SMB用户身份管理新选择

身份管理已经成为用户和公司面对的一个严峻挑战，但是新技术例如信息卡使得这一切变得简单，用户可以使用信息卡来创建和提供多种数字身份标识，而不再需要去记住大量的密码。

数字身份是在电子世界中人们证明自己身份的一种方式，就像在现实世界中使用各种各样的证件来证明他们的身份一样。我们有很多方式来证明我们的身份，政府颁发的证件诸如驾照，护照可能是最易接受的证明我们身份的方式，但是大多数人的钱包里塞满了用于各种目的的各种各样的卡片，我们使用信用卡和借记卡来购物，用ATM卡从银行取钱，用员工ID卡进入办公室，用保险卡向医疗管理当局证明我们的身份，用会员卡在各种俱乐部和组织中享受优惠，用贵宾卡在商店获得打折优惠等等。

各种各样的应用使得我们在想能不能使用一种形式的身份标识来满足各种应用目的，但是这存在一个严重的个人隐私保护与安全问题。我们真的愿意将包含我们全部个人身份信息、经济状况、健康信息的卡片暴露给需要核实我们身份的服务员或官员吗？

同样，我们有大量的身份标识用来提供给不同的电子实体。其中一些提供给网上零售商的可能包含我们的信用卡号，但是不包含社会安全号。另外一些用于查看财产税状况的可能包含我们的家庭地址但是不包括电话号码。随着身份盗用日益成为一个现实的问题，我们希望以“需要知道的”为基本依据来提供我们的信息。

口令问题

网络中身份验证最常用的方式是使用一个可以通过用户名和口令访问的用户账号。最简单的实现方式是将一个用户名和口令用于我们所有的账号，但是这存在着严重的安全风险。如果未授权者或者通过技术破解的方法或者通过社会工程方法设法获得了这些认证信息，那么他/她就可以访问我们所有的账号。

因此我们要为每个账号设置一个不同的口令，至少是每组账号设置一个不同的口令。我们可以用一个口令来登录一些非敏感的网站，例如新闻网站，需要登录来浏览文章。对于此类网站使用同样的密码不会有什么大的安全风险，这是因为这些网站不需要你的信用卡卡号，社会安全号，或者其它的敏感信息。最坏的事情也就是别人用你的用户名和密码登录后浏览文章。

当然，对于诸如网上银行，信用卡公司和要求输入社会安全号，驾照号码和其它敏感信息的政府网站等，我们需要不同的和更加安全的口令。在这些情况下，我们希望每个网站有一个不同的口令，这样当一个被泄露时，黑客就不会自动的访问剩余的。

这样我们就面对一个信息负担过重的问题，我们要记住太多的用户名和口令，如果不能全部记下来，我们就很可能要把它们写下来，这就导致这些信息很容易被别人发现。

身份管理的需要

很明显，我们需要一种方法来管理这些用户在进行网络交易时需要的不同身份信息。用来帮助解决这个问题的各种身份管理软件产品，大部分可以归结为下面的两类：

• 设计用于家庭用户的廉价消费者级别的“口令管理”程序。这类程序的目标应用对象为单用户/机器，不适合应用于商业级网络。
• 昂贵的企业或集团级产品，这类产品超出了大多中小型企业的承受能力，而且它带来了的复杂性使得典型的SMB用户，IT员工都不能很好的使用该类产品。

目前，微软、IBM和Novell等公司正和web开发人员及应用开发人员一起努力开发一种标准的“元系统”，这种系统可以将不同的身份认证系统融合在一起，并为提供用户友好的方式来让用户创建和使用数字身份认证。这种技术被称为信息卡。