Equifax 個資失竊啟示,白宮:應拋棄傳統身分證號

作者 | 發布日期 2017 年 10 月 07 日 12:00 | 分類 Fintech , 網路 , 資訊安全 follow us in feedly

此前大型美國徵信公司 Equifax 個資失竊案震驚了美國社會,官方及輿論都開始在省思在未來科技更加發達的社會,如何保證個人隱私及資料的安全。



2013 年的 Yahoo 個資洩漏案近期已確定規模達到 30 億之鉅,幾乎所有客戶的個資都已外洩,比之前預測更多數倍,且背後駭客似乎受到他國政府贊助,而再度受到關注。然而 Equifax 的案件其實情事更加嚴重,儘管規模較小,近 1 億多客戶個資遭竊,但洩漏的不僅是像 Yahoo 那樣的基本個人資料,甚至參雜很多殭屍帳號,而是更重要的個人身分證號及信用資料。

近年來,個資外洩案也不僅如此,令美國當局開始省思是否有應對方案。川普政府的白宮資安協調員 Rob Joyce 指出,社會安全號碼已不再適用於現行環境,每當民眾使用一次,就多一分外洩的風險,這樣單一號碼在面對層出不窮的個資外洩事件,將不再安全,政府會再提出更好的解決方案。

社會安全碼是美國聯邦政府發給公民、永久居民或臨時居民的一組 9 位數字號碼,其原本主要目的是為了追蹤個人稅賦資料,但近年來已成為實際上的身分證。此制度在 1936 年引進,因為一開始是為了稅務,所以直到 1986 年大部分的兒童及青少年並沒有此號碼,而現今,社會安全號碼已隨著出生證明一起申請,成為一種身分認證。

然而,近年來民眾社會安全碼被盜取的事件非常頻繁,問題是就算發現這些資料被盜用,民眾也通常不會換發一個新的號碼,且目前的研究顯示,其實早在這些事件之前,就有近 6 成以上的民眾,資料早已不再安全,也不可能再全面更換社會安全碼。

應全面汰換身分認證系統

Equifax 前執行長 Richard Smith 就表示,諸如生日、名字及社會安全碼等一成不變的資訊,並沒有安全性可言,民眾的各種行為應建立在一個新型可變換的加密系統上。杜魯門國安智庫研究員 Bob Stasio 表示,區塊鏈技術將是很有潛力的參考對象,以創造出一種在數學上不可複製的數位指紋。

而華盛頓民主與科技中心技術負責人 Joseph Lorenzo Hall 認為,或許可以提供民眾一個被加密的超長金鑰,並嵌入實體憑證(Physical Token),民眾若要使用還要再加上一組自設的 Pin 碼,目前愛沙尼亞已開始使用類似機制。

哈佛大學政治學院研究員 Bruce Schneier 也指出,近年來,需要透過社會安全碼使用的基礎設施越來越多,也令其越來越有價值,但問題就是,民眾也只擁有這樣一組數字。還有像是目前印度政府正推行的 Aadhaar 計畫,就打算蒐集民眾的指紋及虹膜建立一套全國性的生物辨識系統再搭配密碼使用。他相信美國同樣可以建立一套更好的系統,但估計也更花錢。

而在真的汰換現行系統之前,電子隱私訊息中心執行董事 Marc Rotenberg 表示,將可能會要求國會立法,對社會安全碼的使用進行限制,當然這也會牽涉到非常複雜的立法過程。

(首圖來源:Flickr/Christoph Scholz CC BY 2.0)

延伸閱讀:

關鍵字: , , , ,