Nhân loại đã tìm ra cách tạo ra tiền kỹ thuật số phi tập trung — và nó hoạt động. Nhưng gần đây, ngày càng có nhiều sự chú ý chuyển sang một lĩnh vực tập trung sâu sắc khác: danh tính.
Có vẻ như những ngày mang theo một tài liệu giấy có ảnh của bạn sắp kết thúc. Bước vào làn sóng tiếp theo: World ID, Humanity Protocol, Proof of Humanity, BrightID — tất cả đều hứa hẹn một cuộc cách mạng kỹ thuật số. Nhận ID dựa trên blockchain của bạn và nói lời tạm biệt với hộ chiếu và giấy tờ của chính phủ.
- Forbes đang xuất bản các bài xã luận về những vấn đề mà ID phi tập trung có thể giải quyết.
- The Cryptonomist đang làm nổi bật Blockchain ID Layer — một ứng dụng mới nhằm mục đích phá vỡ danh tính như chúng ta biết.
- Cộng hòa Dân chủ Congo đang triển khai hệ thống nhận dạng quốc gia dựa trên blockchain.
Nhưng càng tìm hiểu sâu hơn về cách các hệ thống này thực sự hoạt động, tôi càng liên tục gặp phải cùng một câu hỏi:
ID kỹ thuật số có thực sự chứng minh được điều gì hơn ngoài việc một người nào đó — bất kỳ ai — hiện đang có quyền truy cập vào khóa riêng hoặc thiết bị?
Cách nó hoạt động trong thế giới thực
Với hộ chiếu giấy, mọi thứ khá đơn giản. Bạn xuất trình tài liệu của mình, người kiểm tra so sánh ảnh — “ừm, trông giống bạn.” Nếu người khác xuất hiện với cùng một hộ chiếu đó, sự lừa dối sẽ nhanh chóng sụp đổ. Ngay cả khi bạn cho một người bạn mượn hộ chiếu của mình, họ sẽ không vượt qua được việc kiểm tra khuôn mặt khi họ cố gắng sử dụng nó. Đó là ý nghĩa của ID thực: “Tôi chính xác là người mà tôi tuyên bố.”
“Giao thức” đằng sau hộ chiếu giấy chỉ đơn giản là ngăn bất kỳ ai khác sử dụng nó. Đó là lý do tại sao tôi nghĩ mọi người thường lo lắng quá nhiều về việc chia sẻ chi tiết hộ chiếu của họ. Ngay cả một bản sao hoàn hảo của hộ chiếu cũng vô dụng nếu bạn không phải là người được cấp hộ chiếu — ảnh sẽ phản bội bạn!
Điều đó nói lên rằng, "giao thức" này thường bị bỏ qua trong thực tế. Đôi khi mọi người không bận tâm kiểm tra ảnh chút nào. Những lần khác, họ chấp nhận hộ chiếu — hoặc chỉ dữ liệu của nó — mà không có mặt chủ sở hữu. Vì vậy, tôi tôn trọng những người không thích chia sẻ chi tiết ID của họ. Đặc biệt vì nhiều khách hàng của chúng tôi tại rabbit.io cảm thấy như vậy. Họ đến với chúng tôi để trao đổi tiền điện tử vì các sàn giao dịch truyền thống yêu cầu đăng ký đã xác minh hộ chiếu, trong khi trên rabbit.io bạn có thể thực hiện hoán đổi mà không cần nó.
Ngành công nghiệp tiền điện tử cung cấp những lựa chọn thay thế nào cho hộ chiếu?
Gần đây, tôi liên tục thấy những tiêu đề như “Một người — một ID!” và “Dữ liệu của bạn, quyền kiểm soát của bạn!”
Trông thật tuyệt. Bạn quét mắt một lần — và bùm, bạn đã được đăng ký là một con người đã được xác minh trong thế giới kỹ thuật số. Bạn nhận được một mã thông báo soulbound hoặc một loại thông tin xác thực nào đó và giờ đây bạn có thể bỏ phiếu trong các cộng đồng phi tập trung, nhận airdrop hoặc chứng minh tính duy nhất của bạn trong bất kỳ ứng dụng trực tuyến nào.
