A felhasználók arcfelismeréssel történő hitelesítése soha nem jó ötlet, mondják a szakértők

Tartalomjegyzék:

A felhasználók arcfelismeréssel történő hitelesítése soha nem jó ötlet, mondják a szakértők
A felhasználók arcfelismeréssel történő hitelesítése soha nem jó ötlet, mondják a szakértők
Anonim

A legfontosabb elvitelek

  • Az adóhivatal lemondott arról, hogy arcfelismerést használjon az adófizetők hitelesítésére.
  • A részleg már tisztában van a visszavont tervének biztonsági/adatvédelmi vonatkozásaival.

  • Biztonsági és adatvédelmi szakértők több életképes, a magánélet védelmét tiszteletben tartó alternatívát javasoltak.

Image
Image

A biztonsági és adatvédelmi szakértők szerint az arcfelismerés használata az egyén személyazonosságának ellenőrzésére, az IRS most visszahívott terve szerint, soha nem volt a megfelelő megközelítés.

Az adóhivatal lépése már a bejelentés pillanatától fogva vonzotta az adatvédelmi jogvédőket. 2022. február 7-én több törvényhozó csatlakozott ahhoz a kórushoz, amely felszólította az IRS-t, hogy változtassa meg döntését, amit a minisztérium hamarosan meg is tett, és megígérte, hogy más lehetőségeket is megvizsgál.

"Az adóhivatal komolyan veszi az adófizetők magánéletét és biztonságát, és megértjük a felmerült aggályokat" - jegyezte meg Chuck Rettig, az adóhivatal biztosa, miközben visszavonta a döntést. "Mindenki jól érezze magát abban, hogy személyes adatait miként védik, és gyorsan olyan rövid távú lehetőségeket keresünk, amelyek nem tartalmaznak arcfelismerést."

Arc mentése

Az ügynökség azt tervezte, hogy az ID.me hitelesítési technológiáját használja, és arra kérte a felhasználókat, hogy küldjenek be videós szelfiket a cégnek, hogy hozzáférhessenek online fiókjukhoz.

Jay Paz, a Cob alt kézbesítési részlegének vezető igazgatója e-mailben elmondta a Lifewire-nek, hogy bár a biometrikus adatok mindennapi életünk részévé váltak, az okostelefonoknak és okoseszközöknek köszönhetően a hitelesítésre való használata önkéntes volt.

„Az érzékenyebb rendszerek és adatok esetében, mint amilyen az IRS-nek van hozzáférése, létfontosságú, hogy átlátható legyen a technológia és a folyamatok, amelyek védik a felhasználók adatait” – mutatott rá Paz.

Tim Erlin, a Tripwire stratégiai alelnöke egyetértett, és e-mailben elmondta a Lifewire-nek, hogy bár az arcfelismerő technológia általában polarizálódik, sokak számára elfogadhatatlan az az elképzelés, hogy harmadik félre bízzák az ilyen személyes adatok kezelését.

Ha az Egyesült Államoknak olyan szilárd adatvédelmi törvénye lenne, amely védi az egyének biometrikus adatait, az más helyzet lenne. Az amerikai állampolgárok adatainak védelme nélkül azonban ennek a technológiának az ilyen léptékű alkalmazása adatvédelmi visszásság” – mondta Lecio DePaula Jr., a KnowBe4 adatvédelmi alelnöke a Lifewire-nek e-mailben.

Aztán ott van az a tény, hogy nem minden ember fér hozzá a biometrikus hitelesítési képességekhez, amire Paul Laudanski, a Tessian fenyegetés-felderítési részlegének vezetője mutatott rá a Lifewire-nek e-mailben. Indoklása szerint ennek több oka is lehet, például a megbízható internetes szolgáltatásokhoz vagy a kompatibilis kamerákkal és érzékelőkkel rendelkező eszközökhöz való hozzáférés hiánya.

Élhető alternatívák

DePaula Jr. úgy véli, hogy az adóhivatal terve azon helyzetek egyike volt, amikor a cél nem indokolja az eszközöket.

"A portál ugyanolyan biztonságos lehet az erős jelszókövetelmények, valamint a végfelhasználók kétfaktoros hitelesítésének kihasználásával, ami sokkal olcsóbb, kevésbé tolakodó és elfogulatlan módja a portál biztonságának anélkül, hogy szükség lenne rá. harmadik felet igénybe venni" - vélekedett.

