Provjera autentičnosti korisnika pomoću prepoznavanja lica nikad nije dobra ideja, kažu stručnjaci

Sadržaj:

Provjera autentičnosti korisnika pomoću prepoznavanja lica nikad nije dobra ideja, kažu stručnjaci
Provjera autentičnosti korisnika pomoću prepoznavanja lica nikad nije dobra ideja, kažu stručnjaci
Anonim

Ključni podaci za van

  • Porezna uprava odustala je od planova za korištenje prepoznavanja lica za autentifikaciju poreznih obveznika.
  • Odjel je sada svjestan sigurnosnih/privatnih implikacija svog plana koji je sada povučen.
  • Stručnjaci za sigurnost i privatnost predložili su nekoliko održivih alternativa za poštovanje privatnosti.

Image
Image

Korištenje prepoznavanja lica za provjeru identiteta pojedinca, prema sada povučenom planu Porezne uprave, nikada nije bio pravi pristup, tvrde stručnjaci za sigurnost i privatnost.

Pokret porezne uprave izazvao je kritike zagovornika privatnosti od trenutka kada je objavljen. 7. veljače 2022. nekoliko se zakonodavaca pridružilo zboru pozivajući Poreznu upravu da poništi svoju odluku, što je odjel ubrzo i učinio, obećavši da će umjesto toga istražiti druge mogućnosti.

"Porezna uprava ozbiljno shvaća privatnost i sigurnost poreznih obveznika i razumijemo izraženu zabrinutost", istaknuo je povjerenik Porezne uprave Chuck Rettig povlačeći odluku. "Svi bi se trebali osjećati zadovoljni načinom na koji su njihovi osobni podaci zaštićeni, a mi brzo tražimo kratkoročne opcije koje ne uključuju prepoznavanje lica."

Spasavanje obraza

Agencija je planirala koristiti tehnologiju autentifikacije ID.me-a i tražila je od korisnika da pošalju video selfije tvrtki kako bi pristupili svojim računima na mreži.

Jay Paz, viši direktor isporuke u Cob altu, rekao je za Lifewire putem e-pošte da je, iako je biometrija postala dio našeg svakodnevnog života, zahvaljujući pametnim telefonima i pametnim uređajima, njezina upotreba za autentifikaciju bila dobrovoljna.

"Za osjetljivije sustave i podatke, poput onih kojima Porezna uprava ima pristup, ključno je imati transparentnost u tehnologiji i procesima koji će štititi podatke korisnika," istaknuo je Paz.

Tim Erlin, potpredsjednik strategije u Tripwireu, složio se i rekao Lifewireu putem e-pošte da, iako je tehnologija prepoznavanja lica općenito polarizirana, za mnoge je ideja povjeravanja trećoj strani da upravlja takvim osobnim podacima neprihvatljiva.

"Kada bi Sjedinjene Države imale snažan zakon o privatnosti koji štiti biometrijske podatke pojedinaca, to bi bila drugačija situacija. Međutim, bez ikakve zaštite podataka američkih građana, usvajanje ove tehnologije u ovoj mjeri bilo bi zlouporaba privatnosti, " Lecio DePaula Jr., potpredsjednik za zaštitu podataka u KnowBe4, rekao je Lifewire putem e-pošte.

Tu je i činjenica da nemaju svi ljudi pristup mogućnostima biometrijske autentifikacije, nešto što je Paul Laudanski, voditelj odjela za obavještavanje o prijetnjama u Tessianu, istaknuo Lifewireu putem e-pošte. Smatra da bi to moglo biti posljedica nekoliko čimbenika, kao što je nedostatak pristupa pouzdanim internetskim uslugama ili uređajima s kompatibilnim kamerama i senzorima.

Izvedive alternative

DePaula Jr. vjeruje da je plan porezne uprave bio jedna od onih situacija u kojima ciljevi ne opravdavaju sredstva.

"Portal može biti jednako siguran korištenjem jakih zahtjeva za zaporkom, kao i dvofaktorske provjere autentičnosti za krajnje korisnike, što je mnogo jeftiniji, manje nametljiv i nepristran način za osiguranje portala bez potrebe iskoristiti treću stranu, " smatrao je.

Paz također podržava takve sekundarne metode potvrde identiteta, posebno korištenje aplikacija za jednokratnu lozinku temeljenu na vremenu kao što je Google Authenticator. Alternativno, predložio je da Porezna uprava također može pokušati koristiti provjerene telefonske brojeve za slanje SMS koda korisnicima, što je možda najpristupačnije rješenje dostupno gotovo svim korisnicima svih dobi.

"Za osjetljivije sustave i podatke… od vitalnog je značaja imati transparentnost u tehnologiji i procesima koji će štititi podatke korisnika."

Međutim, prije nego što se posveti rješenju, Darren Cooper, tehnički direktor tvrtke Egress, objasnio je Lifewireu putem e-pošte da će porezna uprava morati osigurati da mehanizam koji odabere može zaštititi podatke poreznih obveznika bez uvođenja problema s pristupačnošću.

Predložio je da, ako odjel želi dati prioritet višoj razini sigurnosti, može koristiti fizička sredstva osobne autentifikacije kao što je RSA sigurnosni privjesak za ključeve. Ova je metoda, međutim, logistički složena. SMS autentifikacija potencijalno je manje složena opcija, ali Cooper je dodao da će funkcionirati samo ako odjel ima poznat broj mobitela za sve.

"Porezna uprava bi također trebala razmotriti zahtjev za prethodnu interakciju s korisnikom kako bi potvrdili svoj identitet prije nego što mogu pristupiti usluzi. Na primjer, mogli bi zahtijevati da porezni obveznici unesu jedinstvene ID podatke, kao što su brojevi socijalnog osiguranja ili putovnice, što Porezna uprava može interno provjeriti prije izdavanja online prijave. Logistički troškovi ovdje su veći, ali osiguravaju postizanje više razine sigurnosti, " predložio je Cooper.

Image
Image

Iako Porezna uprava nije navela alternative koje istražuje, jasno je da nema manjka opcija.

Iako su zajednički pozdravili Poreznu upravu jer je poništila svoju odluku, stručnjaci za sigurnost ističu da drugi u vladi, ponajprije Ministarstvo za pitanja veterana, i dalje koriste istu temeljnu uslugu prepoznavanja lica za potrebe provjere identiteta.

Ovo je nešto čega je DePaula Jr. itekako svjestan i nada se da će Porezna uprava "početi ići u pravom smjeru, jer kada jedna vladina agencija usvoji standard, druge ga počinju slijediti."

Preporučeni: