2.1　身份識別

正如你剛剛學到的，身份識別是簡單地聲稱“我們是誰”。這可能包括我們聲稱自己是誰，網絡上的系統是誰，或者電子郵件的發起方是誰。你將看到一些確定身份的方法，并檢查這些方法的可信度。

2.1.1　我們聲稱自己是誰

我們聲稱自己是誰，只是一個很小的概念。我們可以通過全名、姓名的縮寫、昵稱、賬號、用戶名、身份證、指紋或DNA樣本來識別。但這種身份識別方法并不是唯一的，甚至一些被認為唯一的身份識別方法，如指紋，也可以被復制，只有少數情況例外。

在許多情況下，我們聲稱的人可能會發生變化。例如，女性在結婚時經常改變自己的姓氏。此外，我們通常可以很容易地改變身份的邏輯形式，如賬號或用戶名。即使身高、體重、膚色和瞳孔顏色等物理標識也可以改變。實現身份識別的關鍵因素之一就是，僅僅聲稱身份是不夠的。

2.1.2　身份證實

身份證實是比身份識別更為重要的一步，但距離身份驗證還差一步，我將在下一節討論。當你被要求出示駕駛證、社保卡、出生證或其他類似形式的身份證明時，這通常是為了證實身份，而不是驗證。這大致相當于某人聲稱自己是John Smith，你詢問他是否真的是John Smith，當得到對方“當然，我是”的答案時你會感到滿意（外加一些文書工作）。

我們可以更進一步，根據數據庫來證實身份識別的形式（比如護照），該數據庫保存著一份附加信息副本，將照片和物理細節與站在面前的人進行匹配。這可能會讓我們更接近正確地識別此人，但仍然不符合身份驗證要求。我們可能已經證實了ID狀態，而且知道此人符合最初獲得該ID的人的一般說明，但我們沒有采取任何步驟來證明此人確實是正確的人。我們越傾向于證實，而不是驗證，我們的控制就越脆弱。

計算機系統也使用身份證實。當發送電子郵件時，你提供的身份將被認為是真實的，系統幾乎不會采取任何額外步驟來驗證你的身份。這些安全漏洞導致了大量的垃圾郵件流量，思科的塔洛斯情報集團估計，在2017年中至2018年中，垃圾郵件占所有電子郵件的85%[1]。

2.1.3　偽造身份

正如我已經討論過的，身份識別的方法會發生變化，因此很容易被篡改。未成年人經常使用假身份證進入酒吧或夜總會，而犯罪分子和恐怖分子也可能使用假身份證進行各種更邪惡的活動。你可以使用一些身份識別方法（如出生證明）來獲得其他的身份識別形式，如社保卡或駕照，從而強化這種虛假身份。

基于偽造信息的身份盜竊是當前面臨的一個主要問題，2017年，身份竊賊從美國消費者那里竊取了約168億美元[2]。不幸的是，這種攻擊很常見，而且很容易實施。只要提供最少量的信息，通常是一個姓名、地址和社保號碼，就可以冒充某個人，并以他的名義進行各種事務，如放開一筆信用額度。出現這類犯罪是因為許多活動缺乏身份驗證要求。雖然大多數人認為身份證實就足夠了，但使用偽造的身份識別形式就很容易繞過身份證實。

計算機系統和環境中存在許多類似的困難。例如，完全能夠從偽造的電子郵件地址發送電子郵件。垃圾郵件發送者就經常使用這種策略。我將在第9章更詳細地討論這些問題。