allora tutto ciò che tocco sta potenzialmente rivelando la mia identità a un ladro. Le persone possono persino toglierlo da una foto come nel link sopra. Semmai, dobbiamo evitare l'uso di tali ID non modificabili.

Vedi anche ** [Your Unhashable Fingerprints Secure Nothing] (https://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/) **, che è abbastanza pertinente.
#6
+7
Trickycm
2017-10-16 22:59:07 UTC
view on stackexchange narkive permalink

Sono numerosi i motivi per cui questa è una cattiva idea. Eccone alcuni che mi vengono in mente.

  • Se tutti avessimo lo stesso nome utente per ogni servizio, ora esiste un DB di tutti i nomi utente (che sarà trapelato o compilato alla fine) . Ora devo solo preoccuparmi di ottenere la tua password. Questo crea il più grande DB di enumerazione del nome utente mai creato.
  • Posso iscrivermi a qualsiasi numero di servizi con il tuo userid. Alcuni servizi potrebbero utilizzare la verifica tramite posta elettronica e altri no.
  • Più informazioni uniche ho su di te, più facile è il furto di ID. Potrei combinare le iscrizioni al servizio per creare un intero altro utente digitale basato sul tuo ID globale.
  • Sarebbe il miglior ID di monitoraggio degli annunci mai creato. Puoi collegare tutti gli account / l'utilizzo di Internet insieme per creare un super profilo pubblicitario.
#7
+7
barbecue
2017-10-17 21:16:56 UTC
view on stackexchange narkive permalink

Altre risposte coprono molto bene le preoccupazioni sulla privacy, l'autenticazione e la disponibilità, ma c'è un altro problema più pragmatico con questo approccio: è semplicemente troppo difficile da implementare dal punto di vista tecnico.

Gli ID nazionali di diversi paesi spesso si sovrappongono tra loro. Ci sarà un numero enorme di collisioni, in cui due persone di paesi diversi hanno lo stesso identico numero. Esempio: US SSN è un numero di 9 cifre. Anche il numero di assicurazione sociale canadese è un numero di 9 cifre. Il Canada SIN include una cifra di controllo, ma anche così il numero di possibili collisioni è ancora di milioni.

Per evitare ciò, le persone dovrebbero specificare sia il numero ID nazionale CHE il paese. Ma come presentano queste informazioni le persone?

  • Hai due campi separati, uno per il paese e uno per l'ID? Se è così, hai appena complicato notevolmente i requisiti del database e del software per tutti nel mondo.
  • Hai un campo in cui unisci due valori insieme?
  • In caso affermativo, come rappresenti il ​​paese? (Codice ISO alfa? Codice numerico ISO?
    Qualcos'altro?)
  • Come concatenare i valori? Prima il paese, poi l'ID? C'è un delimitatore? Se è così, che cosa è?
  • Come gestisci il fatto che lo stesso ID può essere rappresentato con formati diversi? Alcuni numeri usano trattini o punti, altri usano spazi, ecc.

  • Cosa succede quando un paese viene rilevato da un altro paese o un paese si divide in due?

  • Cosa succede quando le persone si spostano da un paese all'altro o cambiano la cittadinanza?
  • Chi gestirà tutta questa complessità? Chi paga per tale gestione?
  • Come gestisci paesi che mantengono più tipi di ID, numeri di previdenza sociale, numeri di elettori, codici fiscali, ecc.?
  • Cosa succede quando un paese cambia il proprio sistema di identificazione nazionale? ( questo sta accadendo abbastanza frequentemente negli ultimi anni)
  • Chi gestirà tutta questa complessità? Come applichi le regole?

Indipendentemente da qualsiasi altra preoccupazione, questa soluzione è controproducente, poiché non semplifica nulla, aggiunge molta complessità.

"Gli standard sono meravigliosi. Ce ne sono così tanti tra cui scegliere!"
@Shadur https: // xkcd.com / 927 /
#8
+3
Stig Hemmer
2017-10-17 15:51:38 UTC
view on stackexchange narkive permalink

Case study: Norvegia.

La Norvegia ha numeri di identificazione nazionali. E li usiamo per tutto.

Il lato positivo è che rende tutto facile . Non devo fare la dichiarazione dei redditi perché l'ufficio delle imposte sa comunque tutto. Ogni volta che parlo con qualche ufficio governativo, do loro il numero di identificazione e loro sanno automaticamente il mio nome, indirizzo, età e tutto il resto, senza errori di battitura. Lo stesso vale per banche, compagnie di assicurazione e altre attività "meritevoli". (Non sono sicuro di come si qualifichino come "degni", ma ce ne sono molti)

Anche le aziende "indegne" conoscono i numeri ID dei loro dipendenti per segnalare il loro reddito all'ufficio delle imposte.

La direzione del mio complesso di appartamenti conosce il mio numero ID. Sono sicuro che lo segnalano a qualche ufficio governativo.

In teoria i numeri ID sono segreti, in pratica non lo sono. Sono ovunque, come potrebbero essere segreti?

Le banche hanno collaborato per creare un sistema di autenticazione per il banking online. Questo utilizza una combinazione di un dongle che crea password monouso e una password memorizzata.

Il governo ha accettato questo sistema, quindi utilizziamo lo stesso dongle / password anche per i siti web del governo.

Abbiamo leggi severe su come devono essere trattati i database contenenti questi numeri. A giudicare dai titoli dei giornali, queste leggi sono spesso violate in piccoli modi ma raramente in modo ampio.

La privacy è violata spesso , ma raramente si tratta di dati importanti. Banche dati dei clienti e simili. Sono sicuro che gli addetti al marketing sbavano su questi dati, ma non perderò il sonno su questi dati.

So che altri non saranno d'accordo.

Dati importanti, come le cartelle cliniche, sono in realtà custodito in modo abbastanza competente. Lo svantaggio di questo è che diversi ospedali e simili hanno problemi a scambiare dati.

Il furto di identità è raro, sempre a giudicare dai titoli dei giornali. Sospetto che ciò sia dovuto al fatto che la Norvegia è così trasparente che il ladro avrà problemi a nascondersi dopo che il furto di identità sarà scoperto.

"In teoria i numeri ID sono segreti" È così in Norvegia?In Svezia sono pubblici: basta entrare in un ufficio delle tasse e chiedere e saranno felici di darti la carta d'identità per chiunque.
@Anders Sei sicuro?
@gerrit Sono sicuro per la Svezia.Forse c'è un'eccezione per le persone con "identità protetta", ma per le persone in generale puoi semplicemente ottenere il loro numero di identificazione personale contattando un ufficio delle imposte.
Il Cile è simile: il numero ID chiamato RUT (Rol Único Tributario) viene utilizzato essenzialmente per tutto, dai contratti legali alle tasse, allo shopping online, all'email degli studenti, ai punti Nectar, ecc. A differenza della Norvegia, i numeri RUT stessi sono di dominio pubblico e lo sonodistribuito in ordine, in modo che (esclusi gli immigrati) qualcuno con il RUT 20.000.000-1 sia più vecchio di qualcuno con 23.000.000-1
@Anders Vivevo in Svezia e sicuramente ho trovato persone protettive (ma non iperprotettive) nei confronti del loro * personnummer *, con fughe di notizie che facevano notizia.
@Anders Aspetta.Puoi entrare in un ufficio delle imposte e ottenere il numero ID di qualcuno o solo il tuo?Vale a dire, se voglio ottenere il _tuo_ numero, devo impersonarti (il che è rischioso, probabilmente illegale e potrebbe richiedere che io sappia parecchio su di te) o posso semplicemente entrare e dire "Ciao, sono David. Qual è il numero di Anders? "
Ho appena cercato su Wikipedia norvegese e svedese, e questo * è * diverso in Svezia e Norvegia.In Svezia questi numeri sono informazioni pubbliche, in Norvegia sono presumibilmente segreti.Penso che la Svezia ne abbia il diritto, mantenere questi segreti è semplicemente troppo difficile.
@DavidRicherby No, non c'è bisogno di mentire.Dì solo "Vorrei il numero ID di Stefan Löven, per favore."e ti daranno felicemente la carta d'identità del primo ministro.Inoltre, è solo una funzione della tua data di nascita, sesso, luogo di nascita più un contatore, quindi c'è comunque pochissima entropia.Mantenerlo segreto è assolutamente inutile.
@DavidRicherby Non c'è bisogno di entrare in un ufficio.Chiamali al telefono.Non è necessario fornire il proprio nome o qualsiasi motivo per la richiesta;un nome completo e un indirizzo per chiunque (in modo che possa trovare la persona in questione) ti darà il numero ID di chiunque.Molte persone sembrano non rendersi conto che è così.
@MichaelKjörling OK, ma se deve essere fatto di persona, per telefono, per e-mail, per lettera, per fax o qualsiasi altra cosa non è stata la parte significativa della mia domanda.
"E li usiamo per tutto." Non è vero.È usato per cose come banche, assicurazioni, ufficio delle imposte, ospedali, patente di guida - certo.Ma assolutamente non "tutto".
#9
+1
gerrit
2017-10-17 15:57:34 UTC
view on stackexchange narkive permalink

In Svezia, sono registrato su alcuni siti Web che lo fanno effettivamente. Ad esempio, per registrarmi nella coda degli alloggi in varie città, accedo con il mio ID nazionale svedese (la password è locale). L'ufficio alloggi ha bisogno di conoscere il mio documento d'identità nazionale comunque , quindi potrei anche usarlo come login. Ovviamente, le violazioni del database possono essere fonte di preoccupazione, ma questo vale per qualsiasi database contenente l'ID nazionale, indipendentemente dal fatto che venga utilizzato o meno per l'accesso.

Altre risposte hanno spiegato perché questo è indesiderabile e irrealizzabile da applicare universalmente.

Considerazioni sulla privacy a parte, non ti preoccuperesti se dovessi usare la stessa password per tutti quei servizi?La tua password è quindi sicura quanto lo _least_ ufficio governativo sicuro in cui l'hai usata ... e se vengono violati, i ladri hanno un elenco _garantito_ di siti su cui usarla.
@Michael La domanda ha chiesto ID nazionale come nome utente.Secondo la mia interpretazione, possiamo ancora avere password diverse.Per rispondere alla tua domanda: sì, sarei preoccupato se non solo il nome utente, ma l'intero account fosse condiviso.
Va bene.Sono stato confuso dalla frase in cui hai detto _ "Accedo con il mio ID nazionale svedese e la password" _ e ho frainteso l'ID da associare a quella password.Grazie per il chiarimento.
Quindi cosa succede se qualcuno con un rancore contro di te si iscrive con la tua carta d'identità nazionale ad un alloggio prima che tu possa?Sembra che un ex scorbutico potrebbe facilmente infastidirti molto, no?
@Voo Non lo so.
#10
+1
Damon
2017-10-19 17:23:30 UTC
view on stackexchange narkive permalink

Quanto bene funziona?

Uno dei motivi potrebbe essere che gli ID universali non sono realmente adatti all'attività. Non hanno una forma coerente e, a seconda di come vengono generati, sono tutti più o meno ostili per l'utente. Non sono nemmeno necessariamente univoci a livello globale (richiederebbe una quantità immensa di coordinamento per raggiungere questo obiettivo).

Alcuni paesi potrebbero non avere affatto ID universali, scommetto che non ce ne sono pochi paesi in cui non si sa nemmeno esattamente quante persone esistono o chi sono. Sicuramente esistono centinaia di milioni di persone (probabilmente di più) che non hanno niente come una carta d'identità, un numero di previdenza sociale o un certificato di nascita. Probabilmente non hanno nemmeno molto accesso a Internet, ma in linea di principio dovremmo negare loro l'utilizzo di siti Web perché non hanno un numero ID?

Il numero sulla mia carta d'identità è di 10 caratteri alfanumerici e il mio ID universale su il retro della carta d'identità riporta la data di nascita invertita, più una cifra, più 7 cifre apparentemente casuali e una lettera.
Sicuramente fatlover69 e luckyguy777 lo sono più facili da ricordare come nomi utente rispetto a M7NTU3C2H5 o 6805097<8614257D , non è vero?

