電信公司 T-Mobile 證實 上個月,駭客訪問了 5400 萬用戶的個人資料,包括姓名、地址、出生日期,以及——也許最糟糕的是——社會安全號碼。後者是身份竊賊的一大收穫,因為它們可以用來解鎖金融服務、政府福利和私人醫療資訊。
這只是最近一次大規模資料洩露事件,暴露了如此大規模的身份識別資訊,使數億美國人更容易遭受身份盜竊。為了阻止這個問題,一些專家呼籲結束社會安全號碼的使用,建議我們應該用其他一些——並且本質上不那麼脆弱——的方式來證明身份。但安全專家認為,政府不需要完全廢除它們。相反,將社會安全號碼用作身份證明的組織必須開始要求提供一種以上的身份證明形式。
聯邦貿易委員會記錄 2020 年發生 140 萬起身份盜竊報告,當年此類欺詐行為給受害者造成的損失估計為 560 億美元,根據金融諮詢公司 Javelin Strategy & Research 的資料。身份竊賊可能會使用各種資訊來冒充個人,但獲取資金的最佳鑰匙之一是社會安全號碼,即 SSN。聯邦政府從 1936 年開始發放的這個九位數字字串最初只是為了確定人們的社會保障福利而分配的。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關當今塑造我們世界的發現和想法的具有影響力的故事的未來。
身份盜竊資源中心是一家支援此類犯罪受害者的非營利組織的總裁兼執行長 Eva Velasquez 解釋說:“它最初並非旨在成為這種通用的、獨特的識別符號。” 但最終,這個終身號碼成為人們申請信用卡、學生貸款、抵押貸款和其他信貸額度——以及其他服務——的便捷方式。“通常 [SSN 可以用來] 獲取醫療用品或服務,包括處方藥、耐用醫療裝置和諸如此類的東西,”Velasquez 說。“當然,[它們也用於申請] 政府福利:例如失業救濟金、SNAP [補充營養援助計劃] 福利、對有受撫養子女的家庭的援助。” 如此廣泛的資產訪問許可權使這些號碼成為駭客的主要目標。
由於數千萬個 SSN 現在因資料洩露而暴露,許多政治家和安全專家呼籲公司逐步淘汰這些識別符號的使用。2017 年,時任白宮網路安全協調員、現任國家安全域性網路安全主管的 Rob Joyce 建議用 更難破解的選項替換社會安全號碼:一個更長的字元字串,稱為加密金鑰。但是,任何單獨的數字,無論是九位數字還是 100 位數字,仍然可以從儲存庫中被盜並在網上共享。“一旦你開發或建立另一個靜態的、獨特的識別符號,它就只是你發給每個人的另一個數字,”Velasquez 說。“那麼這對於竊賊來說就變得有價值,因此他們將瞄準擁有該資料的系統。”
現代技術已經實現了其他驗證身份的方法:密碼管理器可以為每個帳戶生成一個長而難以猜測的密碼,並且這種型別的程式通常可以輕鬆地在發生資料洩露時更改這些密碼。USB 金鑰可以插入計算機以驗證其所有者。生物識別資訊,例如指紋或面部,可以由智慧手機掃描。但專家不建議用這些方法中的任何一種單獨替換社會安全號碼;最安全的選擇是用多種因素來保護身份。“我們需要開發這些更全面的、多層次的身份管理方法,而不是將我們的安全風險集中在這個單一的資料點上,”Velasquez 說。“因此,如果該身份的任何一個或兩個要素受到損害,它不會損害整個身份。”
透過提供一個人知道的事實(例如社會安全號碼)來證明身份的做法稱為基於知識的身份驗證,或 KBA。道德駭客兼 SocialProof Security 執行長 Rachel Tobac 解釋說,它極易受到駭客攻擊,因為他們冒充某人所需要的只是竊取該特定知識片段。SocialProof Security 是一家幫助公司發現網路攻擊潛在漏洞的組織。“例如,它可以透過社會工程師從你那裡套取並竊取。當您信任您的 KBA ... 的公司遭受網路攻擊時,它可能涉及洩露並在網上公開傾倒,”她說。某些型別的 KBA,例如生日或母親的孃家姓,甚至可能出現在社交媒體上供任何人查詢。Tobac 補充說,從技術上講,密碼是 KBA 的另一種形式——但如果密碼被盜,可以重置。“我不能僅僅在每次我信任其資訊的網站或機構發生網路安全事件時,就去更改我的生日、我的社會安全號碼、我的地址,”她指出。
對於有效的多因素身份驗證或 MFA,僅僅要求兩個或多個知識片段是不夠的。畢竟,像最近 T-Mobile 的洩露事件一樣,洩露了關於每個受害者的各種資料。相反,Tobac 說,其他因素應該來自不同的來源:你擁有的東西或你是的東西。前一類可能包括物理 USB 金鑰,甚至是一部手機,它可以接收包含唯一一次性程式碼的簡訊。後一類包括可以透過生物識別掃描測量的身體特徵。例如,多因素身份驗證過程可能要求一個人輸入他們的社會安全號碼,然後輸入傳送到他們手機的密碼。另一種版本可能涉及他們輸入密碼,然後掃描他們的指紋。
即使是多因素身份驗證也無法提供完美的安全性。一個堅定的駭客可能會使用 SIM 卡交換技術將您的電話號碼轉移到另一臺裝置,從而攔截本應提供第二層安全保障的簡訊。生物識別掃描可能會被愚弄。但是,透過要求多種形式的身份驗證,系統會為惡意行為者製造更多摩擦。“我不能坐在這裡告訴你這種方法將是 100% 萬無一失的,”Tobac 說。“但對於大多數人來說,對於大多數威脅模型來說,它將阻止攻擊者。”
儘管多因素身份驗證具有優勢,但遠未被普遍要求。一些信用機構、客戶支援熱線、政府帳戶和其他服務繼續依賴簡單的基於知識的身份驗證,例如社會安全號碼。但更安全的方法正逐漸變得越來越流行。“我們已經走上了這條軌道。我們看到了朝著這個方向發展的趨勢,”Velasquez 說,並指出美國聯邦政府、金融業和科技公司開始要求多層身份驗證。Tobac 對此表示贊同。“我可以看到車輪在轉動。它們轉得不夠快,但它們正在轉動,”她說。“我認為我們必須繼續向我們都依賴的公司施壓,以保護我們的資料、我們的安全、我們的隱私,從 KBA 流程轉向 MFA 流程。”