Om gebruikers met gesigsherkenning te staaf, is nooit 'n goeie idee nie, sê kenners

INHOUDSOPGAWE:

Om gebruikers met gesigsherkenning te staaf, is nooit 'n goeie idee nie, sê kenners
Om gebruikers met gesigsherkenning te staaf, is nooit 'n goeie idee nie, sê kenners
Anonim

Sleutel wegneemetes

  • Die IRS het planne laat vaar om gesigsherkenning te gebruik vir die verifikasie van belastingbetalers.
  • Die departement is nou bewus van die sekuriteit/privaatheidsimplikasies van sy plan wat nou teruggetrek is.
  • Sekuriteit- en privaatheidkenners het verskeie lewensvatbare alternatiewe wat privaatheid respekteer, voorgestel.

Image
Image

Die gebruik van gesigsherkenning om 'n individu se identiteit te verifieer, volgens die IRS se plan wat nou herroep is, was nooit die regte benadering nie, stel sekuriteit- en privaatheidskenners aan.

Die IRS se skuif het bakstene van privaatheidsadvokate getrek vanaf die oomblik dat dit aangekondig is. Op 7 Februarie 2022 het verskeie wetgewers by die koor aangesluit en die IRS aangemoedig om sy besluit om te keer, wat die departement kort daarna gedoen het, en belowe om eerder ander opsies te ondersoek.

"Die IRS neem belastingbetalers se privaatheid en sekuriteit ernstig op, en ons verstaan die kommer wat geopper is," het IRS-kommissaris Chuck Rettig opgemerk toe hy die besluit teruggetrek het. "Almal moet gemaklik voel met hoe hul persoonlike inligting beveilig word, en ons is vinnig besig om korttermynopsies na te streef wat nie gesigsherkenning behels nie."

Saving Face

Die agentskap het beplan om verifikasietegnologie van ID.me te gebruik en het gebruikers gevra om video-selfies by die maatskappy in te dien om toegang tot hul aanlynrekeninge te kry.

Jay Paz, senior direkteur van aflewering by Cob alt, het per e-pos aan Lifewire gesê dat hoewel biometrie deel van ons daaglikse lewens geword het, danksy slimfone en slimtoestelle, die gebruik daarvan vir stawing vrywillig was.

“Vir meer sensitiewe stelsels en data, soos waartoe die IRS toegang het, is dit noodsaaklik om deursigtigheid te hê in die tegnologie en prosesse wat gebruikers se data sal beskerm,” het Paz uitgewys.

Tim Erlin, VP van Strategie by Tripwire, het saamgestem en aan Lifewire per e-pos gesê dat hoewel gesigsherkenningstegnologie oor die algemeen polariseer, die idee om 'n derde party te vertrou om sulke persoonlike data te bestuur, vir baie onaanvaarbaar is.

"As die Verenigde State 'n robuuste privaatheidswet gehad het wat die biometriese inligting van individue beskerm, sou dit 'n ander situasie wees. Sonder enige beskerming vir die data van Amerikaanse burgers, sou dit egter wees om hierdie tegnologie op hierdie skaal aan te neem. privaatheidswanpraktyke," het Lecio DePaula Jr., VP van Databeskerming by KnowBe4, per e-pos aan Lifewire gesê.

Dan is daar die feit dat nie alle mense toegang tot biometriese verifikasievermoëns het nie, iets wat Paul Laudanski, hoof van bedreigingsintelligensie by Tessian, per e-pos aan Lifewire uitgewys het. Hy het geredeneer dit kan weens verskeie faktore wees, soos 'n gebrek aan toegang tot betroubare internetdienste of toestelle met versoenbare kameras en sensors.

Lewensvatbare Alternatiewe

DePaula Jr. glo dat die IRS se plan een van daardie situasies was waar die doelwitte nie die middele regverdig nie.

"Die portaal kan net so veilig wees deur gebruik te maak van sterk wagwoordvereistes sowel as twee-faktor-verifikasie vir die eindgebruikers, wat 'n baie goedkoper, minder indringende en onbevooroordeelde manier is om die portaal te beveilig sonder dat dit nodig is om 'n derde party te benut," het hy gemeen.

Paz is ook ten gunste van sulke sekondêre identiteitsverifikasiemetodes, veral die gebruik van tydgebaseerde eenmalige wagwoordtoepassings soos Google Authenticator. Alternatiewelik het hy voorgestel die IRS kan ook probeer om geverifieerde telefoonnommers te gebruik om 'n SMS-kode aan gebruikers te SMS, wat miskien die mees toeganklike oplossing is wat vir feitlik alle gebruikers van alle ouderdomme beskikbaar is.

"Vir meer sensitiewe stelsels en data … is dit noodsaaklik om deursigtigheid te hê in die tegnologie en prosesse wat gebruikers se data sal beskerm."

Voordat dit egter 'n oplossing soek, het Darren Cooper, CTO by Egress, egter per e-pos aan Lifewire verduidelik die IRS sal moet verseker dat die meganisme wat hy kies belastingbetalerdata kan beskerm sonder om toeganklikheidskwessies bekend te stel.

Hy het voorgestel dat as die departement 'n hoër vlak van sekuriteit wil prioritiseer, hulle fisiese maniere van persoonlike verifikasie kan gebruik, soos 'n RSA-sekuriteitsleutelhouer. Hierdie metode is egter logisties kompleks. SMS-stawing is 'n potensieel minder komplekse opsie, maar Cooper het bygevoeg dit sal net werk as die departement 'n bekende selfoonnommer vir almal het.

"Die IRS moet ook 'n vereiste vir vorige interaksie met die gebruiker oorweeg om hul identiteit te bevestig voordat hulle toegang tot die diens kan kry. Hulle kan byvoorbeeld vereis dat belastingbetalers unieke ID-besonderhede, soos sosiale sekerheid of paspoortnommers, invoer, wat deur die IRS intern nagegaan kan word voordat 'n aanlyn-aanmelding uitgereik word. Die logistieke bokoste hier is groter, maar verseker dat 'n hoër vlak van sekuriteit bereik kan word, "het Cooper voorgestel.

Image
Image

Alhoewel die IRS nie die alternatiewe gelys het wat hy ondersoek nie, is daar duidelik geen tekort aan opsies nie.

Selfs terwyl hulle die IRS gesamentlik geprys het vir die omkeer van sy besluit, wys sekuriteitskenners daarop dat ander in die regering, veral die Departement van Veterane-sake, steeds dieselfde onderliggende gesigsherkenningsdiens vir identiteitsverifikasiedoeleindes gebruik.

Dit is iets waarvan DePaula Jr. deeglik bewus is en hoop die IRS "begin in die regte rigting beweeg, want sodra een regeringsagentskap 'n standaard aanvaar, begin ander volg."

Aanbeveel: