如果你喜欢没有密码的登陆方式,CardSpace很适合你,也很适合我(至少在TrustBearer将Thinkpad加入列表以前)。尽管支持CardSpace的网站不多,但MyOpenID使得我们可以在所有的OpenID网站上使用Information Card登陆。
这里,我们有必要区分一下,在应用和服务之间传递信息的是Information Card,而CardSpace这个术语是指运行在Windows上的Identity Selector。Identity Selector和Identity Provider(IdP)、Relying Party(RP)构成一个十分类似OpenID的三方认证框架:
- 用户连接RP并请求用InfoCard登陆验证,RP触发用户端Identity Selector,同时告诉Identity Selector所需要采集的信息段claim;
- Selector提示用户从一个或多个InfoCard中选择发送给RP,Information Card指向IdP中所存储的必要数据;
- 一旦用户完成选择,Identity Seletor打开IdP和RP间传输InfoCard的通道,完成claim的传送并关闭。
- CardSpace作为客户端软件,被包含在.NET Frameworks 3.0及更高版本中,因此除了Vista,你的XP或者2003也可以使用它,只要你安装了.NET Frameworks;
- 触发Selector的是RP,而非操作系统,因此除了Windows,你的Linux、OSX也可以使用,只要配置了合适的客户端或浏览器插件(1,2,3,4);
- Infomation Card是一个指向IdP的指针,因此除了使用CardSpace作为自发行卡商,你还可以在其他IdP上托管InfoCard,CardSpace的自发卡仅含有有限的一些字段,而这种托管卡可以包含任意形式的信息(1,2,3)。
Kim提到,OpenID提供了在wiki、blog以及SNS中进行单点登陆和个人档案快速携带的能力,它缺乏隐私性,因此十分适合在强调交往淡化隐私的这类社交网站中使用(我在上海聚会中提出的另一个观点,即OpenID将在social networking中成为带有局限性、杀手性的应用,还记得XRDS、hCard是如何携带公开的个人信息么?)。
而在对私人信息有一定安全要求的网站中,CardSpace挺身而出。从视频中可以看到,Information Card在传递过程中避免了钓鱼攻击,你不用再担心,丢失的OpenID密码所带来的巨大损失了。利用CardSpace对OpenID的强化,你可以在不同的服务中,使用不同的策略:将财务信息存储在一张信息卡中以便在金融、政府等网站上使用;将私人信息存储在另一张信息卡中以便在医疗、约会这类网站上使用;最后在社交网站上使用OpenID。
Microsoft一直以来在CardSpace上的努力终于没有白费,鉴于CardSpace的这些安全特性,它将和OpenID共存相当长的一段时间,但注意Kim所用的词语:leads to。OpenID leads to CardSpace。
Kim委婉的表示,leads to并不意味着CardSpace将取代(用我的夸张性词汇是:击败,参考上一篇文章)OpenID,而是说,由于CardSpace的种种优越性,当人们开始越来越多的使用跨站式登陆,CardSpace就越能强化OpenID,使OpenID能适应更广泛的需求。对用户来说,摈弃密码是一种最直接的安全性强化,无论是证书、射频还是指纹、虹膜(不要骂我,我真的是懒)。如今OpenID和CardSpace携手并进,但从更高层面上来看,非密码式认证,迟早会战胜密码式认证(至少将密码作为次级的备份),等待这一天的到来吧。
没有评论:
发表评论