Ověřování uživatelů pomocí rozpoznávání obličeje není nikdy dobrý nápad, říkají odborníci

Použití rozpoznávání obličeje k ověření identity jednotlivce, jak je uvedeno IRS nyní připomněl plán, nikdy nebyl správný přístup, prosazují odborníci na bezpečnost a soukromí.

Krok IRS kreslil cihláře od ochránců soukromí od okamžiku, kdy to bylo oznámeno. 7. února 2022 několik zákonodárců se připojil k chóru, který naléhal na IRS, aby své rozhodnutí zvrátil, což oddělení udělalo brzy poté slíbil místo toho prozkoumat další možnosti.

„Úřad IRS bere soukromí a bezpečnost daňových poplatníků vážně a chápeme obavy, které byly vzneseny,“ poznamenal komisař IRS Chuck Rettig, když rozhodnutí odvolal. "Každý by se měl cítit dobře s tím, jak jsou jeho osobní údaje zabezpečeny, a my rychle sledujeme krátkodobé možnosti, které nezahrnují rozpoznávání obličeje."

Ukládání tváře

Agentura plánovala použít ověřovací technologii od ID.me a požádala uživatele, aby společnosti odeslali video selfie, aby měli přístup ke svým online účtům.

Jay Paz, vrchní ředitel pro dodávky ve společnosti Kobalt, sdělil Lifewire e-mailem, že i když se biometrie staly součástí našeho každodenního života, díky chytrým telefonům a chytrým zařízením, jejich použití pro ověřování bylo dobrovolné.

"Pro citlivější systémy a data, jako je to, k čemu má přístup IRS, je životně důležité mít transparentní technologie a procesy, které budou chránit data uživatelů," zdůraznil Paz.

Tim Erlin, viceprezident pro strategii at Tripwire, souhlasili a prostřednictvím e-mailu Lifewire sdělili, že ačkoli technologie rozpoznávání obličeje obecně polarizuje, pro mnohé je myšlenka důvěřovat třetí straně při správě takových osobních údajů nepřijatelná.

„Pokud by Spojené státy měly silný zákon na ochranu soukromí, který by chránil biometrické informace jednotlivců, byla by to jiná situace. Bez jakékoli ochrany dat amerických občanů by však přijetí této technologie v tomto rozsahu bylo porušením soukromí,“ Lecio DePaula Jr., viceprezident pro ochranu osobních údajů ve společnosti KnowBe4, řekl Lifewire e-mailem.

Pak je tu skutečnost, že ne všichni lidé mají přístup k možnostem biometrické autentizace Paul Laudanski, Head of Threat Intelligence at Tessian, upozornil Lifewire e-mailem. Usoudil, že by to mohlo být způsobeno několika faktory, jako je nedostatečný přístup ke spolehlivým internetovým službám nebo zařízení s kompatibilními kamerami a senzory.

Životaschopné alternativy

DePaula Jr. věří, že plán IRS byl jednou z těch situací, kdy cíle neospravedlňují prostředky.

„Portál může být stejně bezpečný tím, že využívá požadavky na silné heslo a také dvoufaktorovou autentizaci pro koncové uživatele, což je mnohem levnější, méně rušivý a nezaujatý způsob, jak zabezpečit portál, aniž byste museli využívat třetí stranu,“ zaujatý.

Paz také podporuje takové sekundární metody ověřování identity, zejména použití aplikací s jednorázovým heslem založených na čase, jako je Google Authenticator. Případně navrhl, že IRS může také zkusit použít ověřená telefonní čísla k odeslání SMS kódu uživatelů, což je možná nejdostupnější řešení dostupné prakticky všem uživatelům ze všech věky.

Než se však zaměří na řešení, Darren Cooper, CTO at Výtok, vysvětlil Lifewire prostřednictvím e-mailu, že IRS bude muset zajistit, aby mechanismus, který vybere, může chránit data daňových poplatníků, aniž by zaváděl problémy s dostupností.

Navrhl, že pokud chce oddělení upřednostnit vyšší úroveň zabezpečení, mohlo by použít fyzické prostředky osobní autentizace, jako je bezpečnostní klíč RSA. Tato metoda je však logisticky náročná. SMS autentizace je potenciálně méně složitá možnost, ale Cooper dodal, že bude fungovat pouze v případě, že má oddělení známé mobilní číslo pro každého.

„Úřad IRS by měl také zvážit požadavek na předchozí interakci s uživatelem, aby potvrdil jeho identitu, než bude mít přístup ke službě. Mohli by například požadovat, aby daňoví poplatníci zadali jedinečné identifikační údaje, jako je číslo sociálního zabezpečení nebo čísla pasu, které může IRS interně zkontrolovat před vydáním online přihlášení. Logistická režie je zde vyšší, ale zajišťuje, že lze dosáhnout vyšší úrovně zabezpečení,“ navrhl Cooper.

Zatímco IRS neuvedl alternativy, které zkoumá, je jasné, že není nedostatek možností.

I když kolektivně chválili IRS za zvrácení svého rozhodnutí, bezpečnostní experti poukazují na ostatní ve vládě, zejména ministerstvo pro záležitosti veteránů, stále používají stejnou základní službu rozpoznávání obličeje pro ověřování identity účely.

To je něco, čeho si je DePaula Jr. dobře vědoma a doufá, že IRS „začne směřovat správným směrem, protože jakmile jedna vládní agentura přijme standard, ostatní se začnou řídit“.