Gebruikers verifiëren met gezichtsherkenning is nooit een goed idee, zeggen experts

Inhoudsopgave:

Gebruikers verifiëren met gezichtsherkenning is nooit een goed idee, zeggen experts
Gebruikers verifiëren met gezichtsherkenning is nooit een goed idee, zeggen experts
Anonim

Belangrijkste afhaalrestaurants

  • De IRS heeft plannen laten vallen om gezichtsherkenning te gebruiken voor het verifiëren van belastingbetalers.
  • De afdeling is nu op de hoogte van de beveiligings-/privacyimplicaties van het nu ingetrokken plan.

  • Beveiligings- en privacy-experts hebben verschillende haalbare privacyrespecterende alternatieven voorgesteld.

Image
Image

Het gebruik van gezichtsherkenning om de identiteit van een persoon te verifiëren, volgens het nu teruggeroepen plan van de IRS, was nooit de juiste aanpak, beweren beveiligings- en privacy-experts.

De verhuizing van de IRS trok vanaf het moment dat deze werd aangekondigd veel weerstand bij privacyadvocaten. Op 7 februari 2022 voegden verschillende wetgevers zich bij het koor en drongen er bij de IRS op aan haar beslissing terug te draaien, wat de afdeling kort daarna deed en in plaats daarvan beloofde om andere opties te onderzoeken.

"De IRS neemt de privacy en veiligheid van de belastingbetaler serieus en we begrijpen de zorgen die zijn geuit", merkte IRS-commissaris Chuck Rettig op toen hij de beslissing herriep. "Iedereen moet zich op zijn gemak voelen met hoe hun persoonlijke informatie wordt beveiligd, en we streven snel naar kortetermijnopties zonder gezichtsherkenning."

Gezicht opslaan

Het bureau was van plan authenticatietechnologie van ID.me te gebruiken en had gebruikers gevraagd video-selfies in te dienen bij het bedrijf om toegang te krijgen tot hun online accounts.

Jay Paz, Senior Director of Delivery bij Cob alt, vertelde Lifewire via e-mail dat, hoewel biometrie een onderdeel is geworden van ons dagelijks leven, dankzij smartphones en slimme apparaten, het gebruik ervan voor authenticatie vrijwillig is geweest.

"Voor gevoeligere systemen en gegevens, zoals waar de IRS toegang toe heeft, is het van vitaal belang om transparantie te hebben in de technologie en processen die de gegevens van gebruikers beschermen," merkte Paz op.

Tim Erlin, VP of Strategy bij Tripwire, was het ermee eens en vertelde Lifewire via e-mail dat hoewel gezichtsherkenningstechnologie in het algemeen polariseert, voor velen het idee om een derde partij te vertrouwen voor het beheer van dergelijke persoonlijke gegevens onaanvaardbaar is.

"Als de Verenigde Staten een robuuste privacywet hadden die de biometrische informatie van individuen beschermde, zou dat een andere situatie zijn. Zonder enige bescherming van de gegevens van Amerikaanse burgers zou het toepassen van deze technologie op deze schaal echter privacy wanpraktijken, "vertelde Lecio DePaula Jr., VP of Data Protection bij KnowBe4, Lifewire via e-mail.

En dan is er nog het feit dat niet alle mensen toegang hebben tot biometrische authenticatiemogelijkheden, iets wat Paul Laudanski, Head of Threat Intelligence bij Tessian, via e-mail aan Lifewire opmerkte. Hij redeneerde dat dit te wijten kon zijn aan verschillende factoren, zoals een gebrek aan toegang tot betrouwbare internetdiensten of apparaten met compatibele camera's en sensoren.

Levensvatbare alternatieven

DePaula Jr. is van mening dat het plan van de IRS een van die situaties was waarin het doel de middelen niet heiligt.

"De portal kan net zo veilig zijn door gebruik te maken van sterke wachtwoordvereisten en tweefactorauthenticatie voor de eindgebruikers, wat een veel goedkopere, minder opdringerige en onbevooroordeelde manier is om de portal te beveiligen zonder dat om gebruik te maken van een derde partij, " meende hij.

