作者:Mike Vesey,創始人兼首席執行官IDRAMP
反對最近的國稅局政策,要求納稅人通過第三方身份提供商ID.me在上載個人稅收信息時,兩者都迫使兩者都放棄了使用面部識別進行驗證的要求。
這將是對信息安全專業人員和整個美國人口的緩解,但這也是打擊欺詐和對我們數據安全的不斷發展的威脅的倒退。
面部識別可能是確保個人信息的有效工具 - 但一切都取決於其實施方式。做得好,這是一個必不可少的工具;做得不好,這是一場隱私和安全災難等待發生。不幸的是,ID.ME和IRS決定以不清楚且可能不安全的方式宣布和架構新的生物識別驗證要求,將ID.Me置於納稅人和IRS的方式。
正如CBS新聞所解釋的那樣,”國稅局想要你的自拍照。 id.me首席執行官說不用擔心”,這是一個讓人擔心的呼籲行動。當被要求解釋其係統如何工作時,ID.ME首席執行官Blake Hall承認,它將使用一個集中的數據庫,其中包含與整個美國稅收支付人群的生物識別細節相關的關鍵個人信息。ID.Me將使用Amazon Rekognition技術將Amazon的Rekognition技術與現有ID.Me Database進行比較。
儘管執行不佳和架構不佳,但ID.ME和IRS處於正確的道路上:生物識別技術是驗證身份的好方法,並提供了阻止欺詐的方法。但是,他們錯過的部分是,第二部分是生物識別技術只有以保留用戶隱私的方式部署欺詐行為,並且本身並不成為竊取的新數據源。
對於數字服務的便利,個人數據欺詐似乎已成為看似不可避免的罰款。根據消費者報告機構explian在過去的兩年中,欺詐行為增長了33%,欺詐性信用卡申請是主要違規行為之一。思科的2021年網絡安全威脅趨勢報告發現,至少有一個人在86%的組織中點擊了網絡釣魚鏈接,並且網絡釣魚占數據洩露的90%。
很難不認為將整個美國稅收付費人群的個人和生物識別數據存儲在一個數據庫中不會成為所有數據洩露母親的催化劑。
生物特徵 +可驗證的憑據=零信任
除了生物識別方面,實施系統以驗證保護隱私,提高可用性並提供有意義安全性的系統的最重要步驟是消除基於密碼的身份驗證的使用。從二十年的數據洩露中學到的經驗教訓表明,基於密碼的系統不能得到很好的保護,難以管理,並且每個系統都可以成為整個系統的單個故障點。
ID.Me和IRS可以使用的是分散的身份和可驗證的憑據。這些技術可以是配置生物識別安全性的骨幹。它們建立在開放式標準的基礎上,可在開源社區中使用,並準備由當今任何人進行部署。
可驗證的數字憑據替換用戶名和密碼,使您能夠通過分散的加密密鑰與網站進行交互。它們是通過組織的正常知識客戶(KYC)或保證流程發行的,是獨特的,篡改的證明,並且可以在沒有集中式存儲或共享個人身份識別信息或以憑據來源的情況下證明其起源和所有權。
通過將可驗證的數字憑證(可以存儲在人的移動設備上存儲)與生物識別保證相結合,只有實際擁有該設備的人才能使用憑據來證明其身份。
儘管登錄和密碼與生物識別技術的結合是對安全的雙重威脅,但可驗證的數字證書和生物識別技術的結合成為打擊欺詐和盜竊的雙重防禦。
而且它們易於使用。這種方法缺乏摩擦也意味著零信任安全體系結構實施要容易得多。
零信託,對聯邦機構的要求白宮最近宣布,需要對您有權訪問的每個網絡資產進行持續驗證(而不是通過網絡周長進入並訪問所有內容的單個登錄名);通過可驗證的憑證,連續驗證很容易。
身份編排
美國政府和其他人都已經在尋求分散的身份技術,以創建安全的數字身份,以登錄員工和公民的服務和應用程序。
但是,並非所有機構都知道這項新技術存在於當今或它可以做什麼,或者擔心它太複雜而無法轉移到,或者太昂貴了,無法重新平台他們已經擁有的東西。
集中數據庫的沉沒成本不是權力下放的障礙。可驗證的憑據可以輕鬆地分層到現有系統上,以獲得更好的安全性。它們可以用作在多個身份管理系統和數據庫中精心策劃複雜性的工具,從而成為保存和抵抗欺詐的隱私性。
如果沒有這種可驗證的數字憑據實施,納稅人將返回提供多個識別作為易於鍛造的紙質文件,其中包含個人信息,這些信息已復制並與當地,州和聯邦政府的脫節系統複製和共享。
現在是時候進行創新,現代化和安全的時候了。 IRS,ID.ME和整個公共部門的機構應繼續致力於零信任,但使用可驗證的數字證書進行分散的數據方法。
這意味著放棄密碼 - 這是每個人都會歡迎的東西 - 至關重要的是,這意味著能夠以更強大,更友好的方式使用生物識別技術。
關於作者
邁克·維西(Mike Vesey)是為全球企業提供變革型數字解決方案的使命。他在統一的通信,服務運營,安全,身份和數據管理中開發了屢獲殊榮的產品。邁克(Mike)已將復雜的身份集成與世界上一些最大的組織部署。他是IDRAMP,提供一個分散的身份平台,可提供易於實施的編排,刪除密碼,可驗證的憑據,區塊鏈ID和服務交付。
免責聲明:生物識別更新行業見解已提交內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
文章主題
生物識別技術|分散ID|數字身份|面對生物識別技術|預防欺詐|id.me|身份編排|身份驗證|IDRAMP|可驗證的憑據|零信任