A Paz támogatja az ilyen másodlagos személyazonosság-ellenőrzési módszereket is, különösen az időalapú egyszeri jelszóalkalmazások, például a Google Authenticator használatát. Alternatív megoldásként azt javasolta, hogy az IRS próbáljon meg ellenőrzött telefonszámok használatával SMS-kódot küldeni a felhasználóknak, ami talán a legszélesebb körben elérhető megoldás, amely gyakorlatilag minden korosztály számára elérhető.

"Érzékenyebb rendszerek és adatok esetén… létfontosságú a felhasználók adatait védő technológiák és folyamatok átláthatósága."

Mielőtt nullázza a megoldást, Darren Cooper, az Egress műszaki igazgatója e-mailben elmagyarázta a Lifewire-nek, hogy az IRS-nek biztosítania kell, hogy az általa kiválasztott mechanizmus megvédje az adófizetők adatait anélkül, hogy hozzáférhetőségi problémák merülnének fel.

Azt javasolta, hogy ha az osztály a magasabb szintű biztonságot kívánja előnyben részesíteni, akkor a személyes hitelesítés fizikai eszközeit, például RSA biztonsági kulcstartót használhatnak. Ez a módszer azonban logisztikailag összetett. Az SMS-hitelesítés potenciálisan kevésbé bonyolult lehetőség, de Cooper hozzátette, hogy csak akkor működik, ha a részleg mindenki számára ismert mobilszámmal rendelkezik.

Az adóhivatalnak fontolóra kell vennie azt a követelményt is, hogy előzetesen kapcsolatba lépjen a felhasználóval, hogy megerősítse személyazonosságát, mielőtt hozzáférhetne a szolgáltatáshoz. Például megkövetelheti, hogy az adófizetők egyedi azonosítóadatokat adjanak meg, például társadalombiztosítási vagy útlevélszámot., amelyet az IRS belsőleg ellenőrizhet az online bejelentkezés kiadása előtt. A logisztikai többletköltség itt nagyobb, de biztosítja a magasabb szintű biztonság elérését” – javasolta Cooper.

Image
Image

Bár az adóhivatal nem sorolta fel az általa vizsgált alternatívákat, nyilvánvaló, hogy nincs hiány a lehetőségekből.

Miközben közösen üdvözölték az IRS-t, amiért visszavonta döntését, a biztonsági szakértők rámutattak, hogy a kormány többi tagja, különösen a Veteránügyek Minisztériuma, továbbra is ugyanazt az arcfelismerő szolgáltatást használják személyazonosság-ellenőrzési célokra.

Ez az, amivel DePaula Jr. nagyon is tisztában van, és reméli, hogy az IRS „elkezd jó irányba haladni, mert ha egy kormányzati ügynökség elfogad egy szabványt, a többiek is követni kezdik.”

Ajánlott:

A PlayStation 5 nem fog árat emelni, mondják a szakértők

A PlayStation 5 nem fog árat emelni, mondják a szakértők

A Sony pénzügyi igazgatójának, Hiroki Totokinak az új megjegyzései olyan spekulációkhoz vezettek, hogy a PS5 ára emelkedni fog, de az elemzők nem hajlandók elhinni

Nem, a Google mesterséges intelligenciája nem öntudatos, mondják a szakértők

Nem, a Google mesterséges intelligenciája nem öntudatos, mondják a szakértők

A Google mérnöke, Blake Lemoine úgy véli, hogy a cég egyik mesterségesintelligencia-projektje beérett, de a szakértők visszautasították az állítást

A hangulatjeleknek ki kell egészíteniük a kommunikációt, nem pedig helyettesíteniük kell őket, mondják a szakértők

A hangulatjeleknek ki kell egészíteniük a kommunikációt, nem pedig helyettesíteniük kell őket, mondják a szakértők

A Google Dokumentumok a hangulatjeleket támogató legújabb program, és néhány szakértőt arra késztetett, hogy beszéljen arról, mikor és hogyan érdemes használni őket

A kvantumszámítógépek nem használták ki a potenciáljukat, mondják a szakértők

A kvantumszámítógépek nem használták ki a potenciáljukat, mondják a szakértők

Egyes szakértők úgy látják, hogy a kvantumszámítástechnika nem felel meg a hírverésnek, míg mások úgy vélik, hogy a koncepció egyszerűen több fejlesztési időt igényel

A VR-felhasználók nem akarnak hirdetéseket, mondják a szakértők

A VR-felhasználók nem akarnak hirdetéseket, mondják a szakértők

Az internetes hirdetések mindenütt jelen vannak, de a gondolat, hogy felbukkanhatnak a virtuális valóságban, néhány Oculus Quest-felhasználót óvatossá tesz