Autentifikácia používateľov pomocou rozpoznávania tváre nie je nikdy dobrý nápad, tvrdia odborníci
Kľúčové poznatky
- IRS upustil od plánov používať rozpoznávanie tváre na overovanie daňových poplatníkov.
- Oddelenie si je teraz vedomé dôsledkov svojho teraz stiahnutého plánu na bezpečnosť/ochranu súkromia.
- Odborníci na bezpečnosť a súkromie navrhli niekoľko realizovateľných alternatív, ktoré rešpektujú súkromie.
Spencer Whalen / EyeEm / Getty Images
Použitie rozpoznávania tváre na overenie identity jednotlivca, ako je uvedené Plán IRS je teraz stiahnutý, nikdy nebol správny prístup, presadzujú odborníci na bezpečnosť a súkromie.
Krok IRS kreslil tehuľky od obhajcov ochrany osobných údajov od chvíle, keď to bolo oznámené. 7. februára 2022 viacerí zákonodarcovia sa pripojil k zboru, ktorý vyzval IRS, aby zmenil svoje rozhodnutie, čo oddelenie urobilo čoskoro potom sľúbil, že preskúma iné možnosti.
„Úrad IRS berie súkromie a bezpečnosť daňových poplatníkov vážne a chápeme obavy, ktoré boli vznesené,“ poznamenal komisár IRS Chuck Rettig, keď odvolal svoje rozhodnutie. "Každý by sa mal cítiť dobre v tom, ako sú zabezpečené jeho osobné informácie, a my rýchlo hľadáme krátkodobé možnosti, ktoré nezahŕňajú rozpoznávanie tváre."
Ukladanie tváre
Agentúra plánovala použiť autentifikačnú technológiu od ID.me a požiadala používateľov, aby spoločnosti odoslali video selfie, aby mali prístup k svojim online účtom.
Jay Paz, Senior Director of Delivery at kobalt, povedal Lifewire e-mailom, že hoci sa biometria stala súčasťou nášho každodenného života, vďaka smartfónom a inteligentným zariadeniam je jej používanie na autentifikáciu dobrovoľné.
"Pre citlivejšie systémy a údaje, ako napríklad to, k čomu má IRS prístup, je nevyhnutné mať transparentnosť v oblasti technológie a procesov, ktoré budú chrániť údaje používateľov," zdôraznil Paz.
Tim Erlin, viceprezident pre stratégiu at Tripwire, súhlasil a prostredníctvom e-mailu povedal Lifewire, že hoci technológia rozpoznávania tváre je vo všeobecnosti polarizujúca, pre mnohých je myšlienka dôverovať tretej strane pri správe takýchto osobných údajov neprijateľná.
„Ak by Spojené štáty mali silný zákon na ochranu súkromia, ktorý by chránil biometrické informácie jednotlivcov, bola by to iná situácia. Bez akejkoľvek ochrany údajov amerických občanov by však prijatie tejto technológie v takomto rozsahu bolo porušením ochrany osobných údajov,“ Lecio DePaula Jr., viceprezident pre ochranu údajov o KnowBe4, povedal Lifewire e-mailom.
Potom je tu skutočnosť, že nie všetci ľudia majú prístup k schopnostiam biometrickej autentifikácie Paul Laudanski, vedúci oddelenia spravodajstva o hrozbách v Tessian, upozornil Lifewire e-mailom. Usúdil, že to môže byť spôsobené niekoľkými faktormi, ako je napríklad nedostatočný prístup k spoľahlivým internetovým službám alebo zariadeniam s kompatibilnými kamerami a senzormi.
Životaschopné alternatívy
DePaula Jr. verí, že plán IRS bol jednou z tých situácií, kde ciele neospravedlňujú prostriedky.
„Portál môže byť rovnako bezpečný, ak využije požiadavky na silné heslo, ako aj dvojfaktorovú autentifikáciu pre koncových používateľov, čo je oveľa lacnejší, menej rušivý a nezaujatý spôsob zabezpečenia portálu bez toho, aby ste museli využívať tretiu stranu,“ vyjadril názor.
Paz tiež podporuje takéto sekundárne metódy overovania identity, najmä používanie aplikácií na jednorazové heslá, ako je Google Authenticator. Prípadne navrhol, že IRS môže tiež skúsiť použiť overené telefónne čísla na odoslanie SMS kódu používateľov, čo je možno najdostupnejšie riešenie dostupné prakticky všetkým používateľom zo všetkých vekov.
"Pre citlivejšie systémy a údaje... Je nevyhnutné, aby bola technológia a procesy, ktoré budú chrániť údaje používateľov, transparentné.“
Predtým, ako sa však zameria na riešenie, Darren Cooper, CTO at Egress, vysvetlil Lifewire prostredníctvom e-mailu, že IRS bude musieť zabezpečiť, aby mechanizmus, ktorý si vyberie, dokáže chrániť údaje daňových poplatníkov bez toho, aby spôsoboval problémy s dostupnosťou.
Navrhol, že ak chce ministerstvo uprednostniť vyššiu úroveň bezpečnosti, mohlo by použiť fyzické prostriedky osobnej autentifikácie, ako je napríklad bezpečnostný kľúč RSA. Táto metóda je však logisticky náročná. SMS autentifikácia je potenciálne menej zložitá možnosť, ale Cooper dodal, že bude fungovať iba vtedy, ak má oddelenie známe mobilné číslo pre každého.
„Úrad IRS by mal zvážiť aj požiadavku na predchádzajúcu interakciu s používateľom s cieľom potvrdiť jeho identitu predtým, ako bude môcť pristupovať k službe. Mohli by napríklad vyžadovať, aby daňoví poplatníci zadali jedinečné identifikačné údaje, ako sú čísla sociálneho zabezpečenia alebo pasu, ktoré môže úrad IRS interne skontrolovať pred vydaním online prihlásenia. Logistická réžia je tu väčšia, ale zaisťuje, že je možné dosiahnuť vyššiu úroveň bezpečnosti,“ navrhol Cooper.
dem10 / Getty Images
Aj keď IRS neuviedol alternatívy, ktoré skúma, je zrejmé, že nie je nedostatok možností.
Aj keď spoločne chválili IRS za zvrátenie svojho rozhodnutia, bezpečnostní experti poukazujú na ostatných vo vláde, najmä ministerstvo pre záležitosti veteránov stále používa rovnakú základnú službu rozpoznávania tváre na overenie totožnosti účely.
To je niečo, čo si DePaula Jr. dobre uvedomuje a dúfa, že IRS „začne smerovať správnym smerom, pretože akonáhle jedna vládna agentúra prijme normu, iní ju začnú nasledovať“.