it-swarm.com.de

Warum nicht für jede Website eine nationale ID als Benutzernamen verwenden?

Jeden Tag besuchen wir viele Websites, einschließlich der Website unserer Universität, vielleicht Google, Yahoo usw. Aber auf jeder von ihnen haben wir einen eindeutigen Benutzernamen, während jede Person in einem Land einen "nationalen Code" haben kann, so dass keine Personen einen Code teilen . So können sie auf jeder Website ihren nationalen Code als Benutzernamen verwenden.

Warum nicht? Warum ist das nicht die Situation? Wäre es nicht besser, wenn wir einen Benutzernamen für alle Websites der Welt hätten? Hat das etwas mit Sicherheit zu tun?

58
  1. Datenschutz. Die Möglichkeit, jedes Benutzerkonto mit einer natürlichen Person zu verknüpfen, würde das Ende der Anonymität im Internet bedeuten. Vielleicht hast du nichts zu verbergen, also geht dich das nichts an. Aber wie Edward Snowden sagte: "Zu argumentieren, dass Ihnen das Recht auf Privatsphäre egal ist, weil Sie nichts zu verbergen haben, ist nicht anders als zu sagen, dass Sie sich nicht für Redefreiheit interessieren, weil Sie es haben nichts zu sagen ".
  2. Nicht jeder Mensch auf dem Planeten hätte eine nationale ID-Nummer. Es gibt Länder auf der Welt, die ihren Bürgern keine ID-Nummern geben. In einigen Regionen der Welt ist die Registrierung eines Wohnsitzes bestenfalls unvollständig oder nicht vorhanden. Menschen aus diesen Ländern konnten das Internet nicht mehr aktiv nutzen. Es gibt auch Randfälle wie Staatenlose, Menschen mit mehreren Staatsbürgerschaften oder Menschen aus umstrittenen Gebieten.
  3. In den Ländern, in denen ID-Nummern haben, besteht das Problem was beweist, dass jemand tatsächlich Eigentümer einer ID-Nummer ist . Da Ihre ID-Nummer öffentlich bekannt ist, kann ich sie auf jeder gewünschten Website in Ihrem Namen registrieren und so Ihre Identität stehlen.

    Eine Lösung für dieses Problem wäre ein staatlich unterstützter Authentifizierungsdienst (so etwas wie OAuth). Angesichts der Anzahl der Regierungen auf der Welt wäre es jedoch unmöglich, sich auf einen Protokollstandard zu einigen, der von allen auf der ganzen Welt unterstützt wird. Und wenn Sie irgendwie die ~ 200 Regierungen der Welt dazu bringen, bei etwas zusammenzuarbeiten (eine Leistung, die eines Friedensnobelpreises würdig ist), dann Sie jetzt legen eine enorme Verantwortung in ihre Hände. Sie könnten nicht nur sehr leicht verhindern, dass ihre Bürger Dienste nutzen, die sie nicht mögen, indem sie ihre Bürger nicht mehr authentifizieren, sondern sich auch auf jeder Website als ihre Bürger ausgeben.

270
Philipp

Sie können nicht:

  • mehrere separate Konten haben (z. B. separate berufliche und persönliche Konten oder ein separates Parodiekonto)

  • habe einen wirklich anonymen Account

  • haben Sie ein Konto, wenn Sie eine staatenlose Person sind oder aus einem Land stammen, das keinen nationalen Personalausweis besitzt oder zu jung oder anderweitig nicht berechtigt ist, einen nationalen Personalausweis zu haben

  • erlauben Sie den nationalen ID-Schemata, jemals Nummern zu ändern (oder Nummern neu auszugeben).

84
user15392

In einigen Ländern ist es einfach verboten, die wichtigsten eindeutigen IDs in anderen Datenbanken als denjenigen zu verwenden, für die sie ursprünglich bestimmt waren. Zum Beispiel würden Sie einen Ausweis für das staatliche Krankenversicherungssystem erhalten, den das Finanzamt nicht benutzen darf und umgekehrt. All dies, um den Datenschutz zu gewährleisten und es schwieriger zu machen, Datenbanken mit persönlichen Informationen zu verknüpfen.

