Експерти кажуть, що автентифікація користувачів за допомогою розпізнавання облич ніколи не є гарною ідеєю
Ключові речі на винос
- IRS відмовилася від планів використовувати розпізнавання обличчя для аутентифікації платників податків.
- Департамент тепер усвідомлює наслідки для безпеки та конфіденційності свого тепер відкликаного плану.
- Експерти з безпеки та конфіденційності запропонували кілька життєздатних альтернатив, які поважають конфіденційність.
Спенсер Вейлен / EyeEm / Getty Images
Використання розпізнавання обличчя для підтвердження особи, відповідно до Податкова служба США відкликала план, ніколи не був правильним підходом, стверджують експерти з безпеки та конфіденційності.
Хід IRS намалював цегляних битів від захисників конфіденційності з моменту оголошення. 7 лютого 2022 р. кілька законодавців приєднався до хору, закликаючи IRS скасувати своє рішення, яке в відділ зробив невдовзі, пообіцявши замість цього вивчити інші варіанти.
«Податкова служба серйозно ставиться до конфіденційності та безпеки платників податків, і ми розуміємо занепокоєння, які були висловлені», – зазначив комісар IRS Чак Реттіг, відкидаючи це рішення. «Кожен повинен відчувати себе комфортно з тим, як захищена їхня особиста інформація, і ми швидко шукаємо короткострокові варіанти, які не передбачають розпізнавання облич».
Збереження обличчя
Агентство планувало використовувати технологію аутентифікації від ID.me і попросило користувачів надати компанії відео-селфі, щоб отримати доступ до своїх онлайн-акаунтів.
Джей Пас, старший директор з доставки в кобальт, сказав Lifewire по електронній пошті, що, хоча біометричні дані стали частиною нашого повсякденного життя, завдяки смартфонам і розумним пристроям, їх використання для аутентифікації було добровільним.
«Для більш чутливих систем і даних, як-от те, до чого має доступ IRS, життєво важливо мати прозорість технологій і процесів, які забезпечать захист даних користувачів», – зазначив Пас.
Тім Ерлін, віце-президент зі стратегії ст Tripwire, погодився та повідомив Lifewire електронною поштою, що, хоча технологія розпізнавання обличчя в цілому поляризує, для багатьох ідея довіряти третій стороні для керування такими особистими даними є неприйнятною.
«Якби у Сполучених Штатах був надійний закон про конфіденційність, який захищає біометричну інформацію людей, це була б інша ситуація. Однак без будь-якого захисту даних американських громадян застосування цієї технології в такому масштабі було б порушенням конфіденційності». Лесіо ДеПаула мл., віце-президент із захисту даних в KnowBe4, повідомив Lifewire електронною поштою.
Крім того, є той факт, що не всі люди мають доступ до можливостей біометричної аутентифікації Павло Лауданскі, начальник відділу розвідки загроз в Тессіан, вказав Lifewire по електронній пошті. Він вважає, що це може бути пов’язано з кількома факторами, такими як відсутність доступу до надійних інтернет-сервісів або пристроїв із сумісними камерами та датчиками.
Життєздатні альтернативи
ДеПаула-молодший вважає, що план IRS був однією з тих ситуацій, коли цілі не виправдовують кошти.
«Портал може бути настільки ж безпечним, використовуючи вимоги до надійних паролів, а також двофакторну аутентифікацію для кінцевих користувачів, це набагато більш недорогий, менш нав’язливий і неупереджений спосіб захистити портал без необхідності використання третьої сторони", - сказав він. висловив думку.
Paz також підтримує такі вторинні методи перевірки ідентичності, особливо використання програм для одноразових паролів на основі часу, таких як Google Authenticator. Крім того, він припустив, що IRS також може спробувати використовувати підтверджені номери телефону, щоб надіслати SMS-код користувачів, що, мабуть, є найбільш доступним рішенням, доступним практично всім користувачам віків.
"Для більш чутливих систем і даних... надзвичайно важливо мати прозорість технологій і процесів, які забезпечать захист даних користувачів».
Однак перш ніж він звернеться до рішення, Даррен Купер, технічний директор в Вихід, пояснили Lifewire електронною поштою, що IRS має забезпечити, щоб механізм, який вона вибирає, захистити дані платників податків, не створюючи проблем із доступністю.
Він припустив, що якщо департамент хоче надати пріоритет вищому рівню безпеки, вони можуть використовувати фізичні засоби особистої аутентифікації, такі як брелок безпеки RSA. Однак цей метод є логістично складним. Аутентифікація за допомогою SMS є потенційно менш складною опцією, але Купер додав, що вона працюватиме, лише якщо у відділі є відомий номер мобільного телефону для всіх.
«Податкова служба також повинна розглянути вимогу щодо попередньої взаємодії з користувачем, щоб підтвердити його особу, перш ніж він зможе отримати доступ до служби. Наприклад, вони можуть вимагати, щоб платники податків вводили унікальні ідентифікаційні дані, такі як номери соціального страхування або паспорти, які можуть бути перевірені Податковою службою США перед тим, як видаватиме онлайн-логін. Логістичні витрати тут більші, але гарантують, що можна досягти більш високого рівня безпеки», – припустив Купер.
dem10 / Getty Images
Незважаючи на те, що IRS не перерахувала альтернативи, які вона вивчає, очевидно, немає дефіциту варіантів.
Навіть коли вони спільно вітали IRS за скасування свого рішення, експерти з безпеки вказують на інших в уряді, більшість зокрема, Департамент у справах ветеранів, все ще використовують ту саму базову службу розпізнавання облич для підтвердження особи цілі.
Це те, про що ДеПаула-молодший добре знає, і сподівається, що IRS «почне рухатися в правильному напрямку, тому що як тільки одна державна установа приймає стандарт, інші починають дотримуватися».