Pourquoi ne pas utiliser un identifiant national comme nom d'utilisateur pour chaque site Web?

Vous ne pouvez pas:

• avoir plusieurs comptes séparés (par exemple, des comptes professionnels et personnels séparés, ou un compte parodie séparé)

• avoir un compte vraiment anonyme

• avoir un compte si vous êtes apatride, ou d'un pays qui n'a pas de carte d'identité nationale, ou trop jeune ou autrement inadmissible pour avoir une carte d'identité nationale

• autoriser le (s) schéma (s) d'identification national (s) à chaque modification (ou nouvelle publication des numéros)

Dans certains pays, il est simplement interdit d'utiliser les identifiants uniques les plus importants dans d'autres bases de données que celles pour lesquelles il était initialement destiné. Par exemple, vous obtiendrez un identifiant pour le système d'assurance maladie géré par l'État, que le bureau des impôts n'est pas autorisé à utiliser et vice versa. Tout cela pour garantir la confidentialité et rendre plus difficile le recoupement des bases de données avec les informations personnelles.

En fait, les exigences de l'UE concernant les informations personnelles deviennent plus strictes et toutes les entreprises que vous avez mentionnées ont déjà du mal à respecter leur approche actuelle. Cela seul est une raison suffisante pour éviter les numéros d'identification nationaux comme la peste.

En plus de la sécurité, il existe également des problèmes de confidentialité colossaux. Vous ne voulez probablement pas que Facebook et Pornhub puissent comparer les notes et lier votre compte Pornhub à votre compte Facebook. Et bien sûr, quelqu'un peut vouloir créer deux comptes différents, mais il n'a qu'un seul ID.

En fait, nous avons un cas très pertinent pour expliquer pourquoi ce n'est pas une bonne idée. Aux États-Unis, nous avons depuis longtemps un système de rapports de crédit basé sur l'ID national. La présomption (absurde) était que si vous connaissez l'identifiant national d'une personne et son nom, sa date de naissance, etc., vous devez être cette personne. Le problème avec cela est que trouver le l'ID national de quelqu'un devient de plus en plus trivial . Le résultat est que les gens se font régulièrement passer pour d'autres pour des gains illicites. Les problèmes pour le propriétaire réel de cet ID peuvent être très importants.

Cette idée que vous proposez contribuerait en fait encore plus à ce problème, mais ce n'est pas vraiment le point que je fais valoir ici. Changer votre identifiant national est très difficile dans la plupart (tous?) Des pays. Une fois que quelqu'un a ces informations, il est utile pendant une longue période et les victimes de cette lutte pendant des décennies de faire face à tous les problèmes constants tels que les agences de recouvrement de créances les appelant au travail ou terrorisant leurs familles. J'ai récemment entendu parler d'une femme dont la carte d'identité nationale a été volée et utilisée par une autre femme qui allait en prison.

Les problèmes avec ce type de système ressemblent beaucoup à l'utilisation de la biométrie. Si mon empreinte digitale est mon identifiant et quelqu'un peut le reproduire , alors tout ce que je touche peut potentiellement révéler mon identité à un voleur. Les gens peuvent même l'enlever d'une photo comme dans le lien ci-dessus. Si quoi que ce soit, nous devons nous éloigner de l'utilisation de ces identifiants immuables.

Leurs raisons sont nombreuses, c'est une mauvaise idée. En voici quelques-unes du haut de ma tête.

• Si nous avions tous le même nom d'utilisateur pour chaque service, il existe maintenant une base de données de tous les noms d'utilisateurs (qui seront divulgués ou éventuellement compilés). Je n'ai plus qu'à me soucier de l'obtention de votre mot de passe. Cela crée la plus grande base de données d'énumération de nom d'utilisateur jamais créée.
• Je peux m'inscrire à n'importe quel nombre de services avec votre ID utilisateur. Certains services peuvent utiliser la vérification par e-mail et d'autres non.
• Plus je possède d'informations uniques sur vous, plus le vol d'identité est facile. Je pourrais combiner les inscriptions de service pour créer un tout autre digital vous basé sur votre identifiant global.
• Ce serait le meilleur ID de suivi des annonces jamais créé. Vous pouvez associer toutes les utilisations de compte/Internet pour créer un super profil d'annonce.

D'autres réponses couvrent très bien les problèmes de confidentialité, d'authentification et de disponibilité, mais il y a un autre problème plus pragmatique avec cette approche: c'est tout simplement trop difficile à mettre en œuvre d'un point de vue technique.

