Lietotāju autentifikācija ar sejas atpazīšanu nekad nav laba ideja, saka eksperti

February 10, 2022
InJaunumi Internets Un Drošība

Key Takeaways

IRS ir atteikusies no plāniem izmantot sejas atpazīšanu nodokļu maksātāju autentifikācijai.
Departaments tagad apzinās sava tagad atsauktā plāna drošības/privātuma ietekmi.
Drošības un privātuma eksperti ir ierosinājuši vairākas dzīvotspējīgas alternatīvas, kas respektē privātumu.

Vīrietis uz melna fona ar digitālām līnijām virs sejas — Spensers Valens / EyeEm / Getty Images

Izmantojot sejas atpazīšanu, lai pārbaudītu personas identitāti, kā noteikts IRS tagad atgādināja plānu, nekad nav bijusi pareizā pieeja, apgalvo drošības un privātuma eksperti.

IRS gājiens zīmēja ķieģeļu nūjas no privātuma aizstāvjiem no brīža, kad tas tika paziņots. 2022. gada 7. februārī vairāki likumdevēji pievienojās korim, kas mudināja IRS atcelt savu lēmumu departaments to izdarīja drīz pēc tam solot tā vietā izpētīt citas iespējas.

"IRS nopietni uztver nodokļu maksātāju privātumu un drošību, un mēs saprotam bažas, kas tika izteiktas," norādīja IRS komisārs Čaks Retigs, atkāpjoties no lēmuma. "Ikvienam vajadzētu justies ērti ar to, kā tiek nodrošināta viņu personiskā informācija, un mēs ātri meklējam īstermiņa iespējas, kas neietver sejas atpazīšanu."

Sejas saglabāšana

Aģentūra plānoja izmantot ID.me autentifikācijas tehnoloģiju un bija lūgusi lietotājiem iesniegt uzņēmumam video pašbildes, lai piekļūtu saviem tiešsaistes kontiem.

Džejs Pazs, Piegādes vecākais direktors plkst Kobalts, stāstīja Lifewire pa e-pastu, ka, lai gan biometrija ir kļuvusi par mūsu ikdienas sastāvdaļu, pateicoties viedtālruņiem un viedierīcēm, tās izmantošana autentifikācijai ir bijusi brīvprātīga.

"Sensitīvākām sistēmām un datiem, piemēram, tiem, kam IRS ir piekļuve, ir ļoti svarīgi nodrošināt tehnoloģiju un procesu pārredzamību, kas aizsargās lietotāju datus," norādīja Pazs.

Tims Erlins, stratēģijas viceprezidents plkst Tripwire, piekrita un pa e-pastu Lifewire pastāstīja, ka, lai gan sejas atpazīšanas tehnoloģija kopumā polarizējas, daudziem ideja uzticēties trešajai pusei šādu personas datu pārvaldībā ir nepieņemama.

"Ja ASV būtu stingrs privātuma likums, kas aizsargātu personu biometrisko informāciju, situācija būtu cita. Tomēr bez jebkādas Amerikas pilsoņu datu aizsardzības šīs tehnoloģijas pieņemšana šādā mērogā būtu privātuma pārkāpums. Lecio DePaula jaunākais., Datu aizsardzības VP plkst KnowBe4, stāstīja Lifewire pa e-pastu.

Tad vēl ir tas, ka ne visiem cilvēkiem ir pieejamas biometriskās autentifikācijas iespējas, kaut kas Pauls Laudanskis, draudu izlūkošanas nodaļas vadītājs plkst Tessian, norādīja Lifewire pa e-pastu. Viņš norādīja, ka tas varētu būt saistīts ar vairākiem faktoriem, piemēram, piekļuves trūkumu uzticamiem interneta pakalpojumiem vai ierīcēm ar saderīgām kamerām un sensoriem.

Dzīvotspējīgas alternatīvas

DePaula juniors uzskata, ka IRS plāns bija viena no tām situācijām, kad mērķis neattaisno līdzekļus.

"Portāls var būt tikpat drošs, izmantojot spēcīgas paroles prasības, kā arī divu faktoru autentifikāciju galalietotājiem, kas ir daudz lētāks, mazāk traucējošs un objektīvs veids, kā nodrošināt portālu, neizmantojot trešās puses piesaisti. pauda viedokli.

Paz atbalsta arī šādas sekundārās identitātes verifikācijas metodes, jo īpaši uz laiku balstītu vienreizēju paroļu lietotņu, piemēram, Google Authenticator, izmantošanu. Alternatīvi viņš ieteica IRS arī mēģināt izmantot verificētus tālruņu numurus, lai nosūtītu SMS kodu lietotājiem, kas, iespējams, ir visplašāk pieejamais risinājums, kas pieejams praktiski visiem lietotājiem vecumu.

"Sensitīvākām sistēmām un datiem... ir ļoti svarīgi nodrošināt tehnoloģiju un procesu pārredzamību, kas aizsargās lietotāju datus."

Tomēr, pirms tas risina nulli, Darens Kūpers, CTO plkst Izeja, ko Lifewire pa e-pastu paskaidroja, IRS būs jānodrošina, ka tā izvēlētais mehānisms var aizsargāt nodokļu maksātāju datus, neradot pieejamības problēmas.

Viņš ierosināja, ka, ja departaments vēlas noteikt augstāku drošības līmeni, viņi varētu izmantot fiziskus personas autentifikācijas līdzekļus, piemēram, RSA drošības atslēgu piekariņu. Tomēr šī metode ir loģistiski sarežģīta. SMS autentifikācija ir potenciāli mazāk sarežģīta iespēja, taču Kūpers piebilda, ka tā darbosies tikai tad, ja nodaļai ir zināms mobilā tālruņa numurs.

"IRS ir jāapsver arī prasība par iepriekšēju mijiedarbību ar lietotāju, lai apstiprinātu savu identitāti, pirms viņš var piekļūt pakalpojumam. Piemēram, tie varētu pieprasīt, lai nodokļu maksātāji ievadītu unikālu ID informāciju, piemēram, sociālās apdrošināšanas vai pases numurus, ko IRS var pārbaudīt iekšēji, pirms tiek izsniegta tiešsaistes pieteikšanās. Loģistikas pieskaitāmās izmaksas šeit ir lielākas, taču tas nodrošina augstāku drošības līmeni, ”sacīja Kūpers.

Mākslīgā intelekta un tehnoloģiju abstrakts fons — dem10 / Getty Images

Lai gan IRS nav uzskaitījis alternatīvas, ko tas pēta, ir skaidrs, ka iespēju netrūkst.

Pat tad, kad viņi kopīgi apsveica IRS par lēmuma atcelšanu, drošības eksperti norāda uz citiem valdības locekļiem, jo īpaši Veterānu lietu departaments, identitātes pārbaudei joprojām izmanto to pašu pamatā esošo sejas atpazīšanas pakalpojumu mērķiem.

To DePaula jaunākā labi apzinās un cer, ka IRS "sāks iet pareizajā virzienā, jo, tiklīdz viena valsts aģentūra pieņem standartu, citas sāk sekot."