Tatsächlich werden die EU-Anforderungen an personenbezogene Daten immer strenger, und alle von Ihnen genannten Unternehmen haben bereits Probleme, die Einhaltung ihres aktuellen Ansatzes sicherzustellen. Das allein ist Grund genug, nationale ID-Nummern wie die Pest zu vermeiden.

55
Relaxed

Neben der Sicherheit gibt es auch kolossale Datenschutzbedenken. Sie möchten wahrscheinlich nicht, dass Facebook und Pornhub Notizen vergleichen und Ihr Pornhub-Konto mit Ihrem Facebook-Konto verknüpfen können. Natürlich möchte jemand zwei verschiedene Konten erstellen, aber er hat nur eine ID.

20
Mike Scott

Tatsächlich haben wir ein sehr relevantes Beispiel dafür, warum dies keine gute Idee ist. In den USA gibt es seit langem ein System zur Kreditberichterstattung, das auf der nationalen ID basiert. Die (absurde) Vermutung war, dass Sie diese Person sein müssen, wenn Sie die nationale ID einer Person und ihren Namen, ihr Geburtsdatum usw. kennen. Das Problem dabei ist, dass das Herausfinden der nationale ID von jemandem wird immer trivialer . Das Ergebnis ist, dass Menschen sich regelmäßig als andere ausgeben, um illegale Gewinne zu erzielen. Die Probleme für den tatsächlichen Besitzer dieser ID können sehr groß sein.

Diese Idee, die Sie vorschlagen, würde sogar noch mehr zu diesem Thema beitragen, aber das ist nicht wirklich der Punkt, den ich hier mache. Das Ändern Ihrer nationalen ID ist in den meisten (allen?) Ländern sehr schwierig. Sobald jemand diese Informationen hat, ist es für einen langen Zeitraum nützlich und Opfer dieses jahrzehntelangen Kampfes, sich mit all den ständigen Problemen zu befassen, wie etwa, dass Inkassobüros sie bei der Arbeit anrufen oder ihre Familien terrorisieren. Ich habe kürzlich von einer Frau gehört, deren Personalausweis gestohlen und von einer anderen Frau benutzt wurde, die ins Gefängnis ging.

Die Probleme mit dieser Art von System sind der Verwendung von Biometrie sehr ähnlich. Wenn mein Fingerabdruck mein Ausweis ist und jemand kann ihn reproduzieren , dann gibt alles, was ich berühre, möglicherweise meine Identität an einen Dieb weiter. Leute können es sogar von einem Foto bekommen, wie im obigen Link. Wenn überhaupt, müssen wir uns von der Verwendung solcher unveränderlichen IDs fernhalten.

17
JimmyJames

Es gibt zahlreiche Gründe, warum dies eine schlechte Idee ist. Hier sind ein paar aus meinem Kopf.

  • Wenn wir alle für jeden Dienst den gleichen Benutzernamen hatten, gibt es jetzt eine Datenbank aller Benutzernamen (die durchgesickert sind oder irgendwann kompiliert werden). Ich muss mich jetzt nur noch um Ihr Passwort kümmern. Dadurch wird die größte jemals erstellte Aufzählung von Benutzernamen erstellt.
  • Ich kann mich mit Ihrer Benutzer-ID bei einer beliebigen Anzahl von Diensten anmelden. Einige Dienste verwenden möglicherweise die E-Mail-Bestätigung, andere nicht.
  • Je mehr einzigartige Informationen ich über Sie habe, desto einfacher ist der Identitätsdiebstahl. Ich könnte die Service-Anmeldungen kombinieren, um basierend auf Ihrer globalen ID ein ganz anderes digitales Sie zu erstellen.
  • Dies wäre die beste Anzeigenverfolgungs-ID, die jemals erstellt wurde. Sie können die gesamte Konto-/Internetnutzung miteinander verknüpfen, um ein Super-Anzeigenprofil zu erstellen.
7
Trickycm

Andere Antworten decken die Bedenken hinsichtlich Datenschutz, Authentifizierung und Verfügbarkeit sehr gut ab, aber es gibt ein anderes, pragmatischeres Problem bei diesem Ansatz: Aus technischer Sicht ist die Implementierung einfach zu schwierig.

