По вполне объяснимым причинам многие государства, внедряющие сейчас такого рода системы, иногда именуемые системами «объединённой аутентификации», в качестве основы обычно выбирают пластиковую идентификационную карту. Однако уже вполне отчётливо проявляются и другие варианты, более привлекательные для влиятельных корпораций. Так, конкретной моделью исследования в докладе Росса Андерсона выбрана схема, энергично продвигаемая компанией Apple, где очень хотели бы видеть в качестве универсального чудо-прибора для «объединённой аутентификации» свой смартфон iPhone.
Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединённой аутентификации стоят одни и те же очень серьёзные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для её пользователей. Поэтому доклад Андерсона, озаглавленный «Можно ли поправить экономику безопасности в системе объединённой аутентификации», хотя и задает вопросы применительно к телефонам («как вести себя в мире, где мобильный телефон содержит ваши кредитные карточки, ваши водительские права и даже ключи от вашей машины?»), в действительности касается всей этой системы в целом. Самый главный вопрос исследователя звучит так: «Что случится, когда это электронное чудо-устройство окажется украдено или заражено вирусом»?
Чтобы иметь общее представление о масштабе и сложности данной проблемы, достаточно вспомнить, что в условиях интернета и компьютерных сетей вообще идея об использовании единого сервиса для идентификации пользователей на все случаи жизни — это одновременно очень старая мечта и ужасно коварная ловушка.
В работе Андерсона рассказывается по крайней мере о четырёх предыдущих попытках массово реализовать подобную схему и о причинах, помешавших сделать это хорошо и красиво. Остаточные формы всех этих неудавшихся попыток сейчас напоминают игру типа «передай кулёк соседу». Так, постоянно посещаемая вами веб-газета аутентифицирует вас через ваш сайт в сетях социального общения; тот, в свою очередь, хочет, чтобы вы восстанавливали забытый пароль доступа через электронную почту; ваш провайдер электронной почты хочет, чтобы вы использовали для подтверждения личности свой мобильный телефон; а ваша телефонная компания в качестве подстраховки опирается на ваш аккаунт электронной почты...
При этом ни одна из всех этих инстанций в лице своих колл-центров решительно не хочет быть крайней в тех сложных, но ежедневно происходящих ситуациях, когда попавшие в беду пользователи теряют свой смартфон или ноутбук, напрочь не помня паролей доступа. При этом органы сертификации, на которые опирается вся система онлайнового доверия, всегда открыты для принудительно-добровольного сотрудничества с компетентными органами правительств. А правительства, которые в принципе хотели бы, чтобы граждане использовали электронные карты в качестве единого средства аутентификации, даже если берутся за это дело, зачастую начинают безнадёжно буксовать в том, чтобы заставить систему (а) эффективно работать и (б) при этом ещё и гибко реагировать на мошенничества или ошибки пользователей.