Открываю свой кошелек. Что я там вижу?
- Бумажные купюры. То есть материальное подтверждение того, что я обладаю деньгами.
- Билеты на наземный транспорт. То есть материальное подтверждение наличия у меня предоплаченного проезда.
- "Лотерейный билетик" aka таблица разовых кодов к одному из интернет-банков. То есть способ аутентификации себя как клиента этого банка.
- Расчетная дебетовая банковская карта одного из банков, то есть доказательство факта того, что я являюсь владельцем счета в этом банке.
- Дебетовая карта другого банка, по совместительствую являющаяся проездным на метро.
- Проездной билет для пользования пригородными электропоездами.
- Водительское удостоверение.
- Пропуск на работу.
И всю эту хрень я вынужден постоянно таскать везде с собой. Она постоянно оттягивает карманы и создает прочие неудобства.
Опять же, по причине ограниченности места в карманах я не ношу с собой всякие скидочные и клубные карты, коих у меня как грязи. Что тоже не всегда радует, ибо периодически случается такое, когда внезапно возникает нужда по пути заскочить в магазинчик, где ты являешься постоянным клиентом. А скидочка-то и не светит, потому что карта дома валяется.
Плюс к тому надо отметить, что у меня открыты счета как минимум в восьми (!) разных банках, причем часто по несколько штук в каждом. К некоторым из этих счетов тоже прилагается карта. В результате это выглядит как-то вот так.
А теперь давайте на минуточку задумаемся, а нужно ли реально всё это? Всё равно вся критичная информация в каждом из вышеперечисленных случаев хранится где-то на сервере соответствующей организации. А от клиента (то есть от меня) требуется исключительно ID (идентификация) и аутентификация. В некоторых случаях ещё и авторизация (например, одобрение сделки). Всё! Дык, спрашивается, зачем городить такие сложности с кучей карточек при наличии развитых телекоммуникаций и микроэлектроники?
Что касается первой части вопроса (идентификации), то я бы предложил два варианта.
- Радикальный. Татуировка со штрих-кодом или QR-кодом где-нибудь на запястье.
- Традиционный. Стандартная пластиковая карточка со штрих-кодом и RFID внутри.
Причем, кодировать таким образом можно все что угодно: от паспортных данных до бонусных программ. Поставщик услуг (перевозчик, продавец, работодатель, кто угодно) считал ID, запросил свой сервер на предмет интересующей информации о клиенте, на её основании принял решение.
С аутентификацией вроде бы тоже не должно возникнуть серьезных проблем. Можно загружать с того же сервера фотографию клиента и сравнивать её с реальной физиономией и/или пользовать прочую биометрию. В особо тяжелых случаях применять те или иные OTP-генераторы (см. ниже).
Вот с авторизацией дела обстоят несколько сложнее. Особенно если речь идет о деньгах, да и вообще о каких-либо сделках. Тут таки да, необходим какой-либо централизованный доверенный удостоверяющий центр. С другой стороны, сейчас банки фактически занимаются ровно тем же самым в отношении физических лиц. Дык давайте прикрутим к ним ещё одну функцию: удостоверения по разовым паролям. Чем не вариант?
Сами разовые пароли можно либо генерировать спецовыми электронными примочками по нажатию кнопочки, либо программкой на iPhone / Android и иже с ними (как это сейчас реализовано на gmail.com), либо получать SMS-кой на мобильник (поднимите руки у кого здесь нет мобильника). Конечно, есть вариант что "второй фактор" аутентификации могут спереть вместе с ID. Но тут уж, понятно, поможет только выставлять жесткие лимиты на каждый вид операций, вводить автоматическую блокировку по достижении определенного количества неудачных попыток, или... заставлять человека-клиента самостоятельно производить в уме какие-нибудь дополнительные преобразования над разовым паролем. Например, переставлять в нём цифры по хитрому правилу или каждый раз прибавлять к нему какое-нибудь секретное число. Последний способ хорош ещё и тем, что растратить по пьяни последние деньги будет невозможно.
И ведь что во всём этом главное. По большому счету, единственное техническое препятствие на пути к реализации подобной схемы работы — это необходимость введения единого универсального уникального ID для каждого гражданина в пределах страны. Но дык ИНН как бе есть уже даже сейчас. А все остальные вопросы решаются банально разработкой подходящего для таких целей протокола обмена данными между сервисными организациями и удостоверяющими центрами. Но даже тут изобретать велосипед не придется: 3-D Secure уже давно существует и работает.
Так что осталось самое главное и самое грустное. Просто-напросто всё это никому кроме меня не нужно.
Ретранслировано из Я.ру