在高度网络化的当下，便利往往伴随着隐私代价。普通人往往要管理超过 100 个在线账户，而注册新服务时，通常被要求提供邮箱、出生日期等个人信息。伯克曼克莱因互联网与社会中心应用社交媒体实验室的研究人员指出，这种模式让隐私暴露在风险之中，也提高了身份被盗用的可能性，他们正在尝试给出一种替代方案。

数字身份的新路径

在四月举行的数字身份研讨会上，ASML 的工程师发布了 Keyring 钱包——一款开源的身份验证工具。Keyring 的核心理念是：信息保存在用户自己的手机里，只在验证身份时披露“刚好够用”的最少数据，而不是把完整的个人资料交给企业服务器长期保存。

“身份其实是非常个人的东西。”ASML 首席研究员、哈佛约翰·A·保尔森工程与应用科学学院戈登·麦凯计算机科学教授 James Mickens 表示，“你的年龄、姓名、所在地、性别——这些都属于你这个用户本身，而不是某家公司或某种技术体系的资产。”

现有身份体系的隐患

在研讨会上，研究人员梳理了他们眼中愈发脆弱的数字身份生态。ASML 高级主管 Meg Marco 指出，如今个人数据被拆散在数量庞大的账户中，而用户对这些账户并没有真正的掌控力。

“这不仅仅是麻烦，更是危险。”Marco 说。她提到 2022 年密码管理器 LastPass 的云数据库遭黑客入侵的事件，攻击者获取了数千万用户的加密数据副本，暴露了集中式存储的系统性风险。

Keyring 钱包如何运作

Keyring 由 Linux 基金会去中心化信任图工作组协作开发，设计目标是让每个人都拥有一个“身份钱包”，可以按需分享自己身份的特定、有限侧面。例如，只证明自己已满某个年龄，而不透露完整出生日期；或证明自己拥有某个邮箱服务的账户，却不暴露具体用户名。

在使用钱包时，用户通过指纹、面部识别等生物特征在本机完成身份验证，这些生物识别数据只存放在用户手机上，不上传到服务器。用户还可以往钱包里添加可验证凭证，比如数字驾照、雇佣证明等，由相关机构签发并可被第三方验证。

搭建去中心化信任网络

Keyring 还支持无需公司平台作为中介的线下身份验证场景。比如，两个人在专业会议上见面时，可以通过各自的钱包安全地确认对方身份，并记录这次真实会面，而不必依赖 LinkedIn 等平台来“背书”。

每一次经过安全验证的连接，都会成为研究人员所说的“去中心化信任图”的一部分：不存在一个集中存放所有身份数据的数据库，但每个用户都能在自己的网络中确认他人的凭证。

“我们的设想是，这样的信任图可以帮助应对社交媒体中的关键难题，比如区分真人和 AI 代理、进行年龄认证，或者追溯某些内容的来源。”首席工程师 Brendan A. Miller 解释道。

高级用户体验设计师 Nicole Brennan 强调，Keyring 的一个核心目标是让普通人容易上手。“我们面对的是一个没人真正解决过的问题，没有现成的用户体验模式、模板或范例。我们要做的是一个真实用户能在几秒钟内学会使用的产品。”她说。

制度认可仍是关键门槛

ASML 产品负责人 Yajaira Gonzalez 指出，这项技术面临的最大挑战之一，是如何获得机构、政府和企业的正式认可，因为这些主体需要负责签发并承认可验证凭证。如果缺乏他们的参与，系统就只能停留在点对点或实验性质的应用层面。

“目前，各类机构加入这种模式的激励并不一致。”Gonzalez 说，“因为他们现在从‘拥有并控制你的数据’中获益颇多，数据本身就是他们盈利的重要来源。”

Gonzalez 表示，技术上或许可以找到某些解决路径，但她更期待看到一场自下而上的运动，让用户主动要求对个人数据拥有更大的自主权。

本文由哈佛大学官方报纸《哈佛公报》授权发布。更多大学新闻请访问 Harvard.edu。