“疯狂就是一遍又一遍地做同样的事情，却期待着不同的结果”这句名言经常被错误地认为是爱因斯坦说的。 但当涉及到网络安全行业，以及他们阻止黑客的尝试时，这似乎是一个恰当的短语，不管世界上最著名的科学家是否真的说过这句话。

我为什么这么说? 因为每次大规模数据泄露发生时，网络安全行业都在不断地坚持进行更多的培训和意识教育。

2022年:数据泄露的一年

让我们回顾一下截至2023年初，澳大利亚在网络入侵方面的情况。 2022年9月，优步遭到入侵，7.7万名优步员工的详细信息被泄露，不久之后，Optus也被泄露，超过980万(或其客户的10%)客户的详细信息在网络犯罪分子的黑客攻击中被盗。

其次是Medibank，约970万现有和前任客户及相关代表的个人信息被一个勒索软件组织窃取，伍尔沃斯的子公司MyDeal有220万客户受到影响。

所有这些都使得部分数据被泄露的人面临着更高的风险，他们的社交媒体账户和电话号码会收到垃圾邮件、可疑的短信、钓鱼邮件和其他导致恶意软件(也称为恶意软件)部署的钓鱼攻击，身份被盗用的风险等等。

随着这些入侵事件的发生，人们通常会呼吁政府在网络安全项目上投入更多资金，“以确保企业安全正确地开展网络安全实践”，“提高网络安全教育和意识比以往任何时候都更重要，尤其是对商业领袖来说”。

你的数据在2022年泄露了吗? 照片:盖蒂

在这些数据泄露事件发生之际，人们呼吁更加繁琐地使用双因素身份验证，并不断要求企业定期更改其员工的强密码和登录凭证，这一切都是为了防止个人的敏感信息泄露。

但是，将这些违规行为的责任推到员工身上太容易了，而所有组织都越来越希望高度集中员工和客户的数据。

但在当前的网络安全模式下，这种违规行为极有可能再次发生。

请参见:网络安全漏洞要求对租赁数据收集进行全面检查

这里真正的问题是什么?

在我看来，主要的问题不仅仅是教育。 这是我们存储信息的方式，造成了单点故障和重大安全风险。

将所有这些与数十万甚至数百万客户相关的信息集中在一起，就像一个巨大的蜜罐，网络犯罪的恶意蜜蜂一定会被吸引到这里，寻找他们可以出售的信息。

数据存储的集中化模式很常见…… 照片:盖蒂

(我的意思是，我们不是嘲笑《星球大战》电影中的帝国，以及帝国无法从过去的错误中吸取教训，坚持在设计死亡之星时创造单点失败吗? 不是一次而是两次!?)

信息被集中在一起是一个主要的设计失败点，意识教育将很难解决。 那么，在区块链支持的去中心化身份的帮助下，如何彻底重新思考设计?

请参见:为什么网络安全仍然是行业的一个问题

用区块链打破蜜罐

如果我们不把数据集中在一个诱人的蜜罐里，而是允许这些组织的每个员工和客户保留自己的数据，会怎么样?

．.． 但是去中心化身份呢? 照片:盖蒂

我们可以通过去中心化数据来跳过这个单点故障，并使用区块链启用的去中心化身份(也称为DID)，让每个客户和员工对自己的数据点拥有主权。

DID是什么? 它有一个基于万维网联盟(W3C)的定义良好的标准，作为一种“支持可验证的、分散的数字身份的新型标识符…… 与典型的联邦标识符相比，did的设计使它们可以与集中式注册中心、身份提供者和证书颁发机构分离”。

这意味着，公司不需要在诱人的一站式信息商店中持有所有客户的数据，而是每个人都有责任维护对自己数据的主权。

另见:Optus泄露后，澳大利亚应在数据法律中采用“黄金标准”

去中心化身份如何工作?

DID的工作原理并不太难理解。

它有三个基本组成部分:1)个人持有者，2)数字证书的颁发者，3)验证者。 整个过程跨越这三个实体，并基于在密码学中非常常见的公私钥对的利用，与加密货币的工作方式类似。

每个持有者表示由其公钥表示的区块链上的指针。 该指针是公共的，可以作为单个持有者的代表公开和全局地广播。 个人持有者将其私钥秘密保存在本地设备或内存中，永远不会向任何人透露。

个人持有者积累与他们的经济身份相关的信息，称为数字证书。

数字证书的例子可以是你的驾照、教育证书、犯罪记录和护照。 它们是由相关当局发布的(他们也会在区块链上注册他们的个人公钥作为公开广播的公共指针，同时保持他们的私钥安全)。

当数字凭据由发行者颁发给个人时，将使用发行者创建的数字签名对其进行签名，然后由个人存储凭据。

DID的最后一个组件是验证器。 这些验证者可以采取与个人持有者交互的组织或其他个人的形式。 验证者可以请求与各个持有者所持有的数字凭证相关联的特定信息，以便发生交易或提供服务。

在提交该信息时，个人持有者将向该信息添加自己的数字签名以进行身份验证。

简而言之，验证者将能够使用与所请求的信息相关联的两个数字签名(一个来自发行者，另一个来自个人持有者)，并使用发行者和个人持有者在区块链上公布的各自公钥对其进行验证。

在整个过程中，数字签名是特定于所传输信息的特定实例化的，不能由任何不拥有相应私钥的人复制，因此保留了个人持有者对自己的隐私拥有主权的权威。

从你的出生证明到驾照，所有东西都可以使用区块链启用的去中心化身份存储。 照片:盖蒂

另见:区块链可能是核材料安全保障的关键

为什么这会减少网络安全攻击?

当我们拥有一个去中心化的数据管理模型时，我们本质上是在将漏洞扩散到边缘。

继续这个比喻，与攻击蜜罐并带走整个罐子不同，攻击者最多只能得到一滴。 不值得花时间和精力去换取报酬!

当然，没有什么制度是完美的。 个人仍然容易受到DID的网络攻击。 但是，在这种情况下，如果一个人粗心大意，随后被黑客攻击，这不会影响到任何其他小心保护自己身份的人。 DID没有将所有人的信息存储在中央服务器上，而是允许个人在自己的设备上保存自己的信息。

因此，如果攻击者希望进行网络安全攻击，他们将不得不瞄准每一台移动设备。 这既昂贵又不切实际。 这一概念适用于对财务和健康数据等敏感数据的保护，在这些数据中，个人是唯一能够决定如何以及与谁共享数据的人。

参见:澳大利亚的监管对加密货币意味着什么?

去中心化身份在防止网络攻击方面有什么缺点?

一个主要的缺点是DID的概念假设个人能够并且愿意承担确保他们的设备安全的责任。 这意味着，不要把他们的私钥写下来，让攻击者到处乱放，并避免在使用公共wi-fi时进行冒险行为，比如在网络浏览器上访问密钥。

因此，如果一个人粗心大意，遭受攻击，如果他们的财务信息和更多信息泄露，这是他们自己的责任。

从这个意义上说，这又回到了一个关于人类本质的基本论点，以及人类是否可以被信任对自己负责。

但我坚信，在涉及网络安全时，我们需要反思我们的激励体系。 如果激励系统是错误的，那么来自更高权力的再多的强迫、规劝或教育都不会改变一个人的行为。

但是，如果个人受到激励去保护这些数据，因为这些数据纯粹是他们自己的，而且是实实在在的，他们自己也会受到更强烈的激励去保护这些数据。

使用去中心化身份意味着个人(而不是组织)将负责保护自己的数据。 照片:盖蒂

另见:下一个区块链大热潮是什么?

那么，是什么阻止我们现在使用去中心化身份呢?

在建立DID方面存在一些障碍。 由于这一概念非常新，目前在国家和国际一级还没有实现和确立这一愿景的战略路线图。

建立DID并给每个人一个数字身份的第一步是需要就一套程序达成一致，允许人们在区块链上注册他们的DID，并拥有相关的政府机构。

这将适用于每个人，因此他们可以识别与他们的DID连接，并且该连接在区块链上是正式的和可审计的。 这也适用于所有政府机构，他们也将正式连接到区块链上的唯一DID，以实现可审计性。

系统地创建did与其现实实体之间连接的可审计跟踪将是第一步，也是最重要的一步，最好将其记录在一个开放的去中心化区块链上。 这将确保在发生政治或民事动乱时，did仍可被其他人审计。

(把它想象成你的工作电子邮件。 这封电子邮件通常对所有人公开，但只有你可以使用。 但如果公司一夜之间破产了，你将失去那封电子邮件。 但上面概述的区块链方法是永久性的，在政权更迭的情况下，您的身份不能被删除。 )

请参见:你知道你的数据在哪里吗? 为什么我们选择方便而不是隐私

采用自底向上的方法

不幸的是，政府和商业组织(本质上)是中央集权的狂热分子。 因此，通过自上而下的方法来实现这种发展的兴趣不大。

DID系统的这种变化或实施只能从自下而上的方法中体现出来，像我们这样的个人要求重新思考整个网络安全范式，并且停止在每次发生这样的安全漏洞时都举手投降并说“这就是它”。

DID系统的哲学基础，就像整个加密行业一样，是关于个人承担责任的意愿。 它并不像大多数人认为的那样是技术上的灵丹妙药。 这很艰难，但它确实意味着你要重新获得自己的主权。

当然，另一种选择是用数据换取便利，让大型科技公司将我们的数据变现并控制我们的数据。

Eric Lim博士是新南威尔士大学商学院信息系统与技术管理学院的高级讲师，也是新南威尔士大学加密诊所的创始人。 可以通过e.t.lim@unsw.edu.au联系到他就上述内容或与区块链、加密货币、去中心化身份等相关的任何内容发表评论。

注：本文由院校官方新闻直译，仅供参考，不代表指南者留学态度观点。