Post-Equifax ID Wasteland: появляются вызовы для универсального цифрового идентификатора

Вслед за массивным нарушением данных Equifax, еще раз злоупотребление несекретным номером в Соединенных Штатах это удостоверение личности - номер социального страхования (SSN). Возможно, мы стали оцепенелыми от этих взломов и взломов данных. Что, номер моей кредитной карты был взломан? Компания кредитной карты отменит ее и выпустит еще одну. Мой адрес информация? Мой номер сотового? Ну, это уже во многих местах. Номер моего банковского счета? Что бы я ни изменил.

Подожди - кто-то получил мой SSN? Это не легко изменить. И, к сожалению, эта информация слишком часто используется не только государственными органами, но и коммунальными, телекоммуникационными и финансовыми компаниями, чтобы идентифицировать вас и предоставить вам кредит и доступ к их услугам.

Происхождение ССН

SSN никогда не создавался как универсальный идентификатор. Он был разработан для того, чтобы однозначно идентифицировать человека, отследить его заработок на всю жизнь и дать им возможность получать пособия после выхода на пенсию. IRS и множество других государственных учреждений на всех уровнях приняли его в качестве идентификатора. Частные компании, учитывая отсутствие какой-либо другой формы универсальной идентификации, приняли ее как форму однозначного установления счетов. И это стало требованием наличия банковского счета и большинства других финансовых услуг.

SSN является ключом ко всей информации крупных компаний кредитных бюро, таких как Equifaxдержите нас в секрете - но, учитывая, как часто вы используете его для идентификации, его нельзя считать секретом, как пароль. В 2009 году исследователи из Университета Карнеги-Меллона обнаружили, что они могут разработать алгоритм угадывания SSN из общедоступной информации. Одной из причин этого является исходная структура самого SSN, которая основана на состоянии проблемы и также сгруппирована вокруг дат рождения. С конца 1980 они автоматически выдавались при рождении. Знание, где и когда кто-то родился - что-то, что многие бесплатно разглашают в Facebook - может помочь хакеру получить SSN с помощью алгоритма угадывания и достаточно мощного ноутбука.

Таким образом, SSN не является безопасной формой ID в современном мире, связанном с Интернетом. Какая альтернатива? После 9 / 11 вопрос о безопасных национальных удостоверениях личности возник как способ защиты от подделок документов, удостоверяющих личность, для поездок и других целей. В 2001 Ларри Эллисон из Oracle призвал к криптографически защищенному национальному идентификаторуИ предложили предоставить необходимые технологии бесплатно. Реакция была предсказуемой, как консерваторы, либертарианцы и группы гражданских свобод озабоченность по поводу конфиденциальности были категорически против этой концепции.

В то время как по-прежнему существует жесткое сопротивление вышеупомянутой идее, другие усилия по обеспечению более надежных идентификаторов продвинулись вперед. Основываясь на рекомендации Комиссии 9 / 11, в Конгрессе 2005 был принят Закон REAL ID, который устанавливает минимальные стандарты безопасности для выданных государством идентификаторов как водительские права. Это далеко от универсального удостоверения личности, и оно действительно было разработано для того, чтобы затруднить подделку этого типа удостоверения личности, чтобы повысить безопасность путешествий авиакомпаний и доступа к федеральным зданиям. Помогут лучшие стандарты безопасности для водительских прав, так как они все еще используются для физической идентификации для крупных транзакций, таких как покупка автомобиля или дома, но чаще всего требуется не только номер для удаленной транзакции другого типа. Если хакер набирает кому-либо полный профиль Equifax (включая SSN и номер водительского удостоверения), он занимается бизнесом.

Современный универсальный дизайн ID

Возможно, за пределами США самая амбициозная национальная идентификация Аадхаар в Индии, которая в настоящее время охватывает 1.2 миллиардов человек. Первоначально начатый в 2009 как способ уникальной идентификации людей для государственных служб социального обеспечения, он стал практически обязательной идентификацией для поездок, финансовых услуг и интернет-услуг. Если это звучит очень похоже на использование SSN в США, то это так, за исключением того, что Aadhaar - это система, основанная на современных технологиях, в которой в качестве уникальных идентификаторов используются отпечатки пальцев, радужная оболочка и фотографии.

Некоторые критики в Индии обеспокоены тем, что частные компании могут подключиться к этой системе. Ранее в этом году Microsoft показала в Мумбае демонстрацию своей новой службы Skype Lite, использующей AAdhaar для уникальной идентификации пользователя. Хотя процесс авторизации аналогичен использованию авторизации для входа в систему Facebook или Google для идентификации кого-либо в Интернете (что в этих случаях на самом деле не служит идентификацией реального человека) в том, что данные о личности не передаются, вопросы безопасности и конфиденциальности являются действительными.

Прочитайте полную историю здесь…