- Ví dụ: hãy xem xét World (trước đây là Worldcoin). Họ đã chế tạo một thiết bị quét mống mắt của bạn và lưu trữ một hàm băm duy nhất của nó trên blockchain — không phải chính hình ảnh, mà chỉ là một dấu vân tay toán học.
- Ngoài ra còn có Humanity Protocol, có chức năng tương tự nhưng với dấu vân tay lòng bàn tay.
- Và Proof of Humanity, dựa trên các bản ghi video và sự chấp thuận của xã hội.
- BrightID lập bản đồ kết nối của bạn với những người khác và xác minh rằng bạn không chỉ là một tài khoản bot khác.
- Idena khiến mọi người giải CAPTCHA trong thời gian thực để chứng minh rằng họ là con người — và là những con người độc nhất.
Mỗi hệ thống này cố gắng trả lời cùng một câu hỏi: làm cách nào chúng ta có thể đảm bảo rằng mỗi người chỉ có một danh tính kỹ thuật số và danh tính đó không bị ràng buộc với bất kỳ chính phủ hoặc thông tin đăng nhập email nào?
Và Đây Là Nơi Mọi Thứ Trở Nên Thú Vị
Tất cả các hệ thống này tập trung vào việc đảm bảo rằng một người chỉ nhận được một ID. Nhưng điều mà họ hiếm khi giải quyết là câu hỏi tiếp theo, khó khăn hơn nhiều: Làm cách nào chúng ta có thể đảm bảo rằng chỉ cùng một người tiếp tục sử dụng ID đó sau này?
Bởi vì hãy nghĩ về nó — với hộ chiếu truyền thống, ai đó có thể đánh cắp nó, nhưng họ sẽ không đi được xa. Họ sẽ xuất hiện và người kiểm tra nó sẽ nhìn vào ảnh và nhận ra: "Chờ đã, đây không phải là bạn."
Nhưng trong thế giới ID tiền điện tử, lớp xác minh thứ hai đó — lớp xảy ra khi bạn sử dụng ID — thường không tồn tại. Trong nhiều hệ thống, sau khi ID của bạn được cấp, tất cả những gì quan trọng là liệu bạn vẫn là người duy nhất kiểm soát khóa riêng hoặc thiết bị mà nó được lưu trữ hay không.
Và điều đó có nghĩa là hệ thống không còn xác định bạn nữa. Nó chỉ xác định bất kỳ ai đang giữ chìa khóa ngay bây giờ.
Liên Kết Thiết Bị Không Phải Là Một Giải Pháp Thực Sự
Tôi thường nghe những điều như, “Nhưng khóa chỉ được lưu trữ trên thiết bị của bạn — không ai khác có thể sử dụng nó!” Đó là một quan niệm sai lầm.
Các thiết bị bị mất, bị hack, được giao để sửa chữa hoặc cho người khác mượn. Bất kỳ ai có được toàn quyền truy cập vào điện thoại của bạn cũng sẽ tự động có được toàn quyền truy cập vào tất cả thông tin xác thực của bạn. Không có rào cản thực sự nào cản đường họ.
Và nếu chủ sở hữu cố ý cho phép người khác sử dụng ID của họ — chẳng hạn như cố tình lừa hệ thống — thì việc gắn ID vào một thiết bị thay vì vào sinh trắc học chỉ khiến cho việc lừa dối trở nên dễ dàng hơn.
Liệu Sinh Trắc Học Có Cứu Vãn Được Tình Hình?
Để đáp lại những lời chỉ trích về việc khóa riêng có thể dễ dàng chuyển nhượng, nhiều dự án đã bắt đầu thêm sinh trắc học — Face ID, dấu vân tay, quét lòng bàn tay. Với World ID, sau khi quét mống mắt của bạn tại Orb, bạn sẽ được yêu cầu bật Face Auth, vì vậy được cho là chỉ có khuôn mặt "của bạn" mới có thể mở khóa ứng dụng. Nghe có vẻ trấn an, phải không? Nhưng đây là lỗ hổng lớn đầu tiên trong hệ thống — lỗ hổng mà mọi người thường không nói đến.
