考慮下這個場景：你恰好在線購買了一雙89美元的運動鞋。為了完成這個交易，你必須在商戶的web站點輸入你的個人身份信息并創建一個帳戶——只是以防你以后打算從他們這里購買更多的鞋——使用的是你已經在其它無數站點一樣的密碼。

聽起來熟悉么？生活在一個絕大多數食品、服務、業務和運營都已經轉移到Web上的時代里，一個人會認為在數以億計的消費者當中任何個人的在線身份和敏感信息會是安全的。好吧，重新考慮下。

在如今的因特網經濟環境下，消費者難得面對面地與商戶碰面。相反，顧客們被要求創建因特網身份，并且一次又一次地使用它以便購買食品和服務。盡管這個看起來是毫無壞處的，卻會頻繁地引起一個危險的問題：不像一個活生生的人可以在商鋪購物，并且當使用他/她的信用卡時被驗明真身；在因特網市場上購物的顧客們被要求創建一個“電子身份”以便從他們喜愛的在線商鋪購買東西。如果某個有經驗的竊賊獲得這些詳細信息，他們僅僅點擊幾下鼠標就能夠輕易地盜竊你的身份。

從企業的角度來看，不僅是攻擊者不斷地努力收集此類身份數據（通常與信用卡和其它有價值的個人信息相關），同樣還有不斷發展的確保在線身份數據安全的挑戰增加了業務運營的成本。為了解決這個和消費者欺詐相關的問題，美國商務部開始制定一個計劃創建更為強健的因特網身份，在人口稠密的區域減少因特網身份盜竊和欺詐事件。這些努力的結果就是美國國家標準技術研究院（National Institute of Standards and Technology ，簡稱NIST）國家項目辦公室成立“國家網絡空間可信身份戰略工程”（National Strategy for Trusted Identities in Cyberspace，簡稱NSTIC）。

該NSTIC工程由公眾和政府人員聯合組成，他們正在設計標準框架來嘗試減少身份欺詐發生，讓世界上的消費者安全地在線操作，無需不得不牢記各種各樣的密碼、或是攜帶多個安全口令牌。事實上，這個NSTIC工程正在改造進行在線身份驗證的方式。對于NSTIC來說第一個主要交付是用于構建電子身份環境治理架構的建議文檔。在2012年1月這個名為“用于構建電子身份環境治理的建議”的文檔向公眾發布，用于評審和考量。

該NSTIC身份建議的基本架構強調創建一個“身份代理人”，其遵循了現今因特網金融經紀人的運作方式。例如，如果某個消費者擁有一個PayPal的帳戶，并且該消費者要購物的商戶站點和PayPal公司有協議。這個消費者可以選擇在當前商戶的web站點輸入他/她的支付信息，或者更為理想的是點擊站點上的PayPal公司圖標。如果他們選擇后者，購物人被重定向到PayPal公司的web站點，在這里他/她登錄、接受支付費用，然后再被重定向到商戶的結賬頁面，該頁面的支付信息顯示為“全額支付完成”。無需消費者在該商戶站點輸入支付信息就可以完成一切操作。但是如果用戶想在以后返回該商戶站點購物時被辨認出來的話，他/她仍然必須向該商戶直接提供個人身份信息，即使這些金融信息由第三方的金融經紀人（如PayPal公司）保管。

NSTIC建議顧客的身份數據通過類似的身份代理人來解決這個問題。像PayPal公司這樣的身份代理人會允許每個用戶注冊、存儲他們的個人身份信息，并且需要時，代表用戶提交它們。在NSTIC架構下，經過認證的身份代理人將同因特網商戶與其他身份代理人建立關系，所以當消費者被提示提供他/她的在線身份信息時，該商戶會將消費者重定向給代理人。在這里消費者會提供強健的身份數據來核實他/她就是事實上請求鑒定的那個人，隨后該代理人會和商戶共享這個數據。

如今這個身份代理人的方法從技術上被許多廠商支持，但是各自以專有的方式進行。其中的一些主要商家像Google、Amazon、Apple和Microsoft使用集中化的身份店鋪用于他們自己和業務伙伴的授權。但是盡管這個方法將人們必須維護的因特網身份數量降至最低，可它們的適用范圍有限，并且他們仍然不得不依賴于標準的用戶名/密碼來認證某人的身份。

所以NSTIC的工作成果對于一般的企業來說意味著什么呢？盡管NSTIC正在努力致力于提高標準、流程和協議的適用級別，這些需要到位以便讓可信第三方保護消費者身份。這首先會要求主要的商家、例如大型企業的認同。從道德上講，任何在線商戶應該全力保護它的消費者的在線身份及信息，但是從經濟利益角度上這是沒有激勵性的。因為這讓消費者輕易地在商戶店面間再次使用他們的帳戶，會為競爭對手打開市場大門。而且盡管NSTIC正在做出努力來減少位于美國的商戶站點的欺詐事件，但是因特網已經向世界范圍的市場打開，這讓人們對因特網代理人能否跨越地理界限產生質疑。

還有一個企業如何能夠為了他們自己的目標利用NSTIC工作成果？通常企業們必須為他們的員工定義一個唯一的身份并且發布不同的憑證。到目前為止，NSTIC的關注點一直是消費者使用：沒有理由這些同樣的身份不能訪問像業務系統、電子郵件和保險金應用這樣的公司資源。將消費者的身份信息和他/她的雇主共享可以減少一般人需要維護的憑證的總數。此外，通過使用NSTIC憑證，工作場所的欺詐訪問也可能會減少，并且讓企業為那些想遠程辦公、或者經常出差的員工提供更多的外部訪問。

擴展性可能也是個問題。世界上有數不盡的公司和商戶站點不是大型因特網商戶。許多消費者繼續在這些站點上創建他們的身份。將這些小型公司和商戶的站點納入這個架構，而且對于想參與其中的公司，讓成本降低是一項棘手的問題。此外，消費者如何“強健地”認證仍是懸而未決的問題。所有的消費者會在郵箱中收到硬件口令牌么？要建立、分發和維護強健的憑證仍然價格不菲。理想情況下，隨著NSTIC推動人們普遍接受它的身份模型，電子經濟的規模效應會降低強認證技術的成本。

最后要考慮的一點、而且可能在大多數消費者的心目當中是最重要的：就是身份代理人怎么能夠保護消費者的身份數據，以及如果這些代理人被入侵會發生什么事情。至少就那些小型站點來說，可能所有消費者的身份不會被侵害。但是身份代理人需要維護消費者全部的身份數據。這些數據的泄漏可能給消費者以及身份代理人造成影響深遠的問題，甚至是迄今為止我們尚未遇到的。

因此，盡管NSTIC在說服小型和大型商戶及企業踏上在線身份保護列車上仍然有很長的路要走，從理想上來講，減少因特網身份盜竊和欺詐仍然會驅動市場在不遠的將來接受它。