能不能不登陆?
今天把机器清理了一遍,把历史记录、cookies等等一切东西全清掉了,心理上感觉机器干净了不少。
打开firefox,心理上感觉快了不少,但是问题马上就来了。
之前浏览一些网站,总要求登陆,很多功能都必须是会员才能使用的。不知道是为了赚会员数还是怎么的,反正国外的网站上下载个东西极少需要注册或登陆的。
我最不善于记密码,而为了安全,密码还得经常改,我就找个本子记下(原谅我,总感觉纸上写的东西安全点)。放假回家,本子没带,于是把所有的密码都登陆一遍,网站能记录cookies的就记录(很多网站有“记住我”),网站不能记录就让ff保存了密码。清理了所有东西之后我发现乱七八糟的密码全都忘记了……于是经历了一场登陆战。
Google的还好说,登陆一个全部服务都可以;MSN也好说,登陆了messenger之后就解决了。校内网试了两次,抓虾试了一次,淘宝的密码试了N次没记起来,Feedburner试了5次,豆瓣试了2次,Yahoo!的信箱也试了4次才登陆进去。早知道就不设什么乱七八糟的密码了,可是那样可能吗?网站就不允许,说起来我在Yahoo初期注册的用户名用了4位数的密码到现在也没改过。
在头大地登陆进一堆网站之后,我开始考虑前几天提到的OpenID的问题。怎么才能不用这么麻烦呢?
解决问题有这么几个方法:
* 使用尽量少的服务,而且所有的服务都用一个公司的,而这个公司提供类似微软和google的passport的东西,一个用户名就可以解决。不幸的是,能做到这些的公司几乎没有,有也不是免费的。google貌似接近的样子但还有很多不够,至少在习惯上,google还没有完全说服我。
* 所有的用户名和密码都一样。这就有两个问题,第一你能不能抢到你想要注册的这个用户名,第二是不是安全。要两者皆得,那么恭喜你,你拥有了一个超级丑陋的ID和一个超级难记的密码。
* 所有公司达成协议,共享用户数据,可以随便登陆。这可能吗?
* 使用OpenID,但是支持OpenID的网站太少。
OpenID 的原理很简单,其思想是用一个服务器来提供注册信息,提供一个URL作为用户名。在注册其他支持OpenID的网站的时候,该网站会到这个服务器上查找注册信息。这样,一个URL就可以作为所有服务的用户名来解决登陆问题了。听起来有点想自动完成表单。使用OpenID需要网站支持,技术上不难,但是要推广却不是容易的事。
其实解决这个问题应该有一个指导性的思想,现实世界中身份证是一个很好的例子。我们在办理银行卡等业务的时候,用于证明身份的是ID Card,这张卡记录了你的大部分公共信息,由一个强力的第三方--国家--保证其真实性。那么在网络世界,我们也可以采取这种方式,由一个强大的拥有绝对权威的第三方来验证一个用户的信息,然后发回服务器,服务器需要的信息也从认证服务器提取。
这样做的一个附加好处就是允许重名了,想想身份证不是也有很多重名吗?总有好几层信息可以确定一个人的。要注意的是,这里可能就涉及网络实名的问题了,这就又动了很多脆弱的网民的神经了吧。
当然,这只是一个构思,现在还没有一个企业或者组织能够具有这么大的权威来作为这个验证身份的第三方,而在观念等方面还存在着诸多障碍。
无奈,我还是好好背ID和Password吧……