Nationale IDs aus verschiedenen Ländern überschneiden sich häufig. Es wird eine große Anzahl von Kollisionen geben, bei denen zwei Personen aus verschiedenen Ländern genau die gleiche Anzahl haben. Beispiel: Die S SSN ist eine 9-stellige Zahl . Die kanadische Sozialversicherungsnummer ist ebenfalls eine 9-stellige Nummer . Die kanadische SÜNDE enthält eine Prüfziffer, aber dennoch liegt die Anzahl möglicher Kollisionen immer noch in Millionenhöhe.

Um dies zu vermeiden, müssten die Personen sowohl die nationale ID-Nummer als auch das Land angeben. Aber wie präsentieren die Leute diese Informationen?

  • Haben Sie zwei separate Felder, eines für das Land und eines für die ID? In diesem Fall haben Sie die Datenbank- und Softwareanforderungen für alle auf der Welt erheblich verkompliziert.
  • Haben Sie ein Feld, in dem Sie zwei Werte zusammenführen?
  • Wenn ja, wie vertreten Sie das Land? (ISO Alpha Code? ISO Numerischer Code?
    Etwas anderes?)
  • Wie verketten Sie die Werte? Erst Land, dann Ausweis? Gibt es ein Trennzeichen? Wenn ja, was ist das?
  • Wie gehen Sie damit um, dass dieselbe ID in unterschiedlichen Formaten dargestellt werden kann? Einige Zahlen verwenden Bindestriche oder Punkte, andere Leerzeichen usw.

  • Was passiert, wenn ein Land von einem anderen Land übernommen wird oder sich ein Land in zwei Teile aufteilt?

  • Was passiert, wenn Menschen von einem Land in ein anderes ziehen oder die Staatsbürgerschaft wechseln?
  • Wer wird all diese Komplexität bewältigen? Wer bezahlt das Management?
  • Wie gehen Sie mit Ländern, in denen mehrere Arten von Ausweisen geführt werden , Sozialversicherungsnummern, Wählerausweisnummern, Steuerausweisen usw. um?
  • Was passiert, wenn ein Land sein nationales ID-System ändert? ( dies passiert in den letzten Jahren ziemlich häufig )
  • Wer wird all diese Komplexität bewältigen? Wie setzen Sie die Regeln durch?

Unabhängig von anderen Bedenken ist diese Lösung selbstzerstörerisch, da sie nichts vereinfacht und viel Komplexität hinzufügt.

6
barbecue

Fallstudie: Norwegen.

Norwegen hat nationale ID-Nummern. Und wir verwenden sie für alles.

Auf der positiven Seite macht es alles einfach. Ich muss keine Steuererklärungen abgeben, da das Finanzamt sowieso alles weiß. Wenn ich mit einem Regierungsbüro spreche, gebe ich ihnen die ID-Nummer und sie kennen automatisch meinen Namen, meine Adresse, mein Alter und alles andere, ohne Tippfehler. Gleiches gilt für Banken, Versicherungen und andere "würdige" Unternehmen. (Nicht sicher, wie sie als "würdig" gelten, aber es gibt viele von ihnen)

Selbst "unwürdige" Unternehmen kennen die ID-Nummern ihrer Mitarbeiter, um ihr Einkommen dem Finanzamt zu melden.

Mein Apartmentkomplexmanagement kennt meine ID-Nummer. Ich bin sicher, sie melden es einem Regierungsbüro oder einem anderen.