Paz is ook voorstander van dergelijke secundaire identiteitsverificatiemethoden, met name het gebruik van op tijd gebaseerde eenmalige wachtwoord-apps zoals Google Authenticator. Als alternatief stelde hij voor dat de IRS ook geverifieerde telefoonnummers kan gebruiken om een sms-code naar gebruikers te sms'en, wat misschien wel de meest toegankelijke oplossing is die beschikbaar is voor vrijwel alle gebruikers van alle leeftijden.

"Voor gevoeligere systemen en gegevens… is het essentieel om transparantie te hebben in de technologie en processen die de gegevens van gebruikers beschermen."

Voordat er een oplossing wordt gevonden, legt Darren Cooper, CTO bij Egress, via e-mail aan Lifewire uit dat de IRS ervoor moet zorgen dat het door haar geselecteerde mechanisme de gegevens van belastingbetalers kan beschermen zonder toegankelijkheidsproblemen te veroorzaken.

Hij suggereerde dat als de afdeling prioriteit wil geven aan een hoger beveiligingsniveau, ze fysieke middelen voor persoonlijke authenticatie zouden kunnen gebruiken, zoals een RSA-sleutelhanger. Deze methode is echter logistiek complex. Sms-authenticatie is een potentieel minder complexe optie, maar Cooper voegde eraan toe dat het alleen werkt als de afdeling voor iedereen een bekend mobiel nummer heeft.

"De IRS zou ook een vereiste moeten overwegen voor voorafgaande interactie met de gebruiker om hun identiteit te bevestigen voordat ze toegang krijgen tot de dienst. Ze zouden bijvoorbeeld kunnen eisen dat belastingbetalers unieke ID-gegevens invoeren, zoals socialezekerheids- of paspoortnummers, die intern door de IRS kan worden gecontroleerd voordat een online login wordt uitgegeven. De logistieke overhead is hier groter, maar zorgt ervoor dat een hoger beveiligingsniveau kan worden bereikt, " suggereerde Cooper.

Image
Image

Hoewel de IRS de alternatieven die het onderzoekt niet heeft vermeld, is er duidelijk geen gebrek aan opties.

Zelfs als ze collectief de IRS prezen voor het terugdraaien van haar beslissing, wijzen beveiligingsexperts erop dat anderen in de regering, met name het Department of Veterans Affairs, nog steeds dezelfde onderliggende gezichtsherkenningsservice gebruiken voor identiteitsverificatiedoeleinden.

Dit is iets waar DePaula Jr. zich terdege van bewust is en hoopt dat de IRS "in de goede richting begint te gaan, want zodra een overheidsinstantie een norm aanneemt, beginnen anderen te volgen."

Aanbevolen:

M2 MacBook Air's gebrek aan traditionele koeling zou goed moeten zijn, zeggen experts

M2 MacBook Air's gebrek aan traditionele koeling zou goed moeten zijn, zeggen experts

De nieuwe M2 MacBook Air heeft een verrassend minimaal koelsysteem, maar experts denken dat het waarschijnlijk prima in orde is

Is het rooten van een Android-telefoon een goed idee?

Is het rooten van een Android-telefoon een goed idee?

Wat betekent het om een telefoon te 'rooten'? Kan dit je Android-apparaat beschadigen? Waarom houden mensen van het idee om smartphones te rooten?

Waarom gezichtsherkenning gebruiken om regels af te dwingen geen goed idee is

Waarom gezichtsherkenning gebruiken om regels af te dwingen geen goed idee is

Het Chinese Tencent gebruikt gezichtsherkenningssoftware om de avondklok af te dwingen voor kinderen onder de 18 die games spelen. Is dit echt een goed idee?

VR-gebruikers willen geen advertenties, zeggen experts

VR-gebruikers willen geen advertenties, zeggen experts

Webadvertenties zijn alomtegenwoordig geworden, maar het idee dat ze in virtual reality kunnen verschijnen, maakt sommige Oculus Quest-gebruikers op hun hoede

Instagram voor kinderen zou kunnen werken als het goed wordt gedaan, zeggen experts

Instagram voor kinderen zou kunnen werken als het goed wordt gedaan, zeggen experts

Instagram zou een platform ontwikkelen voor kinderen van twee jaar die niet zijn voorbereid op sociale media voor volwassenen. Experts zeggen dat dit goed zou kunnen zijn gezien de verbondenheid van de wereld van vandaag