Autentificarea utilizatorilor cu recunoaștere facială nu este niciodată o idee bună, spun experții

Utilizarea recunoașterii faciale pentru a verifica identitatea unei persoane, conform Planul IRS acum rechemat, nu a fost niciodată abordarea potrivită, susțin experții în securitate și confidențialitate.

Mișcarea IRS a desenat cărămizi de la susținătorii confidențialității din momentul în care a fost anunțat. La 7 februarie 2022, mai multi parlamentari s-a alăturat corului îndemnând IRS să-și anuleze decizia, care a fost departamentul a făcut la scurt timp după, promițând în schimb să exploreze alte opțiuni.

„IRS ia în serios confidențialitatea și securitatea contribuabililor și înțelegem preocupările care au fost ridicate”, a remarcat comisarul IRS, Chuck Rettig, în timp ce a retractat decizia. „Toată lumea ar trebui să se simtă confortabil cu modul în care informațiile lor personale sunt securizate și urmărim rapid opțiuni pe termen scurt care nu implică recunoașterea facială”.

Salvarea feței

Agenția plănuia să folosească tehnologia de autentificare de la ID.me și le-a cerut utilizatorilor să trimită selfie-uri video companiei pentru a-și accesa conturile online.

Jay Paz, Senior Director of Delivery la Cobalt, a declarat pentru Lifewire prin e-mail că, în timp ce biometria a devenit parte din viața noastră de zi cu zi, datorită smartphone-urilor și dispozitivelor inteligente, utilizarea sa pentru autentificare a fost voluntară.

„Pentru sisteme și date mai sensibile, cum ar fi la care are acces IRS, este vital să avem transparență în tehnologia și procesele care vor proteja datele utilizatorilor”, a subliniat Paz.

Tim Erlin, VP Strategie la Tripwire, a fost de acord și a declarat prin e-mail pentru Lifewire că, în timp ce tehnologia de recunoaștere facială este polarizată în general, pentru mulți, ideea de a avea încredere într-o terță parte pentru a gestiona astfel de date personale este inacceptabilă.

„Dacă Statele Unite ar avea o lege solidă a confidențialității care să protejeze informațiile biometrice ale persoanelor, aceasta ar fi o situație diferită. Cu toate acestea, fără nicio protecție a datelor cetățenilor americani, adoptarea acestei tehnologii la această scară ar fi o malpraxis a vieții private. Lecio DePaula Jr., VP Protecția Datelor la KnowBe4, a spus Lifewire prin e-mail.

Apoi mai este faptul că nu toți oamenii au acces la capabilități de autentificare biometrică, ceva Paul Laudanski, șeful Threat Intelligence la Tessian, a subliniat Lifewire prin e-mail. El a motivat că acest lucru s-ar putea datora mai multor factori, cum ar fi lipsa accesului la servicii de internet fiabile sau dispozitive cu camere și senzori compatibile.

Alternative viabile

DePaula Jr. crede că planul IRS a fost una dintre acele situații în care scopurile nu justifică mijloacele.

„Portalul poate fi la fel de sigur prin utilizarea cerințelor puternice de parolă, precum și a autentificării cu doi factori pentru utilizatorii finali, care este o modalitate mult mai ieftină, mai puțin intruzivă și imparțială de a securiza portalul fără a fi nevoie să recurgeți la o terță parte", el a opinat.

Paz este de asemenea în favoarea unor astfel de metode secundare de verificare a identității, în special a utilizării de aplicații cu parolă unică bazate pe timp, cum ar fi Google Authenticator. Alternativ, el a sugerat că IRS poate încerca, de asemenea, să folosească numere de telefon verificate pentru a trimite un mesaj SMS utilizatorii, care este probabil cea mai accesibilă soluție disponibilă practic tuturor utilizatorilor vârste.

Cu toate acestea, înainte de a se concentra asupra unei soluții, Darren Cooper, CTO la Ieşire, a explicat Lifewire prin e-mail, IRS va trebui să se asigure că mecanismul pe care îl selectează poate proteja datele contribuabililor fără a introduce probleme de accesibilitate.

El a sugerat că, dacă departamentul dorește să acorde prioritate unui nivel mai înalt de securitate, ar putea folosi mijloace fizice de autentificare personală, cum ar fi o cheie de securitate RSA. Această metodă, însă, este complexă din punct de vedere logistic. Autentificarea prin SMS este o opțiune potențial mai puțin complexă, dar Cooper a adăugat că va funcționa numai dacă departamentul are un număr de mobil cunoscut pentru toată lumea.

„IRS ar trebui să ia în considerare, de asemenea, o cerință de interacțiune prealabilă cu utilizatorul pentru a-și confirma identitatea înainte de a putea accesa serviciul. De exemplu, ar putea solicita contribuabililor să introducă detalii unice de identificare, cum ar fi numerele de securitate socială sau de pașaport, care pot fi verificate de către IRS la nivel intern înainte de emiterea unei autentificări online. Costul logistic de aici este mai mare, dar asigură că poate fi atins un nivel mai ridicat de securitate”, a sugerat Cooper.

Deși IRS nu a enumerat alternativele pe care le explorează, în mod clar, opțiunile nu lipsesc.

Chiar dacă au salutat colectiv IRS pentru că și-a anulat decizia, experții în securitate subliniază pe alții din guvern, majoritatea în special Departamentul Afacerilor Veteranilor, utilizează în continuare același serviciu de recunoaștere facială de bază pentru verificarea identității scopuri.

Acesta este ceva de care DePaula Jr. este bine conștient și speră că IRS „începe să se îndrepte în direcția corectă, deoarece odată ce o agenție guvernamentală adoptă un standard, altele încep să urmeze”.