Theoretisch sind ID-Nummern geheim, in der Praxis nicht. Sie sind überall, wie könnten sie geheim sein?

Die Banken haben zusammengearbeitet, um ein System zur Authentifizierung für das Online-Banking zu schaffen. Hierbei wird eine Kombination aus einem Dongle verwendet, der Einmalkennwörter erstellt, und einem gespeicherten Kennwort.

Die Regierung hat sich in dieses System eingekauft, daher verwenden wir denselben Dongle/dasselbe Passwort auch für Regierungswebsites.

Wir haben strenge Gesetze darüber, wie Datenbanken mit diesen Nummern behandelt werden sollen. Nach Schlagzeilen zu urteilen, werden diese Gesetze oft auf kleine Weise gebrochen, aber selten auf große Weise.

Datenschutz ist gebrochen oft, aber es sind selten wichtige Daten. Kundendatenbanken und dergleichen. Ich bin sicher, dass Marketing-Leute über diese Daten sabbern, aber ich werde keinen Schlaf darüber verlieren.

Ich weiß, dass andere anderer Meinung sein werden.

Wichtige Daten, wie Krankenakten, werden tatsächlich ziemlich kompetent geschützt. Der Nachteil von that ist, dass verschiedene Krankenhäuser und dergleichen Probleme beim Datenaustausch haben.

Identitätsdiebstahl ist selten, wiederum gemessen an den Schlagzeilen der Zeitungen. Ich vermute, dass dies daran liegt, dass Norwegen so transparent ist, dass der Dieb Probleme haben wird, sich zu verstecken, nachdem der Identitätsdiebstahl entdeckt wurde.

3
Stig Hemmer

Wie gut funktioniert es?

Ein Grund wäre, dass universelle IDs für die Aufgabe nicht wirklich geeignet sind. Sie haben keine einheitliche Form und sind je nach Generierung mehr oder weniger benutzerunfreundlich. Sie sind auch nicht unbedingt global einzigartig (es würde eine immense Menge an Koordination erfordern, um dies zu erreichen).

Einige Länder haben möglicherweise überhaupt keine universellen Ausweise. Ich wette, es gibt nicht wenige Länder, in denen nicht einmal genau bekannt ist, wie viele Personen existieren oder wer sie sind. Mit Sicherheit gibt es Hunderte Millionen Menschen (wahrscheinlich mehr), die keinen Personalausweis, keine Sozialversicherungsnummer oder keine Geburtsurkunde besitzen. Sie haben wahrscheinlich auch nicht viel Internetzugang, aber sollten wir ihnen grundsätzlich die Nutzung von Websites verweigern, weil ihnen eine ID-Nummer fehlt?

Die Nummer auf meinem Personalausweis besteht aus 10 alphanumerischen Zeichen, und mein universeller Personalausweis auf der Rückseite des Personalausweises enthält das umgekehrte Geburtsdatum sowie eine Ziffer plus 7 scheinbar zufällige Ziffern und einen Buchstaben.
Sicher fatlover69 und luckyguy777 sind als Benutzernamen viel einfacher zu merken als M7NTU3C2H5, oder 6805097<8614257D, sind sie nicht?

Was mache ich, wenn ich jemals ein zweites Konto haben möchte oder wenn ich ein Konto aufgeben und durch ein anderes ersetzen möchte? Vielleicht habe ich das Passwort verloren und kann nicht auf die Wiederherstellungs-E-Mail-Adresse zugreifen, vielleicht wurde das Konto entführt oder etwas anderes.
Nun, verzweifeln Sie nicht, das ist einfach: Sie brauchen nur einen weiteren eindeutigen Ausweis. Oh, Moment mal...

Vertrauen Sie jeder Website?