Cosa devo fare se voglio un secondo account, o io desideri abbandonare un account e sostituirlo con un altro? Forse ho perso la password e non riesco ad accedere all'indirizzo e-mail di recupero, forse l'account è stato dirottato o qualcosa di diverso.
Bene, non disperare, è facile: devi solo ottenere un altro ID univoco. Oh, aspetta ...

Ti fidi di ogni sito web?

Un altro motivo, ancora più importante, è che probabilmente non desideri che un sito web a caso conosca il tuo ID. È la stessa cosa della biometria. O, in misura minore, con indirizzi e-mail e numeri di telefono. Il tuo numero di telefono è una delle prime cose che tutti, non solo i siti web, vogliono sapere. Compra un tavolo in un mobilificio e loro vogliono sapere il tuo numero di telefono. Quando dici loro "Beh, ... no. Non voglio che tu mi chiami" , sembrano offesi 1 .
Ora, la cosa nel peggiore dei casi puoi sempre cambiare facilmente il tuo indirizzo e-mail e il tuo numero di telefono. Cambiare chi sei e cosa sei è problematico. Inoltre, i numeri ID contengono cifre di controllo e sono verificabili, quindi dare a un sito web (che non accetta un "No") un numero falso probabilmente non funzionerà bene.

I siti web e le società dietro di loro , sono generalmente (con pochissime eccezioni) non affidabili. Infatti, questo stesso sito (Stackoverflow per la precisione) ha dimostrato la sua indegnità solo ieri inviandomi spam di offerte di lavoro non richieste con la falsa premessa che avevo scelto di riceverli. Certo, non molti danni in questo caso. Ma ti fidi davvero di ogni sito web a caso abbastanza da fornire loro la tua identificazione che è molti ordini di grandezza più sensibile di un indirizzo Google usa e getta? Davvero?

Non è passato molto tempo da quando ti serviva solo un nome (presumibilmente il nome di qualcun altro) per affittare una cassetta di deposito dei pacchi. Benvenuto nel mondo delle frodi online. Il bottino viene inviato a nome della vittima, nella cassetta di deposito della vittima. Solo che ... non hanno idea di possedere quella scatola e non hanno ordinato nulla.
Nel frattempo, hai bisogno di un nome e il numero di identificazione corrispondente. Non sono sicuro del motivo per cui ancora non devi presentare fisicamente un ID, ma qualunque cosa.

Vuoi davvero dire a qualche sito web a caso quel numero?

L'hai pensato fino alla fine?

Gli ID universali sono generalmente un problema, più di quanto si possa pensare. Molti di noi sono preoccupati per Facebook e Google che memorizzano un cookie e inseriscono i beacon sui siti web. Ma cosa succederebbe se dicessi loro il tuo ID universale?

Ricordo di aver lavorato in un ospedale svedese circa 20 anni fa dove potevi accedere alla cartella clinica di ogni persona (e ad altri dati personali) inserendo il loro codice univoco in un computer che, ovviamente, non richiedeva una password o altro. Il loro codice univoco, ovvero la data di nascita al contrario, più un numero progressivo di 2 cifre (o qualcosa di molto simile).
Inoltre, c'era un database (di nuovo senza password) dove si potevano abbinare nomi, indirizzi parziali, e fasce di età per conoscere il numero nel caso non lo sapessi e nel caso in cui il paziente potesse non rispondere. Il che non è un problema perché, ovviamente, siamo tutti professionisti e nessuno userebbe mai questi dati per nient'altro che per ciò che è inteso.

Il mio pensiero iniziale è stato: "Woah, siamo così ritardati, usiamo ancora carta - gli svedesi sono così fottutamente fighi. Rispetto a loro, viviamo nel medioevo ".
Ripensandoci, ero molto meno entusiasta dell'idea. Perché è una cosa fantastica, non è vero? E non hai niente da nascondere. Inoltre, è sempre vantaggioso.

Sì, tranne ... se sapessi che il nome di questa ragazza era Inga 2 e non sapevi nemmeno il suo cognome, ma hai indovinato aveva circa 22-24 anni e viveva in questa città, quindi, beh, in pochi secondi potresti controllare se aveva una storia di herpes genitale prima di andare ad un appuntamento!
Non che avrei mai fatto un tale cosa, né posso confermare o negare la conoscenza di circostanze in cui altre persone individuali hanno o potrebbero aver fatto o raccomandato cose simili o simili, anche su base ipotetica.

