通行证

十五年前，我在当地的拨号BBS上注册了自己的第一个网络帐号，掐着秒表通过电话线打包下载新的帖子。最初的BBS是彻头彻尾的实名制，所以我的账号就是我的名字。两年後，互联网来了。在20元/小时的高昂收费下，我注册了我第一个真正意义上的互联网帐号。虽然已然记不清帐号是什么样子的了，但我仍清楚记得注册的网站是四通利方。在那里我花了一个小时下载了RichWin，并且在不用打包的情况下浏览了几篇帖子。半年後，先驱者们开始了个人主页的制作，而我则沉浸在Microsoft Chat那有趣的四格漫画聊天中。我起了自己的第一个昵称Yang，一边抱着fire的经典unix hacking入门，一边冒充黑客。

接下来的十年，就像所有人一样，我对互联网爆炸式的飞速增长充耳不闻，只顾着欢呼雀跃于一个又一个新奇网站的出现，不辞疲劳的在每一个站点上注册帐号，走马观花般的换着自以为很牛逼的昵称。直到现在，我也不知道自己到底注册过多少个帐号，换过多少昵称了。即使是正在使用中的帐号，有时候也会两眼一黑脑壳空空，完全不记得了。

最开始有些帐号注册是固定的，比如QQ，按注册先后分配一个预定好的帐号；后来多数网站都可以自定帐号名称，这种方式一直到现在都被用得最多；近一两年，网站开始逐渐提供以邮箱作为帐户名的选择。账户是越来越好记了。

但毕竟有无数的网站无数的服务需要无数的账户。多数人为了记住那些繁多的帐户，都会拿一个小本自记下来。比如我爸的小本子上就有ADSL账户、邮箱账户和博客账户。而我比多数人都懒，所以所有的帐户密码都设成一样的或者非常相似的，如果我在一个网站上没法注册这样的帐户，那么我会直接放弃继续使用那个网站。但是帐户太多了，由于有相似的帐户，所以经常不得不用同一个密码在各种不同的用户间试来试去。提款机试多了还会吞卡，还好一般网站没这功能，吞不了人。

后来网站学聪明了，为了粘住客户，纷纷开发通行证系统，采用SSO，只用一次注册，在全站通行。这是个不小的进步，在这样的网站中浏览，轻松舒适不少。至此，登录系统发展似乎已经到了尽头，人们也已经很习惯目前的现状了。但总有人不愿意就此放弃，于是有了OpenID。

OpenID以一种开放式的认证体系出现，强调去中心化，而以用户为中心，通俗点说就是以自己的URL作为账户，免注册，通过信任机制来达到集中认证的目的。由于理念过于先进，OpenID发展了几年，一直不温不火，直到最近才得到了Microsoft等少数主流玩家的支持，后面的路还很长。

在我个人看来，其实开放式通行证还是有着很大前景的，关键是需要一些突破点。最大的突破应该是与生物识别技术的结合，如指纹识别。我作了点小尝试，在我的T43上使用Client Security Solution记录myopenid的登录信息并和指纹记录结合起来，可以做到在支持OpenID的网站，输入我的OpenID并刷指纹即可完成登录。当然这是一种很弱智的认证方式，理想情况是，在所有的终端上配备指纹扫描器，开发或者在OpenID的基础上进一步完成一套完整易用的标准认证接口，网站在前端读取指纹後直接用指纹信息作为登录凭证或新注册依据，网站自身也直接拥有指纹标识，并没有流失客户。这种方式不像目前的OpenID需要到信任网站进行认证，或者可以说，我们每个人的手指头，就是自己的信任URL。这样，开放通行证系统就可以达到实用的地步了，而且可以肯定的说，会迅速的成为标准的认证模式。要达到这一步，需要两样东西。一个是普及指纹识别器，应该不是太困难；另一个是标准接口，要实现这一功能从程序设计上来说，应该也是非常简单的，而且这种接口还可以应用到很多认证系统上，比如支持蓝牙通信的钥匙链，可以和超市货架交互的信用卡腕带之类。

后记：IBM的那套密码管理系统似乎不怎么样，除了和他自己的指纹扫描器配合良好外，功能一般，很多程序的录入都无法截获，也不能自行插入，估计真正想在电脑上把指纹当帐号认证的人不多，所以有个开机保护之类的功能就可以大肆宣传了。