在IT安全从业人员眼里,社交网络往往既被看作是一个安全笑话,又被看作是一个真正的安全威胁。举例来说,我们可以看Facebook曾经遭受的打击,这让我们看到,社交网络危险频繁被暴露。
但是当Facebook平台工程师Luke Shepard上周三认为社交网络可以被用来强化身份和访问管理(AIM)的时候,没有人感到这是件可笑的事情。
也许这是因为,许多安全从业人员都对Twitter,LinkedIn和Facebook上瘾,尽管他们经常会警告外界说这其中存在着危险。那是因为在IDC研究主管Charles Kolodgy的之前的发言人认为社交网络和IAM可能最终被兼容。
Shepard指出,Facebook最基本的做法支持信任的强化。例如,当用户收到陌生人伪装的一个好友的请求时,用户可以看到在他的好友列表中还有哪些人在与这个人有联系。越是普遍的联系,这个人是陌生人的可能性就越小。LinkedIn承认,他也在以类似的方式工作。
"这就是问题的核心了,在Facebook中,人们的身份是如何被确定的?"他说,"添加的信任级别是25%的用户共享他们的手机号码。在Facebook和LinkedIn上,你就会拥有我们所谓的现实世界的身份。"
他指出Facebook资料正在通过多种超出他们本身意愿的方式使用,与之相似的情况是,随着时间的推移,一个人的驾驶执照的使用已经远远超出了他本人的意愿。
"驾驶者的驾驶执照往往成为他们可以驾驶车子的许可,但是它现在已经成为了零售商、政府机构和其他人确认他们身份的方式。"Shepard说。
让社交网络成为IAM关键最用的一个方法是在不同的社交网络网站中敲定某种形式的标准化,他说。
他指出Facebook Connect是一个让人们使用它们的Facebook账户来登录到外部网站或服务的工具,但是这个工具已经越来越多地被迫增加了Netflix, USA Today, Digg, YouTube and Salesforce.com来核实身份并共享其他可信的实体内容的工具。
"我们正在努力帮助其他企业强化通过Facebook Connect实现的通信和信任。"他说:"这个工具不仅仅是为了Facebook而诞生的。这是企业提供现实世界身份的一个大的趋势。关键就是要找到一个方法来使这些标准化。"
在 Shepard的演讲之前,IDC的Kolodgy清楚表明他就一点也不喜欢Facebook,尽管他也在使用LinkedIn。当被问及如何使社交网络适用与现实的IAM的时候,他最初的答案是,社交网络是我们必须要避免的某种东西。但是在短暂的停顿后,他认为社交网络中的无数的IAM工具现在已经可以完全地被利用,再结合一些社交网络的方法将会让每个人获利。
"关键是我们需要创建一个更大的可信环境,然而也潜在着一些方法来实现这样的环境。"他说,用联合的身份管理作为一个范例。如果Facebook,Twitter和LinkedIn 等网站利用联合ID凭证来确定额外的可信人群,他说:"我们也有一些东西。"通过使用证书等东西我们一样可以实现这样的目标。
但是Shepard表达完这样的观点后,Kolodgy随后说:"所有的这些也都可以归结为标准。"