Ein weiterer, noch wichtigerer Grund ist, dass Sie wahrscheinlich nicht wollen eine zufällige Website, um Ihre ID überhaupt zu kennen. Es ist das gleiche wie bei der Biometrie. Oder in geringerem Maße mit E-Mail-Adressen und Telefonnummern. Ihre Telefonnummer ist eines der ersten Dinge, die jeder wissen möchte, nicht nur Websites. Kaufen Sie einen Tisch in einem Möbelzentrum und sie möchten Ihre Telefonnummer wissen. Wenn du ihnen sagst "Nun, ... nein. Ich möchte nicht, dass du mich anrufst", scheinen sie beleidigt zu sein1.
Nun ist die Sache, im schlimmsten Fall können Sie Ihre E-Mail-Adresse und Telefonnummer immer leicht ändern. Das Ändern von wer du bist und was du bist ist mühsam. Außerdem enthalten ID-Nummern Prüfziffern und sind überprüfbar, sodass es wahrscheinlich nicht gut funktioniert, einer Website (die kein "Nein" akzeptiert) eine gefälschte Nummer zu geben.

Websites und die dahinter stehenden Unternehmen sind im Allgemeinen (mit sehr, sehr wenigen Ausnahmen) nicht vertrauenswürdig. Tatsächlich hat genau diese Website (genauer gesagt Stackoverflow) erst gestern seine Unwürdigkeit bewiesen, indem er mir unaufgefordert Spam für Stellenangebote unter der falschen Prämisse gesendet hat, dass ich mich für den Empfang dieser Spam-Nachrichten entschieden habe. Sicher, in diesem Fall nicht viel Schaden angerichtet. Aber vertrauen Sie wirklich jeder zufälligen Website genug, um ihnen Ihre Identifikation zu geben, die um viele Größenordnungen empfindlicher ist als eine wegwerfbare Google-Adresse? "Ja wirklich?"

Es ist nicht lange her, dass Sie nur einen Name (vermutlich den Namen eines anderen) brauchten, um ein Paket-Schließfach zu mieten. Willkommen in der Welt des Online-Betrugs. Beute wird auf den Namen des Opfers und auf das Schließfach des Opfers geschickt. Nur nur ... sie haben keine Ahnung, dass sie diese Box überhaupt besitzen, und sie haben nichts bestellt.
In der Zwischenzeit benötigen Sie einen Namen nd die passende Identifikationsnummer. Ich bin mir nicht sicher, warum Sie noch keinen Ausweis vorlegen müssen, aber was auch immer.

Möchten Sie wirklich einer zufälligen Website diese Nummer mitteilen?

Hast du es bis zum Ende gedacht?

Universelle IDs sind im Allgemeinen ein Problem, mehr als man denkt. Viele von uns sind besorgt darüber, dass Facebook und Google ein Cookie speichern und Beacons auf Websites platzieren. Aber was ist, wenn Sie ihnen Ihren universellen Ausweis mitteilen?

Ich erinnere mich, dass ich vor ungefähr 20 Jahren in einem schwedischen Krankenhaus gearbeitet habe, in dem Sie auf die Krankenakte (und alle anderen persönlichen Daten) von jeder Person zugreifen konnten, indem Sie ihren eindeutigen Code in einen Computer eingegeben haben, für den natürlich keine erforderlich war Passwort oder irgendetwas. Ihr eindeutiger Code, das war ihr Geburtsdatum rückwärts, plus eine zweistellige Sequenznummer (oder etwas sehr Ähnliches).
Außerdem gab es eine Datenbank (ebenfalls ohne Passwort), in der Sie Namen, Teiladressen und Altersgruppen abgleichen konnten, um die Nummer herauszufinden, falls Sie es nicht wussten und falls der Patient möglicherweise nicht antworten konnte. Das ist kein Problem, denn natürlich sind wir alle Profis, und niemand würde diese Daten jemals für etwas anderes als das verwenden, was beabsichtigt ist.

