Strokovnjaki pravijo, da preverjanje pristnosti uporabnikov s prepoznavanjem obraza nikoli ni dobra ideja
Ključni odvzemi
- IRS je opustil načrte za uporabo prepoznavanja obraza za preverjanje pristnosti davkoplačevalcev.
- Oddelek se zdaj zaveda posledic svojega zdaj umaknjenega načrta na varnost/zasebnost.
- Strokovnjaki za varnost in zasebnost so predlagali več izvedljivih alternativ, ki spoštujejo zasebnost.
Spencer Whalen / EyeEm / Getty Images
Uporaba prepoznavanja obraza za preverjanje identitete posameznika v skladu z IRS je zdaj odpoklican načrt, nikoli ni bil pravi pristop, trdijo strokovnjaki za varnost in zasebnost.
Poteza davčne uprave narisal palice od zagovornikov zasebnosti od trenutka, ko je bila objavljena. 7. februarja 2022 več zakonodajalcev pridružil zboru, ki je pozval IRS, naj razveljavi svojo odločitev, kar je oddelek naredil kmalu zatem obljublja, da bo raziskala druge možnosti.
"IRS jemlje zasebnost in varnost davkoplačevalcev resno in razumemo pomisleke, ki so bili izraženi," je dejal komisar IRS Chuck Rettig, ko je zavrnil odločitev. "Vsakdo bi se moral počutiti udobno s tem, kako so njihovi osebni podatki zavarovani, in hitro si prizadevamo za kratkoročne možnosti, ki ne vključujejo prepoznavanja obraza."
Shranjevanje obraza
Agencija je nameravala uporabiti tehnologijo za preverjanje pristnosti iz ID.me in je prosila uporabnike, naj podjetju pošljejo video selfije za dostop do svojih spletnih računov.
Jay Paz, višji direktor dostave pri kobalt, je za Lifewire povedal po e-pošti, da je biometrija zaradi pametnih telefonov in pametnih naprav postala del našega vsakdanjega življenja, vendar je bila njena uporaba za preverjanje pristnosti prostovoljna.
"Za bolj občutljive sisteme in podatke, do katerih ima IRS dostop, je ključnega pomena preglednost tehnologije in procesov, ki bodo varovali podatke uporabnikov," je poudaril Paz.
Tim Erlin, podpredsednik strategije pri Tripwire, se je strinjal in Lifewireu povedal po e-pošti, da čeprav tehnologija prepoznavanja obrazov na splošno polarizira, je za mnoge zamisel o zaupanju tretji osebi pri upravljanju takšnih osebnih podatkov nesprejemljiva.
"Če bi imele Združene države močan zakon o zasebnosti, ki bi varoval biometrične podatke posameznikov, bi bila to drugačna situacija. Vendar bi bilo brez zaščite podatkov ameriških državljanov sprejetje te tehnologije v tem obsegu kršitev zasebnosti,« Lecio DePaula Jr., podpredsednik za varstvo podatkov pri KnowBe4, je za Lifewire povedal po elektronski pošti.
Potem je tu še dejstvo, da vsi ljudje nimajo dostopa do zmogljivosti biometrične avtentikacije Paul Laudanski, vodja obveščanja o grožnjah pri Tessian, je po e-pošti poudaril Lifewire. Menil je, da je to lahko posledica več dejavnikov, kot je pomanjkanje dostopa do zanesljivih internetnih storitev ali naprav z združljivimi kamerami in senzorji.
Izvedljive alternative
DePaula mlajši meni, da je bil načrt davčne uprave eden od tistih situacij, ko cilj ne opravičuje sredstev.
"Portal je lahko enako varen z izkoriščanjem močnih zahtev za geslo in dvofaktorsko avtentikacijo za končne uporabnike, ki je veliko bolj poceni, manj vsiljiv in nepristranski način za zavarovanje portala, ne da bi morali uporabiti tretjo osebo,« je menil.
Paz se zavzema tudi za takšne sekundarne metode preverjanja identitete, zlasti za uporabo časovno zasnovanih aplikacij za enkratno geslo, kot je Google Authenticator. Poleg tega je predlagal, da lahko IRS poskusi uporabiti preverjene telefonske številke za pošiljanje SMS kode uporabnikov, kar je morda najbolj dostopna rešitev, ki je na voljo tako rekoč vsem uporabnikom starosti.
"Za bolj občutljive sisteme in podatke... ključnega pomena je preglednost tehnologije in procesov, ki bodo varovali podatke uporabnikov."
Preden pa se usmeri v rešitev, Darren Cooper, tehnični direktor pri Izstop, so za Lifewire pojasnili po e-pošti, bo IRS morala zagotoviti, da bo mehanizem, ki ga izbere, lahko zaščitil podatke davkoplačevalcev brez uvedbe težav z dostopnostjo.
Predlagal je, da če želi oddelek dati prednost višji ravni varnosti, bi lahko uporabili fizična sredstva osebne avtentikacije, kot je varnostni ključ za ključ RSA. Ta metoda pa je logistično zapletena. Preverjanje pristnosti SMS je potencialno manj zapletena možnost, vendar je Cooper dodal, da bo delovala le, če ima oddelek znano mobilno številko za vse.
"IRS bi moral upoštevati tudi zahtevo po predhodni interakciji z uporabnikom za potrditev njegove identitete, preden lahko dostopa do storitve. Lahko bi na primer zahtevali, da davkoplačevalci vnesejo edinstvene podatke o ID-ju, kot so številke socialnega zavarovanja ali potnega lista, ki jih lahko IRS interno preveri, preden se izda spletna prijava. Logistični stroški so tukaj večji, vendar zagotavljajo, da je mogoče doseči višjo raven varnosti," je predlagal Cooper.
dem10 / Getty Images
Čeprav IRS ni navedel alternativ, ki jih raziskuje, očitno možnosti ne manjka.
Čeprav so skupaj pozdravili IRS, da je razveljavila svojo odločitev, varnostni strokovnjaki opozarjajo na druge v vladi, večino zlasti Ministrstvo za veterane, še vedno uporablja isto osnovno storitev za prepoznavanje obrazov za preverjanje identitete namene.
Tega se DePaula mlajši dobro zaveda in upa, da bo davčna uprava "začela iti v pravo smer, saj ko ena vladna agencija sprejme standard, ga začnejo slediti drugi."