2.1　身份识别

正如你刚刚学到的，身份识别是简单地声称“我们是谁”。这可能包括我们声称自己是谁，网络上的系统是谁，或者电子邮件的发起方是谁。你将看到一些确定身份的方法，并检查这些方法的可信度。

2.1.1　我们声称自己是谁

我们声称自己是谁，只是一个很小的概念。我们可以通过全名、姓名的缩写、昵称、账号、用户名、身份证、指纹或DNA样本来识别。但这种身份识别方法并不是唯一的，甚至一些被认为唯一的身份识别方法，如指纹，也可以被复制，只有少数情况例外。

在许多情况下，我们声称的人可能会发生变化。例如，女性在结婚时经常改变自己的姓氏。此外，我们通常可以很容易地改变身份的逻辑形式，如账号或用户名。即使身高、体重、肤色和瞳孔颜色等物理标识也可以改变。实现身份识别的关键因素之一就是，仅仅声称身份是不够的。

2.1.2　身份证实

身份证实是比身份识别更为重要的一步，但距离身份验证还差一步，我将在下一节讨论。当你被要求出示驾驶证、社保卡、出生证或其他类似形式的身份证明时，这通常是为了证实身份，而不是验证。这大致相当于某人声称自己是John Smith，你询问他是否真的是John Smith，当得到对方“当然，我是”的答案时你会感到满意（外加一些文书工作）。

我们可以更进一步，根据数据库来证实身份识别的形式（比如护照），该数据库保存着一份附加信息副本，将照片和物理细节与站在面前的人进行匹配。这可能会让我们更接近正确地识别此人，但仍然不符合身份验证要求。我们可能已经证实了ID状态，而且知道此人符合最初获得该ID的人的一般说明，但我们没有采取任何步骤来证明此人确实是正确的人。我们越倾向于证实，而不是验证，我们的控制就越脆弱。

计算机系统也使用身份证实。当发送电子邮件时，你提供的身份将被认为是真实的，系统几乎不会采取任何额外步骤来验证你的身份。这些安全漏洞导致了大量的垃圾邮件流量，思科的塔洛斯情报集团估计，在2017年中至2018年中，垃圾邮件占所有电子邮件的85%[1]。

2.1.3　伪造身份

正如我已经讨论过的，身份识别的方法会发生变化，因此很容易被篡改。未成年人经常使用假身份证进入酒吧或夜总会，而犯罪分子和恐怖分子也可能使用假身份证进行各种更邪恶的活动。你可以使用一些身份识别方法（如出生证明）来获得其他的身份识别形式，如社保卡或驾照，从而强化这种虚假身份。

基于伪造信息的身份盗窃是当前面临的一个主要问题，2017年，身份窃贼从美国消费者那里窃取了约168亿美元[2]。不幸的是，这种攻击很常见，而且很容易实施。只要提供最少量的信息，通常是一个姓名、地址和社保号码，就可以冒充某个人，并以他的名义进行各种事务，如放开一笔信用额度。出现这类犯罪是因为许多活动缺乏身份验证要求。虽然大多数人认为身份证实就足够了，但使用伪造的身份识别形式就很容易绕过身份证实。

计算机系统和环境中存在许多类似的困难。例如，完全能够从伪造的电子邮件地址发送电子邮件。垃圾邮件发送者就经常使用这种策略。我将在第9章更详细地讨论这些问题。