يقول الخبراء إن مصادقة المستخدمين من خلال التعرف على الوجه ليست فكرة جيدة أبدًا

استخدام التعرف على الوجه للتحقق من هوية الفرد ، وفقًا لـ خطة IRS التي تم استدعاؤها الآن، لم يكن النهج الصحيح أبدًا ، أكد خبراء الأمان والخصوصية.

تحرك مصلحة الضرائب وجهت لبنة من دعاة الخصوصية منذ لحظة الإعلان عنها. في 7 فبراير 2022 ، العديد من المشرعين انضم إلى الجوقة وحث IRS على عكس قرارها ، والذي قام فعل القسم بعد فترة وجيزة ، واعدًا بدلاً من ذلك باستكشاف خيارات أخرى.

وأشار مفوض مصلحة الضرائب تشاك ريتيج إلى أن "مصلحة الضرائب تأخذ خصوصية دافعي الضرائب وأمنهم على محمل الجد ، ونحن نتفهم المخاوف التي أثيرت". "يجب أن يشعر الجميع بالراحة تجاه كيفية تأمين معلوماتهم الشخصية ، ونحن نتبع بسرعة خيارات قصيرة المدى لا تتضمن التعرف على الوجه."

حفظ ماء الوجه

خططت الوكالة لاستخدام تقنية المصادقة من ID.me وطلبت من المستخدمين إرسال صور شخصية بالفيديو إلى الشركة للوصول إلى حساباتهم عبر الإنترنت.

جاي باز، مدير أول للتسليم في كوبالت، لـ Lifewire عبر البريد الإلكتروني أنه على الرغم من أن القياسات الحيوية أصبحت جزءًا من حياتنا اليومية ، بفضل الهواتف الذكية والأجهزة الذكية ، إلا أن استخدامها للمصادقة كان طوعيًا.

وأشار باز إلى أنه "بالنسبة للأنظمة والبيانات الأكثر حساسية ، مثل ما يمكن لـ IRS الوصول إليه ، من الضروري أن تكون هناك شفافية في التكنولوجيا والعمليات التي ستحمي بيانات المستخدمين".

تيم إرلين، نائب الرئيس للاستراتيجية في سلك، وافقوا وأخبروا Lifewire عبر البريد الإلكتروني أنه في حين أن تقنية التعرف على الوجه مستقطبة بشكل عام ، فإن فكرة الوثوق بطرف ثالث لإدارة مثل هذه البيانات الشخصية أمر غير مقبول بالنسبة للكثيرين.

"إذا كان لدى الولايات المتحدة قانون خصوصية قوي يحمي المعلومات البيومترية للأفراد ، فسيكون هذا وضعًا مختلفًا. ومع ذلك ، فبدون أي حماية لبيانات المواطنين الأمريكيين ، فإن اعتماد هذه التكنولوجيا على هذا النطاق سيكون إساءة ممارسة للخصوصية ، " ليسيو ديباولا جونيور، VP of Data Protection at اعرف 4، أخبر Lifewire عبر البريد الإلكتروني.

ثم هناك حقيقة أنه ليس كل الناس لديهم إمكانية الوصول إلى إمكانات المصادقة البيومترية ، شيء ما بول لودانسكي، رئيس استخبارات التهديدات في تسيان، إلى Lifewire عبر البريد الإلكتروني. ورأى أن هذا قد يرجع إلى عدة عوامل ، مثل عدم الوصول إلى خدمات الإنترنت الموثوقة أو الأجهزة المزودة بكاميرات وأجهزة استشعار متوافقة.

بدائل قابلة للتطبيق

يعتقد DePaula Jr. أن خطة IRS كانت واحدة من تلك الحالات التي لا تبرر فيها الغايات الوسيلة.

"يمكن أن تكون البوابة آمنة بنفس القدر من خلال الاستفادة من متطلبات كلمات المرور القوية بالإضافة إلى المصادقة ذات العاملين للمستخدمين النهائيين ، وهي طريقة غير مكلفة وأقل تدخلاً وغير متحيزة لتأمين البوابة دون الحاجة إلى الاستفادة من طرف ثالث " افتتح.

يفضل Paz أيضًا مثل هذه الأساليب الثانوية للتحقق من الهوية ، لا سيما استخدام تطبيقات كلمات المرور لمرة واحدة المستندة إلى الوقت مثل Google Authenticator. بدلاً من ذلك ، اقترح أن يحاول IRS أيضًا استخدام أرقام الهواتف التي تم التحقق منها لإرسال رمز SMS إلى المستخدمين ، والذي ربما يكون أكثر الحلول التي يمكن الوصول إليها على نطاق واسع والمتاحة لجميع المستخدمين تقريبًا الأعمار.

ومع ذلك ، قبل أن يتحول إلى حل ، دارين كوبر، CTO في الخروج، موضحًا لـ Lifewire عبر البريد الإلكتروني ، سيتعين على مصلحة الضرائب التأكد من أن الآلية التي تختارها يمكنها حماية بيانات دافعي الضرائب دون إدخال مشكلات تتعلق بإمكانية الوصول.

واقترح أنه إذا أراد القسم إعطاء الأولوية لمستوى أعلى من الأمان ، فيمكنه استخدام الوسائل المادية للمصادقة الشخصية مثل مفتاح أمان RSA. هذه الطريقة ، مع ذلك ، معقدة من الناحية اللوجستية. تعد مصادقة الرسائل القصيرة خيارًا أقل تعقيدًا ، لكن كوبر أضافت أنها ستعمل فقط إذا كان لدى القسم رقم هاتف محمول معروف للجميع.

"يجب على مصلحة الضرائب الأمريكية أيضًا مراعاة مطلب التفاعل المسبق مع المستخدم لتأكيد هويته قبل أن يتمكن من الوصول إلى الخدمة. على سبيل المثال ، يمكن أن يطلبوا من دافعي الضرائب إدخال تفاصيل هوية فريدة ، مثل الضمان الاجتماعي أو أرقام جواز السفر ، والتي يمكن التحقق منها بواسطة مصلحة الضرائب داخليًا قبل إصدار تسجيل الدخول عبر الإنترنت. النفقات اللوجستية هنا أكبر لكنها تضمن تحقيق مستوى أعلى من الأمن "، اقترح كوبر.

على الرغم من أن مصلحة الضرائب الأمريكية لم تدرج البدائل التي تستكشفها ، فمن الواضح أنه لا يوجد نقص في الخيارات.

حتى في الوقت الذي أشادوا فيه بشكل جماعي بمصلحة الضرائب لعكس قرارها ، يشير خبراء الأمن إلى آخرين في الحكومة ، أكثر من غيرهم ولا سيما إدارة شؤون المحاربين القدامى ، التي لا تزال تستخدم نفس خدمة التعرف على الوجه الأساسية للتحقق من الهوية المقاصد.

هذا شيء يدركه DePaula Jr. جيدًا ويأمل أن تبدأ مصلحة الضرائب "في السير في الاتجاه الصحيح ، لأنه بمجرد أن تتبنى وكالة حكومية معيارًا ما ، يبدأ آخرون في اتباعه".