Jim 20220726

一、身份要素

数字身份的要素，也就是用户身份认证的要素，简称身份要素，按照与主人的时空距离分为三种：

• 离身要素：可以离身的东西，记忆的东西，例如账号、口令、密码。拥有的物品，例如交通卡、信用卡、员工卡、身份证、钥匙。
• 随身要素：随身的东西，例如手机电话、APP（微信，支付宝，飞书等）的在线身份及当前的位置。
• 原生要素：原生的随身要素，生物识别的特征，例如面容、指纹、声音、DNA。

二、为什么说账号密码是用户数字身份的离身要素

账号密码跟钥匙一样是主人的随身物品，为什么说是离身要素呢？

离身要素不是指主人愿不愿意让它离身，而是它能不能离身，离身时主人是否能感觉到，离身后能不能保持功能？

1.    

• 钥匙在时空中离开主人，被他人拿到，能不能开门呢？这就看有钥匙的人是否知道门的地址（账号），如果能够找对门，就可以打开门；
• 另外钥匙还可以在主人不知情时被copy；
• 主人也可能丢失钥匙；

所以说，钥匙是“离身”的，可以有一个复制件，在时空中离开主人，在主人不知情的情况下工作。

2.    

• 账号密码可以被主人主动告知他人替他工作，
• 也可能在不知情时被偷走；
• 使用时被他人偷看到；
• 登录时被黑客的木马偷走；
• 能够离开主人的时空范围，被他人利用账号密码冒名登录；
• 另外账号密码非常容易copy和传送；

所以说，账号密码是“离身”的，可以有一个复制件，在时空中离开主人，在主人不知情的情况下工作。

3.    

• 钥匙上加一条绳拴在腰带上，挂在脖子上；
• 增加密码强度，定时更新密码；

这些常见的身份要素的管理手段，都是针对它们的“离身”的特性采取的补救措施。

三、为什么说电话、微信是用户数字身份的随身要素

1.    

• 手机电话的每一次使用都是对主人身份的确认，电话无法复制，不可能同时在两个人手中；
• 传递的短信验证码SMS OTP，也是一次性使用，无偷窃价值。

所以说手机是“随身”要素，因为手机无法复制，离开主人无法正常工作。

2.    

• 微信APP的个人账号，不容许同时在两台手机中在线（在另外一台手机登录时，自动退出原来登录的手机）；
• 高频确认在线情况，平均每人每天启动微信16次（如果主人的微信账户在另外一台手机上登录，每天有16次机会会被主人知道）；
• 长期在线，大多微信用户长期不退出微信（手机重启也不退出），几个月，甚至更长时间；
• 有些用户已经不记密码了，需要重新登录时使用短信验证码SMS OTP；

可以看出微信的在线身份要素是“随身”的，因为它无法复制，离开主人就会被发现。

3.    

• 自建的手机APP，也可以像微信一样设计为唯一性登录，差别只是用户的规模，和使用频率；
• 如果主人几天不检查一次APP，有人在另外一台手机上用主人的账号密码登录这个APP，主人也不会知道，

这就使“随身”打了折扣。

4.    

支付宝，飞书，等社交APP都有与微信相似的设计，只是用户的规模没有微信大。

四、安全漏洞，绝大部分都与“账号密码”这个离身要素有关

利用随身性好的“数字身份”，不提供账号密码的入口，也就是没有了“账号密码”这个最大的漏洞，是Web2.0 的一个重要的价值；

这是一个提高安全水平的机会。