Bất kỳ xác thực sinh trắc học nào trên điện thoại — cho dù đó là Face ID hay dấu vân tay — chỉ đơn giản là một cách để mở khóa thiết bị. Nó thực sự không chứng minh rằng bạn là người đang sử dụng nó. Bạn có thể đi vào cài đặt của điện thoại và thêm dấu vân tay của bạn bè hoặc người thân, và giờ họ sẽ có quyền truy cập vào ứng dụng của bạn giống như bạn. Tệ hơn nữa, một người có quyền kiểm soát thể xác đối với bạn — giả sử, khi bạn đang ngủ, bất tỉnh hoặc chịu áp lực — có thể thêm dữ liệu sinh trắc học của riêng họ và bắt đầu sử dụng ID của bạn.
Hệ thống không thể biết dấu vân tay hoặc khuôn mặt mà nó đang nhìn thấy là của ai. Tất cả những gì nó biết là “một trong các hồ sơ sinh trắc học đã được phê duyệt” đã xác thực hành động. Vì vậy, tất cả những lời hứa rằng “chỉ người dùng ban đầu mới có thể truy cập World ID của họ” là, thẳng thắn mà nói, chỉ là mong muốn.
Một số dự án làm cho việc giả mạo khó hơn. Humanity Protocol quét lòng bàn tay của bạn và yêu cầu cùng một lòng bàn tay cho các lần truy cập sau này. Proof of Humanity yêu cầu một video về khuôn mặt của bạn và bạn không thể chỉ tải lên khuôn mặt của người khác sau này. Nhưng ngay cả những điều đó cũng không giải quyết được vấn đề sâu xa hơn: bạn không thể chắc chắn mình đang giao dịch với ai. Đó có phải là người đã quét tay hoặc mặt của chính họ không? Hay ai đó khác đang chĩa máy quét vào tay của người dùng ban đầu — hoặc máy ảnh vào khuôn mặt của người khác?
Các Giao Thức Xã Hội Và Ý Tưởng Về “Tính Độc Đáo”
Các dự án như BrightID và Proof of Humanity có một lộ trình khác: không có sinh trắc học, chỉ có bằng chứng về tính độc đáo thông qua các kết nối xã hội hoặc chứng thực lẫn nhau — đôi khi có ảnh tự chụp hoặc video ngắn. “Con người duy nhất” trong bối cảnh này chỉ đơn giản có nghĩa là không phải là bot, không phải là một tài khoản trùng lặp. Đó là điều duy nhất mà các ID kỹ thuật số này được thiết kế để xác nhận. Họ không nhằm mục đích chứng minh rằng người sử dụng ID là cùng một cá nhân đã tạo ra nó ban đầu.
Cách tiếp cận này rất tốt để ngăn chặn bot và thêm một lớp tính toàn vẹn vào các hệ thống bỏ phiếu hoặc airdrop trực tuyến. Nhưng nếu bạn chuyển quyền truy cập vào tài khoản của mình cho người khác, họ sẽ tiếp tục "là bạn" theo như hệ thống lo ngại — không có kiểm tra nào để xác minh ai thực sự đang cầm điện thoại tại bất kỳ thời điểm nào.
Liên Kết Với Tài Liệu Của Chính Phủ (Hộ Chiếu, Bằng Lái Xe)
Một số dự án cung cấp để bao gồm một "yếu tố bằng chứng" — ví dụ: đọc dữ liệu từ hộ chiếu sinh trắc học thực thông qua NFC để thêm quốc tịch hoặc độ tuổi đã xác minh vào ID phi tập trung của bạn.
Nhưng đây là điểm mấu chốt. Hầu hết các giải pháp này thực sự không so sánh khuôn mặt của bạn với ảnh trong hộ chiếu. Chúng chỉ kiểm tra chữ ký số và xác nhận rằng các trường khớp nhau. Vì vậy, nếu bạn có hộ chiếu của người khác, bạn có thể dễ dàng liên kết nó với ID của mình — và hệ thống sẽ không phát hiện ra sự thay thế.