Les identifiants nationaux de différents pays se chevauchent fréquemment. Il y aura un grand nombre de collisions, où deux personnes de pays différents ont exactement le même nombre. Exemple: le S SSN est un nombre à 9 chiffres . Le le numéro d'assurance sociale canadien est également un numéro à 9 chiffres . Le NAS du Canada comprend un chiffre de contrôle, mais même ainsi, le nombre de collisions possibles est toujours de plusieurs millions.

Pour éviter cela, les gens devraient spécifier à la fois le numéro d'identification national ET le pays. Mais comment les gens présentent-ils ces informations?

• Avez-vous deux champs distincts, un pour le pays et un pour l'ID? Si c'est le cas, vous venez de compliquer considérablement les exigences de base de données et de logiciels pour tout le monde dans le monde.
• Avez-vous un champ où vous fusionnez deux valeurs ensemble?
• Si oui, comment représentez-vous le pays? (Code alpha ISO? Code numérique ISO?
  Autre chose?)
• Comment concaténez-vous les valeurs? Pays d'abord, puis ID? Y a-t-il un délimiteur? Si oui, c'est quoi?

• Comment gérez-vous le fait qu'un même ID peut être représenté avec différents formats? Certains nombres utilisent des tirets ou des points, certains utilisent des espaces, etc.

• Que se passe-t-il lorsqu'un pays est repris par un autre pays ou qu'un pays se scinde en deux?

• Que se passe-t-il lorsque les gens quittent un pays pour un autre ou changent de nationalité?
• Qui va gérer toute cette complexité? Qui paie pour cette gestion?
• Comment gérez-vous pays qui maintiennent plusieurs types de pièces d'identité , numéros d'assurance sociale, numéros d'électeur, numéros d'identification fiscale, etc.?
• Que se passe-t-il lorsqu'un pays modifie son système d'identification national? ( cela se produit assez fréquemment ces dernières années )
• Qui va gérer toute cette complexité? Comment appliquez-vous les règles?

Indépendamment de toute autre préoccupation, cette solution est vouée à l'échec, car elle ne simplifie rien, elle ajoute beaucoup de complexité.

Étude de cas: Norvège.

La Norvège a des numéros d'identification nationaux. Et nous les utilisons pour tout.

Du bon côté, cela rend tout facile. Je n'ai pas à faire de déclaration de revenus car le fisc sait tout de toute façon. Chaque fois que je parle à un bureau du gouvernement, je leur donne le numéro d'identification et ils connaissent automatiquement mon nom, mon adresse, mon âge et tout le reste, sans erreurs de frappe. Même chose avec les banques, les compagnies d'assurance et les autres entreprises "dignes". (Je ne sais pas comment ils se qualifient de "dignes", mais il y en a beaucoup)

Même les entreprises "indignes" connaissent le numéro d'identification de leurs employés pour déclarer leurs revenus au bureau des impôts.

La direction de mon complexe d'appartements connaît mon numéro d'identification. Je suis sûr qu'ils le signalent à un bureau gouvernemental ou à un autre.

En théorie, les numéros d'identification sont secrets, en pratique ils ne le sont pas. Ils sont partout, comment pourraient-ils être secrets?

Les banques ont coopéré pour créer un système d'authentification pour les opérations bancaires en ligne. Cela utilise une combinaison d'un dongle créant des mots de passe à usage unique et un mot de passe mémorisé.

Le gouvernement a acheté ce système, nous utilisons donc le même dongle/mot de passe pour les sites Web du gouvernement.

Nous avons des lois strictes sur la façon dont les bases de données contenant ces numéros doivent être traitées. À en juger par les gros titres des journaux, ces lois sont souvent enfreintes de manière modeste mais rarement de manière importante.

La confidentialité est rompue souvent, mais il s'agit rarement de données importantes. Bases de données clients et autres. Je suis sûr que les gens du marketing bavent à propos de ces données, mais je ne perdrai pas le sommeil dessus.

Je sais que d'autres ne seront pas d'accord.

Les données importantes, comme les dossiers médicaux, sont en fait protégées de manière assez compétente. L'inconvénient de que est que différents hôpitaux et autres ont des problèmes pour échanger des données.

