电信公司 T-Mobile 证实 上个月,黑客访问了 5400 万用户的个人数据,包括姓名、地址、出生日期,以及——也许最糟糕的是——社会安全号码。后者是身份窃贼的一大收获,因为它们可以用来解锁金融服务、政府福利和私人医疗信息。
这只是最近一次大规模数据泄露事件,暴露了如此大规模的身份识别信息,使数亿美国人更容易遭受身份盗窃。为了阻止这个问题,一些专家呼吁结束社会安全号码的使用,建议我们应该用其他一些——并且本质上不那么脆弱——的方式来证明身份。但安全专家认为,政府不需要完全废除它们。相反,将社会安全号码用作身份证明的组织必须开始要求提供一种以上的身份证明形式。
联邦贸易委员会记录 2020 年发生 140 万起身份盗窃报告,当年此类欺诈行为给受害者造成的损失估计为 560 亿美元,根据金融咨询公司 Javelin Strategy & Research 的数据。身份窃贼可能会使用各种信息来冒充个人,但获取资金的最佳钥匙之一是社会安全号码,即 SSN。联邦政府从 1936 年开始发放的这个九位数字字符串最初只是为了确定人们的社会保障福利而分配的。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关当今塑造我们世界的发现和想法的具有影响力的故事的未来。
身份盗窃资源中心是一家支持此类犯罪受害者的非营利组织的总裁兼首席执行官 Eva Velasquez 解释说:“它最初并非旨在成为这种通用的、独特的标识符。” 但最终,这个终身号码成为人们申请信用卡、学生贷款、抵押贷款和其他信贷额度——以及其他服务——的便捷方式。“通常 [SSN 可以用来] 获取医疗用品或服务,包括处方药、耐用医疗设备和诸如此类的东西,”Velasquez 说。“当然,[它们也用于申请] 政府福利:例如失业救济金、SNAP [补充营养援助计划] 福利、对有受抚养子女的家庭的援助。” 如此广泛的资产访问权限使这些号码成为黑客的主要目标。
由于数千万个 SSN 现在因数据泄露而暴露,许多政治家和安全专家呼吁公司逐步淘汰这些标识符的使用。2017 年,时任白宫网络安全协调员、现任国家安全局网络安全主管的 Rob Joyce 建议用 更难破解的选项替换社会安全号码:一个更长的字符字符串,称为加密密钥。但是,任何单独的数字,无论是九位数字还是 100 位数字,仍然可以从存储库中被盗并在网上共享。“一旦你开发或创建另一个静态的、独特的标识符,它就只是你发给每个人的另一个数字,”Velasquez 说。“那么这对于窃贼来说就变得有价值,因此他们将瞄准拥有该数据的系统。”
现代技术已经实现了其他验证身份的方法:密码管理器可以为每个帐户生成一个长而难以猜测的密码,并且这种类型的程序通常可以轻松地在发生数据泄露时更改这些密码。USB 密钥可以插入计算机以验证其所有者。生物识别信息,例如指纹或面部,可以由智能手机扫描。但专家不建议用这些方法中的任何一种单独替换社会安全号码;最安全的选择是用多种因素来保护身份。“我们需要开发这些更全面的、多层次的身份管理方法,而不是将我们的安全风险集中在这个单一的数据点上,”Velasquez 说。“因此,如果该身份的任何一个或两个要素受到损害,它不会损害整个身份。”
通过提供一个人知道的事实(例如社会安全号码)来证明身份的做法称为基于知识的身份验证,或 KBA。道德黑客兼 SocialProof Security 首席执行官 Rachel Tobac 解释说,它极易受到黑客攻击,因为他们冒充某人所需要的只是窃取该特定知识片段。SocialProof Security 是一家帮助公司发现网络攻击潜在漏洞的组织。“例如,它可以通过社会工程师从你那里套取并窃取。当您信任您的 KBA ... 的公司遭受网络攻击时,它可能涉及泄露并在网上公开倾倒,”她说。某些类型的 KBA,例如生日或母亲的娘家姓,甚至可能出现在社交媒体上供任何人查找。Tobac 补充说,从技术上讲,密码是 KBA 的另一种形式——但如果密码被盗,可以重置。“我不能仅仅在每次我信任其信息的网站或机构发生网络安全事件时,就去更改我的生日、我的社会安全号码、我的地址,”她指出。
对于有效的多因素身份验证或 MFA,仅仅要求两个或多个知识片段是不够的。毕竟,像最近 T-Mobile 的泄露事件一样,泄露了关于每个受害者的各种数据。相反,Tobac 说,其他因素应该来自不同的来源:你拥有的东西或你是的东西。前一类可能包括物理 USB 密钥,甚至是一部手机,它可以接收包含唯一一次性代码的短信。后一类包括可以通过生物识别扫描测量的身体特征。例如,多因素身份验证过程可能要求一个人输入他们的社会安全号码,然后输入发送到他们手机的密码。另一种版本可能涉及他们输入密码,然后扫描他们的指纹。
即使是多因素身份验证也无法提供完美的安全性。一个坚定的黑客可能会使用 SIM 卡交换技术将您的电话号码转移到另一台设备,从而拦截本应提供第二层安全保障的短信。生物识别扫描可能会被愚弄。但是,通过要求多种形式的身份验证,系统会为恶意行为者制造更多摩擦。“我不能坐在这里告诉你这种方法将是 100% 万无一失的,”Tobac 说。“但对于大多数人来说,对于大多数威胁模型来说,它将阻止攻击者。”
尽管多因素身份验证具有优势,但远未被普遍要求。一些信用机构、客户支持热线、政府帐户和其他服务继续依赖简单的基于知识的身份验证,例如社会安全号码。但更安全的方法正逐渐变得越来越流行。“我们已经走上了这条轨道。我们看到了朝着这个方向发展的趋势,”Velasquez 说,并指出美国联邦政府、金融业和科技公司开始要求多层身份验证。Tobac 对此表示赞同。“我可以看到车轮在转动。它们转得不够快,但它们正在转动,”她说。“我认为我们必须继续向我们都依赖的公司施压,以保护我们的数据、我们的安全、我们的隐私,从 KBA 流程转向 MFA 流程。”