Mein erster Gedanke war: "Woah, wir sind so zurückgeblieben und benutzen immer noch Papier - die Schweden sind so verdammt cool. Im Vergleich zu ihnen leben wir im Mittelalter.".
Bei einem zweiten Gedanken war ich mit der Idee viel weniger extatisch. Warum, es ist eine großartige Sache, nicht wahr? Und du hast nichts zu verbergen. Außerdem ist es immer nur von Vorteil.

Ja, außer ... wenn du wüsstest, dass dieses Mädchen Inga heißt2 und Sie kannten nicht einmal ihren Nachnamen, aber Sie vermuteten, dass sie ungefähr 22-24 Jahre alt war und in dieser Stadt lebte. Dann konnten Sie innerhalb von Sekunden nachsehen, ob sie eine Vorgeschichte von Herpes genitalis hatte, bevor Sie eine Datum!
Weder würde ich jemals so etwas tun, noch kann ich die Kenntnis von Umständen bestätigen oder leugnen, unter denen andere einzelne Personen das Gesagte oder Ähnliches getan oder empfohlen haben oder hätten empfehlen können, auch nicht auf hypothetischer Basis.

Daten und die Möglichkeit, Daten mit Personen zu verknüpfen, sind sehr, sehr gefährlich. Sie sollten unbedingt vermieden werden, wenn Sie helfen können. Sie sollten dies niemals freiwillig, ohne dringende Notwendigkeit und ohne Rücksichtnahme zulassen.

1 "Oh, ich kann mir kein Handy leisten" funktioniert viel besser, es begrenzt auch die Menge an zusätzlichen Sachen, die sie versuchen, an Sie zu verkaufen.
2 Der Name wurde geändert, um die Unschuldigen zu schützen. Jede Ähnlichkeit mit lebenden oder toten realen Personen ist rein zufällig.

1
Damon

In Schweden bin ich auf einigen Websites registriert, die dies tatsächlich tun. Um mich beispielsweise in verschiedenen Städten in der Warteschlange zu registrieren, melde ich mich mit meiner schwedischen nationalen ID an (das Passwort ist lokal). Das Wohnungsamt muss meinen nationalen Personalausweis kennen sowieso, daher kann man ihn auch als Login verwenden. Natürlich können Datenbankverletzungen Anlass zur Sorge geben, aber das gilt für jede Datenbank, die die nationale ID enthält, unabhängig davon, ob sie zum Anmelden verwendet wird oder nicht.

Andere Antworten haben angesprochen, warum dies unerwünscht und nicht universell anwendbar ist.

1
gerrit

Obwohl es viele Gründe gibt, warum dies nicht gut genug ist, ist es irrelevant, da es viele Möglichkeiten gibt, dasselbe zu tun. In den meisten Fällen teilen die Benutzer auch keine E-Mail-Adressen, OpenIDs und Telefonnummern. Und sie sind länderübergreifend standardisierter. Warum nicht stattdessen verwenden?

Nun, für den Benutzernamen der Universität würden sie annehmen, dass einige Studenten E-Mails und Telefonnummern häufiger ändern würden als die Universität. Zumindest haben sie jedoch weiterhin die Möglichkeit, die Benutzernamen für Telefonnummer und E-Mail-Adresse für die Benutzer zu reservieren, die sich dafür entschieden haben.

Auf der anderen Seite könnte eine Regierung theoretisch ein System einrichten, das es Menschen ermöglicht, sich mit etwas, das nationalen IDs entspricht, auf Websites anzumelden, und alle damit verbundenen Prozesse so ändern, dass nur eine ID-Nummer gestohlen wird. Sie könnten auch ein neues Protokoll erstellen, damit dies für alle Länder gleich funktioniert. Und die meisten Probleme, auf die in anderen Antworten hingewiesen wird, könnten auf irgendeine Weise gelöst werden. Aber es wird nicht gemacht. Und da E-Mails und Telefonnummern das Problem bereits gelöst haben, gibt es keinen Anreiz, dies tatsächlich zu tun.

0
user23013