Le vol d'identité est rare, à en juger par les gros titres des journaux. Je soupçonne que c'est parce que la Norvège est si transparente que le voleur aura des problèmes à se cacher après la découverte du vol d'identité.

Comment ça marche?

Une des raisons serait que les identifiants universels ne sont pas vraiment adaptés à la tâche. Ils n'ont pas de formulaire cohérent, et selon la façon dont ils sont générés, ils sont tous plus ou moins hostiles à l'utilisateur. Ils ne sont pas nécessairement uniques au monde non plus (cela nécessiterait une immense quantité de coordination pour y parvenir).

Certains pays peuvent ne pas avoir d'identifiants universels du tout, je parie qu'il n'y a pas peu de pays où l'on ne sait même pas exactement combien de personnes existent ou qui elles sont. Certes, il existe des centaines de millions de personnes (probablement plus) qui n'ont pas de carte d'identité, de numéro de sécurité sociale ou de certificat de naissance. Ils n'ont probablement pas non plus beaucoup d'accès à Internet, mais devrions-nous en principe leur refuser l'utilisation de sites Web parce qu'ils n'ont pas de numéro d'identification?

Le numéro sur ma carte d'identité est de 10 caractères alphanumériques, et mon ID universel au dos de la carte d'identité est la date de naissance inversée, plus un chiffre, plus 7 chiffres apparemment aléatoires et une lettre.
Sûrement fatlover69 et luckyguy777 sont beaucoup plus faciles à retenir en tant que noms d'utilisateur que M7NTU3C2H5, ou 6805097<8614257D, n'est-ce pas?

Que dois-je faire si je souhaite un deuxième compte ou si je souhaite abandonner un compte et le remplacer par un autre? Peut-être que j'ai perdu le mot de passe et que je ne peux pas accéder à l'adresse e-mail de récupération, peut-être que le compte a été piraté ou quelque chose de différent.
Eh bien, ne désespérez pas, c'est facile: il vous suffit d'obtenir un autre identifiant unique. Oh, attendez...

Faites-vous confiance à chaque site Web?

Une autre raison encore plus importante est que vous ne voudriez probablement pas un site Web aléatoire pour connaître votre ID. C'est la même chose qu'avec la biométrie. Ou, dans une moindre mesure, avec des adresses e-mail et des numéros de téléphone. Votre numéro de téléphone est l'une des premières choses que tout le monde, pas seulement les sites Web, veut savoir. Achetez une table dans un centre de meubles et ils veulent connaître votre numéro de téléphone. Quand vous leur dites "Eh bien, ... non. Je ne veux pas que vous m'appeliez" , ils semblent offensés¹.
Le problème est que, dans le pire des cas, vous pouvez toujours facilement changer votre adresse e-mail et votre numéro de téléphone. Changer qui vous êtes et ce que vous êtes est gênant. De plus, les numéros d'identification contiennent des chiffres de contrôle et sont vérifiables, donc donner à un site Web (qui n'acceptera pas un "Non") un faux numéro ne fonctionnera probablement pas bien.

Les sites Web et les entreprises derrière eux ne sont généralement pas (à très, très peu d'exceptions près) dignes de confiance. En fait, ce site Web même (Stackoverflow pour être précis) a prouvé son indignité seulement hier en m'envoyant du spam d'offre d'emploi non sollicité sous la fausse prémisse que j'ai opté pour pour les recevoir. Bien sûr, pas beaucoup de mal dans ce cas. Mais faites-vous vraiment confiance à chaque site Web au hasard pour lui donner votre identification, qui est beaucoup plus sensible qu'une adresse Google jetable? Vraiment?

Il n'y a pas longtemps que vous aviez seulement besoin d'un nom (probablement le nom de quelqu'un d'autre) pour louer une boîte de dépôt de colis. Bienvenue dans le monde de la fraude en ligne. Le butin est envoyé au nom de la victime, dans la boîte de dépôt de la victime. Seulement ... ils n'ont aucune idée qu'ils possèdent cette boîte et ils n'ont rien commandé.
Pendant ce temps, vous avez besoin d'un nom et du numéro d'identification correspondant. Je ne sais pas pourquoi vous encore n'avez pas à présenter physiquement un identifiant, mais peu importe.

Voulez-vous vraiment donner ce numéro à un site Web au hasard?

L'avez-vous pensé jusqu'au bout?