Chỉ các dịch vụ tập trung — ngân hàng, nhà cung cấp KYC, v.v. — thường yêu cầu so sánh ảnh tự chụp hoặc video trực tiếp. Các giải pháp phi tập trung, kiểu Web3 thường tránh các thỏa hiệp về quyền riêng tư như vậy.
Ảnh Tự Chụp Trực Tiếp trong Web3
Nhiều người nói rằng, “Trong tương lai, chúng ta sẽ có các hệ thống ZK và SSI hoàn hảo — mọi thứ sẽ chỉ được lưu trữ trên thiết bị của người dùng, ảnh tự chụp sẽ được sử dụng để xác minh và quyền riêng tư sẽ được bảo toàn hoàn toàn!” Nhưng đây là vấn đề: nếu tất cả dữ liệu sinh trắc học chỉ được lưu trữ ở phía người dùng, thì bên xác minh sẽ so sánh ảnh tự chụp trực tiếp với cái gì?
Chính xác — người dùng sẽ phải gửi ảnh hoặc mẫu sinh trắc học của họ đến một dịch vụ bên ngoài (thường là AI dựa trên đám mây), sau đó chỉ hy vọng rằng dịch vụ sẽ xóa dữ liệu ngay sau khi kiểm tra. Không có gì đảm bảo cả.
Vậy, Điểm Mấu Chốt Là Gì?
Các ID kỹ thuật số phi tập trung hiện đang được phát triển trong ngành công nghiệp tiền điện tử thực sự đại diện cho sự tiến bộ — đặc biệt là khi trao quyền kiểm soát dữ liệu của chính họ cho người dùng.
Chúng cung cấp sự bảo vệ vững chắc chống lại фальсификаций hàng loạt, nhiều tài khoản và các trang trại bot. Họ giữ gìn sự ẩn danh — không ai biết tên bạn trừ khi bạn chọn tiết lộ nó. Họ giúp bạn dễ dàng chứng minh rằng “Tôi là một người thật” mà không cần tải lên hộ chiếu hoặc điền dữ liệu cá nhân trên mọi trang web mới.
Nhưng đây là điều mà họ không cung cấp: một sự đảm bảo mạnh mẽ rằng người sử dụng ID là cùng một người đã nhận nó ban đầu.
Những gì các hệ thống này thực sự bảo vệ là thực tế là ai đó kiểm soát một khóa riêng — hoặc một thiết bị. Không phải là liên kết một-một với một con người cụ thể.
Dữ liệu sinh trắc học, đồ thị xã hội, mã thông báo xác minh — chúng rất tuyệt vời trong việc ngăn chặn bot. Nhưng chúng không bảo vệ chống lại một kịch bản rất con người: khi người dùng ban đầu tự nguyện (hoặc dưới áp lực) cấp cho người khác quyền truy cập vào thiết bị hoặc khóa của họ.
Vì vậy, hãy xem xét bất kỳ tuyên bố nào như “chỉ chủ sở hữu mới có thể sử dụng ID kỹ thuật số của họ” với một liều lượng hoài nghi lành mạnh. Những gì bạn thực sự nhận được chỉ là một mã thông báo — và một chìa khóa để truy cập nó. Một chiếc chìa khóa có thể bị lãng quên, mất mát, chia sẻ hoặc lấy đi.
Nếu bạn muốn có những đảm bảo mạnh mẽ hơn, hãy luôn cảnh giác và đừng rơi vào những câu chuyện cổ tích về phép thuật blockchain. Blockchain rất tuyệt vời để lưu trữ và chuyển giá trị — không phải cho danh tính. Và nếu không có “ảnh trong hộ chiếu” tốt thời xưa, chúng ta vẫn còn thiếu một mảnh ghép quan trọng. Giống như chúng ta vẫn cần kiểm tra trực tiếp để so sánh bức ảnh đó với khuôn mặt thực tế của người đang giữ tài liệu.
