Eksperdid ütlevad, et kasutajate autentimine näotuvastusega ei ole kunagi hea mõte
Võtmed kaasavõtmiseks
- IRS on loobunud plaanist kasutada maksumaksjate autentimiseks näotuvastust.
- Osakond on nüüd teadlik oma praeguseks tühistatud plaani turvalisuse/privaatsuse mõjudest.
- Turvalisuse ja privaatsuse eksperdid on pakkunud välja mitu elujõulist privaatsust austavat alternatiivi.
Spencer Whalen / EyeEm / Getty Images
Näotuvastuse kasutamine isiku identiteedi kontrollimiseks vastavalt Maksuameti nüüd tuletatud plaan, ei olnud kunagi õige lähenemine, kinnitavad turva- ja privaatsuseksperdid.
Maksuameti samm joonistas telliseid privaatsuskaitsjatelt alates selle väljakuulutamise hetkest. 7. veebruaril 2022 mitu seadusandjat ühines kooriga, mis kutsus IRS-i üles oma otsust muutma, mis osakond tegi varsti pärast seda, lubades selle asemel uurida muid võimalusi.
"IRS võtab maksumaksja privaatsust ja turvalisust tõsiselt ning me mõistame tõstatatud muresid," märkis maksuameti volinik Chuck Rettig, kui ta otsusest loobus. "Igaüks peaks tundma end mugavalt, kuidas tema isiklik teave on kaitstud, ja me otsime kiiresti lühiajalisi võimalusi, mis ei hõlma näotuvastust."
Näo salvestamine
Agentuur kavatses kasutada ID.me autentimistehnoloogiat ja palus kasutajatel esitada ettevõttele oma veebikontodele juurdepääsuks videoselfid.
Jay Paz, kohaletoimetamise vanemdirektor aadressil Koobalt, ütles Lifewire'ile meili teel, et kuigi biomeetria on saanud meie igapäevaelu osaks, on tänu nutitelefonidele ja nutiseadmetele selle kasutamine autentimiseks olnud vabatahtlik.
"Tundlikemate süsteemide ja andmete puhul, nagu see, millele IRS-il on juurdepääs, on ülioluline kasutajate andmeid kaitsva tehnoloogia ja protsesside läbipaistvus," märkis Paz.
Tim Erlin, strateegia asepresident Tripwire, nõustus ja ütles Lifewire'ile meili teel, et kuigi näotuvastustehnoloogia on üldiselt polariseeruv, on paljude jaoks vastuvõetamatu idee usaldada selliste isikuandmete haldamine kolmandale osapoolele.
"Kui USA-l oleks tugev privaatsusseadus, mis kaitseks üksikisikute biomeetrilisi andmeid, oleks olukord teistsugune. Kuid ilma Ameerika kodanike andmete kaitseta oleks selle tehnoloogia kasutuselevõtt sellises mahus eraelu puutumatuse rikkumine. Lecio DePaula Jr., andmekaitse asepresident aadressil KnowBe4, ütles Lifewire'ile meili teel.
Siis on tõsiasi, et kõigil inimestel pole juurdepääsu biomeetrilisele autentimise võimalustele, midagi Paul Laudanski, ohuluure juht aadressil Tessian, osutas Lifewire'ile meili teel. Ta põhjendas, et see võib olla tingitud mitmest tegurist, näiteks juurdepääsu puudumisest usaldusväärsetele Interneti-teenustele või ühilduvate kaamerate ja anduritega seadmetele.
Elujõulised alternatiivid
DePaula juunior usub, et maksuameti plaan oli üks neist olukordadest, kus eesmärk ei õigusta vahendeid.
"Portaal võib olla sama turvaline, kasutades tugevaid paroolinõudeid ja lõppkasutajate jaoks kahefaktorilist autentimist, mis on palju odavam, vähem pealetükkiv ja erapooletu viis portaali turvalisuse tagamiseks ilma kolmanda osapoole abita," ütles ta. arvas.
Paz pooldab ka selliseid teiseseid identiteedikontrolli meetodeid, eriti ajapõhiste ühekordsete paroolirakenduste, näiteks Google Authenticatori kasutamist. Teise võimalusena soovitas ta IRS-il proovida SMS-koodi saatmiseks kasutada kinnitatud telefoninumbreid kasutajad, mis on ehk kõige laiemalt ligipääsetav lahendus, mis on peaaegu kõigile kasutajatele saadaval vanused.
Tundlikumate süsteemide ja andmete jaoks... kasutajate andmeid kaitsva tehnoloogia ja protsesside läbipaistvus on ülioluline."
Enne kui see aga lahenduse nullib, Darren Cooper, CTO kl Väljapääs, selgitas Lifewire'ile meili teel, et IRS peab tagama, et tema valitud mehhanism suudab kaitsta maksumaksja andmeid ilma juurdepääsetavuse probleeme tekitamata.
Ta soovitas, et kui osakond soovib seada prioriteediks kõrgema turvalisuse taseme, võiksid nad kasutada isikliku autentimise füüsilisi vahendeid, näiteks RSA turvavõtmehoidjat. See meetod on aga logistiliselt keeruline. SMS-i autentimine on potentsiaalselt vähem keerukas valik, kuid Cooper lisas, et see töötab ainult siis, kui osakonnal on kõigile teada mobiiltelefoni number.
"IRS peaks arvestama ka eelneva suhtluse nõuet kasutajaga, et kinnitada tema identiteet enne teenusele juurdepääsu saamist. Näiteks võivad nad nõuda, et maksumaksjad sisestaksid kordumatud ID-andmed, nagu sotsiaalkindlustus- või passinumbrid, mida IRS saab sisemiselt kontrollida enne veebipõhise sisselogimise väljastamist. Logistiline üldkulu on siin suurem, kuid tagab kõrgema turvataseme saavutamise,“ soovitas Cooper.
dem10 / Getty Images
Kuigi IRS ei ole uuritavaid alternatiive loetlenud, pole valikutest puudust.
Isegi kui nad ühiselt kiitsid IRS-i oma otsuse tühistamise eest, juhivad turvaeksperdid tähelepanu teistele valitsuse liikmetele, eelkõige veteranide asjade osakond, kasutavad identiteedi kinnitamiseks endiselt sama aluseks olevat näotuvastusteenust eesmärkidel.
See on midagi, millest DePaula juunior on hästi teadlik ja loodab, et IRS "hakkab õiges suunas liikuma, sest kui üks valitsusasutus standardi vastu võtab, hakkavad teised seda järgima."