Saturday, September 20, 2008

Identification vs Authentication

Συνήθως, για να πείσεις έναν υπολογιστή ότι είσαι αυτός που είσαι, απαιτούνται δύο πράγματα. Ένα Όνομα Χρήστη (username) που λέει στον υπολογιστή ποιος είσαι (και το username δεν είναι μυστικό, το ξέρουν και οι φίλοι σου), και ένα Συνθηματικό (password) που πείθει τον υπολογιστή ότι όντως είσαι αυτός που υποστηρίζεις ότι είσαι (και το password είναι μυστικό, το ξέρεις μόνο εσύ). Η διαδικασία λέγεται στα αγγλικά authentication. Στα ελληνικά ας το πούμε "Πιστοποίηση της Ταυτότητας".

(Υπάρχουν και άλλοι τρόποι να πείσεις έναν υπολογιστή ότι όντως είσαι αυτός που λες ότι είσαι, όπως το δακτυλικό σου αποτύπωμα, ή κάποια μαγνητική κάρτα-κλειδί που κρατάς στο πορτοφόλι σου.)

Το θέμα είναι πώς να κάνεις κάτι παρόμοιο σε συναλλαγές που η άλλη άκρη δεν είναι υπολογιστής αλλά άνθρωπος. Πχ, πως πείθεις τον υπάλληλο της τράπεζας με τον οποίο μιλάς στο τηλέφωνο ότι όντως είσαι αυτός που λες ότι είσαι.

Υπάρχει εκεί ένα πρόβλημα, γιατί οι μέθοδοι που χρησιμοποιούνται, δεν εμπλέκουν το αντίστοιχο κάποιου password. Εμπλέκουν μόνο το αντίστοιχο του username.

Για να πιστοποιήσεις την ταυτότητα σου από τηλεφώνου, σου ζητείται συνήθως να επαναλάβεις δεδομένα που ΔΕΝ είναι μυστικά. Σου ζητάνε να επαναλάβεις το αντίστοιχο του Ονόματος Χρήστη σου.

Γιατί το ΑΦΜ σου και ο ΑΔΤ σου είναι απλά ονόματα χρήστη. Δεν είναι κάποιου είδους μυστική πληροφορία. Ειδικά οι Αριθμοί Φορολογικού Μητρώου που ανήκουν σε εταιρείες και επαγγελματίες είναι ο τρόπος με τον οποίο εντοπίζεις μια εταιρεία στα μητρώα της εφορίας και μαθαίνεις για την οικονομική της κατάσταση, όπως και θα έπρεπε να κάνεις για να αποφασίσεις αν θα συνεργαστείς μαζί της.

Γι' αυτό και το ΑΦΜ δεν θεωρείται προσωπικό δεδομένο και εμφανίζεται στις οικονομικές καταστάσεις που είναι υποχρεωμένες να δημοσιοποιούν κάποιες νομικές μορφές εταιρειών.

Ίδια είναι και η φύση του αριθμού ταυτότητας. Δεν είναι προσωπικό δεδομένο. Είναι ένας μοναδικός αριθμός που σου αποδίδεται για να μην μπλέκουμε με Ονόματα, Επίθετα, Ονόματα Πατρός και Ημ. Γέννησης.

Το ΑΦΜ είναι το username σου για την ΔΟΥ, και ο ΑΔΤ είναι το username σου για το λοιπό κράτος. Αλλά δεν έχεις password.

Το θέμα δεν είναι να μένουν μυστικοί οι ΑΦΜ και ΑΔΤ. Το θέμα είναι να χρησιμοποιούνται για την δουλειά που φτιάχτηκαν, και να στηθούν άλλοι, πιο αποτελεσματικοί τρόποι για την Πιστοποίηση της Ταυτότητας από το να σε ρωτάει ο υπάλληλος της τράπεζας που μένεις, πότε γεννήθηκες και πως λέγανε την πρώτη σου γκόμενα.

(οι "αγνιστές" (purists) ας αντικαταστήσουν την φράση "να πείσεις έναν υπολογιστή" με την πολυπλοκότερη αλλά ακριβέστερη "να πείσεις ένα πρόγραμμα υπολογιστή ή ένα υπολογιστικό σύστημα")

3 comments:

Acro said...

Κάτι ξέρουν στο Ελληνικό δημόσιο, και όταν πας για μια δουλειά, εκτός από ταυτότητα σου ζητάνε και τέσσερα διαφορετικά πιστοποιητικά. Κι εγώ που νόμιζα ότι ήταν απλή γραφειοκρατεία...

uncle said...

περίεργους τρόπους (για να μη πω μυστήριους) (για να μη πω "στα όρια της νομιμότητας") επιστρατεύετε για να μάθετε τα οικονομικά μιας εταιρίας!?!

Λύσιππος said...

Στην Αμερική όμως, ο αριθμός ταυτότητας (social security number) δημιουργείται με βάση μια φόρμουλα και εμπεριέχει το ονοματεπώνυμό σου. Δεν ενδείκνυται να μοιράζεται σε τρίτους, ούτε και να χρησιμοποιείται ως κωδικός πρόσβασης (username). Η μοναδικότητά του για τον προσδιορισμό της ταυτότητας ενός ατόμου οδηγεί στη χρήση του μονόπλευρα, πχ εισάγεται στη βάση δεδομένων που με τη σειρά της παράγει ένα άλλο μοναδικό κλειδί το οποίο πλέον χρησιμοποιεί ο χρήστης. Στις ερωτήσεις ασφαλείας τύπου "ποιός είναι ο πρώτος σου δάσκαλος" πρέπει να απαντούμε με φράσεις άσχετες με το αντικείμενο, πχ "τυρί ροκφόρ" προκειμένου να μη γίνει συσχετισμός των δεδομένων με στοιχεία γνωστά σε τρίτους (πχ όλοι οι συμμαθητές μας γνωρίζουν το όνομα του πρώτου μας δασκάλου).