I dati e la capacità di collegare i dati alle persone è una cosa molto, molto pericolosa, dovrebbe essere evitata a tutti i costi se puoi evitarlo. Non dovresti mai lasciare che accada volontariamente, senza bisogno urgente e senza considerazione.

1 "Oh, non posso permettermi un cellulare" funziona molto meglio, inoltre limita la quantità di cose extra che stanno cercando di venderti.
2 Nome cambiato per proteggere gli innocenti. Qualsiasi somiglianza con persone reali, vive o morte, è puramente casuale.

#11
  0
user23013
2017-10-17 11:24:45 UTC
view on stackexchange narkive permalink

Sebbene ci siano molte ragioni per cui questa non è un'idea abbastanza buona, è irrilevante in quanto esistono molti modi per fare la stessa cosa. Nella maggior parte dei casi, le persone non condividono nemmeno indirizzi e-mail, OpenID e numeri di telefono. E sono più standardizzati in tutti i paesi. Perché non usarli invece?

Bene, per il nome utente dell'università, presumerebbero che alcuni studenti cambierebbero email e numeri di telefono più spesso dell'università. Ma almeno hanno ancora la possibilità di riservare il numero di telefono e i nomi utente dell'indirizzo email per gli utenti che hanno scelto di farlo.

D'altra parte, in teoria un governo potrebbe impostare un sistema che costringe le persone ad accedere ai siti web usare qualcosa di equivalente alle carte d'identità nazionali e modificare tutti i processi correlati per rendere inutile il furto di un semplice numero di identificazione. Potrebbero anche creare un nuovo protocollo in modo che funzioni allo stesso modo per tutti i paesi. E la maggior parte dei problemi indicati in altre risposte potrebbero essere risolti in qualche modo. Ma non è finita. E poiché le email e i numeri di telefono hanno già risolto il problema, non vi è alcun incentivo a farlo effettivamente.

#12
-1
Peter
2017-10-24 13:32:47 UTC
view on stackexchange narkive permalink

Un altro punto importante:

Forze di mercato. Fino a 5-10 anni fa, quasi tutti coloro che avevano un nuovo sito web volevano che tu creassi un nuovo login e password solo per il loro sito. È semplice da fare (soprattutto se non ti preoccupi di proteggere il database delle password) e privo di dipendenze. Ancora oggi, sono ancora in molti a voler utilizzare questo approccio.

Per contrastare queste forze di mercato, avresti bisogno di regolamenti governativi. Il risultato sarebbe che nuove aziende installerebbero i propri server in qualsiasi paese che non è il tuo, a meno che tu non introduca anche severe restrizioni su Internet (ciao, Cina). Una regolamentazione standardizzata a livello internazionale sui profili degli utenti sembra improbabile, visti i requisiti politici molto diversi degli Stati Uniti e dell'UE da soli ("tutto il potere alle imprese" vs "privacy privacy privacy") e impossibile se consideriamo anche alcuni paesi del Medio Oriente e dell'Asia.

La risposta di Stig Hemmer evidenzia che il tuo suggerimento è effettivamente possibile, ma solo a livello nazionale per settori già regolamentati.

#13
-4
Greg Patnude
2017-10-17 22:26:36 UTC
view on stackexchange narkive permalink

C'è qualcosa di "vicino" a ciò che proponi - si chiama OAuth2 - in cui un sistema di terze parti esegue l'autenticazione dell'utente e fornisce un token pre-autenticato ai siti web di sottoscrizione - il caso d'uso di esempio funziona anche qui su StackExchange - quando "accedi utilizzando Facebook" o Google, o qualsiasi altra cosa, stai utilizzando un sistema federato, che è il più vicino possibile ad avere un single-sign on mondiale ...

Non credo che questo affronti veramente la domanda, che riguarda il _perché_ uno non farebbe una cosa del genere.
e altre risposte hanno menzionato OAuth


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...