Les identifiants universels sont généralement un problème, plus que l'on pourrait penser. Beaucoup d'entre nous sont préoccupés par le fait que Facebook et Google stockent un cookie et placent des balises sur les sites Web. Mais que faire si vous leur avez dit votre carte d'identité universelle?

Je me souviens avoir travaillé dans un hôpital suédois il y a environ 20 ans où vous pouviez accéder au dossier médical de chaque personne (et à d'autres données personnelles) en entrant son code unique dans un ordinateur qui, bien sûr, ne nécessitait pas de mot de passe ou quoi que ce soit. Leur code unique, qui était leur date de naissance à l'envers, plus un numéro de séquence à 2 chiffres (ou quelque chose de très similaire).
. Ce qui n'est pas un problème car, évidemment, nous sommes tous des professionnels, et personne n'utiliserait jamais ces données pour autre chose que ce qui est prévu.

Ma pensée initiale était: "Woah, nous sommes tellement retardés, utilisant toujours du papier - les Suédois sont tellement cool. Par rapport à eux, nous vivons dans le moyen Âge".
Après une seconde réflexion, j'étais beaucoup moins extatique avec l'idée. Pourquoi, c'est une bonne chose, n'est-ce pas? Et vous n'avez rien à cacher. De plus, c'est seulement toujours bénéfique.

Oui, sauf ... si tu savais que le nom de cette fille était Inga² et vous ne connaissiez même pas son nom de famille, mais vous avez supposé qu'elle avait environ 22-24 ans et vivait dans cette ville, alors, bien, vous pourriez en quelques secondes vérifier si elle avait des antécédents d'herpès génital avant de partir en Date!
Non pas que je ferais jamais une telle chose, ni confirmer ni nier la connaissance des circonstances dans lesquelles d'autres personnes ont ou auraient pu faire ou recommander ladite chose ou une chose similaire, même sur une base hypothétique.

Les données, et la possibilité de lier des données à des personnes est une chose très, très dangereuse, cela devrait être évité à tout prix si vous pouvez l'aider. Vous ne devez jamais laisser cela se produire volontairement, sans besoin urgent et sans considération.

^{1 "Oh, je ne peux pas me permettre un téléphone portable" fonctionne beaucoup mieux, cela limite également la quantité de choses supplémentaires qu'ils essaient de vous vendre.
2 Le nom a été changé pour protéger les innocents. Toute ressemblance avec des personnes réelles, vivantes ou mortes, est purement fortuite.}

En Suède, je suis inscrit sur certains sites Web qui le font réellement. Par exemple, pour m'inscrire dans la file d'attente des logements dans différentes villes, je me connecte avec mon identifiant national suédois (le mot de passe est local). L'office du logement a besoin de connaître mon identifiant national de toute façon, donc on pourrait aussi bien l'utiliser comme identifiant. Bien sûr, les violations de bases de données peuvent être une source de préoccupation, mais cela est vrai pour toute base de données contenant l'ID national, qu'elle soit utilisée ou non pour se connecter.

D'autres réponses ont expliqué pourquoi il n'est pas souhaitable et impossible de l'appliquer universellement.

Bien qu'il existe de nombreuses raisons pour lesquelles ce n'est pas une assez bonne idée, cela n'est pas pertinent car il existe de nombreuses façons de faire la même chose. Dans la plupart des cas, les gens ne partagent pas non plus les adresses e-mail, OpenID et numéros de téléphone. Et ils sont plus standardisés d'un pays à l'autre. Pourquoi ne pas les utiliser à la place?

Eh bien, pour le nom d'utilisateur de l'université, ils supposeraient que certains étudiants changeraient les e-mails et les numéros de téléphone plus souvent que l'université. Mais au moins, ils ont toujours la possibilité de réserver le numéro de téléphone et l'adresse e-mail des utilisateurs pour les utilisateurs qui y ont opté.

D'un autre côté, en théorie, un gouvernement pourrait mettre en place un système qui rend les gens se connectant à des sites Web en utilisant quelque chose d'équivalent aux identifiants nationaux, et changer tous les processus connexes pour rendre le vol simplement un numéro d'identification inutile. Ils pourraient également élaborer un nouveau protocole afin que cela fonctionne de la même manière pour tous les pays. Et la plupart des problèmes signalés dans d'autres réponses pourraient être résolus d'une certaine manière. Mais ce n'est pas fait. Et comme les e-mails et les numéros de téléphone ont déjà résolu le problème, il n'y a aucune incitation à le faire.