2020年初,美国财政部的一个监督机构警告美国国税局,该机构需要采取更多措施防止身份欺诈。该报告称,在最近的数据泄露事件中,“美国国税局用来确保纳税人身份的大部分信息可能被窃取。”
大流行很快突显了这种危险。当美国国税局推出一个网页,让纳税人输入刺激计划支票的银行详细信息时,它通过询问一个人的出生日期和社会保险号码等数据来验证用户。有些人登录后发现骗子先到了那里。
为了应对这些问题,美国国税局采用了一种新技术来验证人们的在线身份:人脸识别。去年6月,财政部与ID.me签订了一份价值8600万美元的合同,该合同通过使用算法将照片ID的图像与视频或静态自拍相匹配来检查一个人的身份。去年11月,美国国税局为几项在线服务部署了ID.me,几乎没有引起公众注意。
然后,上个月,美国国税局的新安全系统引起了公众的注意,并成为一种政治负担。纳税人、活动人士和立法者抱怨说,人脸识别具有侵入性,可能存在偏见。周一,美国国税局表示,将“从使用第三方面部识别服务过渡”,但没有具体说明保护纳税人数据的替代方法。
美国国税局面临的相互矛盾的压力是打击欺诈,但不是通过检查面孔来说明网络时代的一个长期问题。在互联网上,没有人知道你是一条狗,要证明你就是你所说的那条狗很难。“美国国税局发现自己陷入了一个不双赢的局面,”维纳布尔律师事务所的董事总经理杰里米·格兰特说,他曾在美国国家标准与技术研究所(National Institute of Standards and Technology)管理在线身份项目。“这并不是说这个问题有一个显而易见的解决方案。”
这个问题被称为身份验证,验证第一次访问服务的人是他们声称的人。
大多数人都可以亲自拿出一个有照片的政府身份证。在电话或互联网上,公司和政府机构(如美国国税局)历史上使用了一种称为基于知识的验证的过程。它包括询问账户持有人的财务和个人历史的详细问题,通常是从信贷机构提取的,前提是只有此人才能知道答案。
在社交网络、数据泄露和网络市场黑暗的时代,这种假设变得不那么安全。2015年,美国人事管理办公室泄露了2200万人的档案,2017年,包括美国国税局在内的公司和机构使用的信用机构Equifax遭到攻击,暴露了1.43亿美国人的数据。Equifax是以知识为基础的身份证明的基础。
“几乎每个人的个人信息都被泄露了,罪犯知道该去哪里寻找,”认证欺诈审查员协会的研究经理梅森·怀尔德说。这给许多纳税人和国税局带来了麻烦。2016年,美国国税局局长约翰·科斯基宁告诉国会,被盗数据帮助欺诈者在过去两年中使用在线“获取成绩单”服务访问了72.4万人的信息,导致了约25万份欺诈性申报。
这些问题导致美国国税局和其他许多机构转而使用替代方案,比如向根据信用机构记录核对过的电话号码发送代码。他们还通报了2017年对《联邦数字身份指南》的全面修订,该指南建议,对可能泄露敏感数据或造成财务伤害的系统的访问,应要求使用照片ID或指纹等生物识别技术对人员进行验证。照片检查可以亲自进行,也可以通过视频聊天,或者使用将人脸图像或视频与身份证进行比较的算法。
与此同时,自拍检查在Airbnb、Uber、Lyft、Stripe和加密货币兑换Coinbase等私营公司中广泛传播。
总部位于弗吉尼亚州的初创公司ID.me率先在政府机构推出了用于身份验证的人脸识别技术,并于2018年成为第一家通过NIST 2017年指南认证的供应商。大流行促进了它的生意。自疫情开始以来,超过20家州就业机构已经部署了ID.me,经常吹嘘这项服务是一种加快理赔处理的方式,同时防止困扰疫情援助项目的欺诈行为。
甚至在最近美国国税局使用ID.me引发强烈抗议之前,该公司就已经遭到了批评。个人抱怨要等上几个小时甚至几个月才能纠正自拍失败的问题;隐私专家指出,获取自拍会产生新的漏洞。加利福尼亚州审计机构去年表示,虽然该公司的系统改进了对雇佣索赔的处理,但在使用的最初几个月,它拒绝了大约20%的合法索赔人。
加州萨克拉门托工人权利中心(Center for Workers’Rights)是一家帮助低工资工人及其家庭的非营利组织,该中心的执行主任丹尼拉·厄本(Daniela Urban)表示,当加州就业发展部在2020年末采用ID.me时,立即为她的许多客户制造了“巨大障碍”。
该服务的默认工作流程需要智能手机和笔记本电脑或其他设备,这是许多低收入人群所缺乏的。从远处帮助人们变得更加困难。当客户打电话询问身份证问题时,Urban和她的员工告诉他们使用纸质表格申请。Urban说:“我们发现这是最简单的解决办法,因为索赔人花了数周或数月的时间试图找到他们认识的人,他们可以用电脑或电话来帮助他们。”。
美国国税局没有回应有关如何在不使用人脸识别的情况下验证身份的问题。互联网安全中心首席技术官凯瑟琳·莫里亚蒂(Kathleen Moriarty)表示,对美国国税局的强烈反对可能促使安全专家和标准制定者重新考虑是否或何时人脸识别是一种可以接受的在线身份验证方法。她说:“有时候,我们来到一个必须重新考虑如何使用技术的地方。”。
ID.me的首席执行官布莱克·霍尔说,他一直在重新考虑自己的一些决定。霍尔说:“我们没有考虑到一些用户。”。“我们现在非常清楚,也有必要为他们提供一条途径。”现在,ID.me将让机构为人们提供两种选择:一种是人脸识别的自动处理,另一种是与代理进行视频聊天,这一过程以前只有在人脸识别失败时才是一种退路。霍尔说,他正在雇佣数百名以上的代理来处理这些聊天,但早期的测试表明,超过95%的人选择人脸识别。该公司在美国还有700个现场身份验证点。
即使在美国国税局的争议之前,至少有一个联邦机构对使用人脸识别进行在线身份检查感到不安。社会安全管理局在2020年警告NIST有关该技术的“隐私、可用性和政策问题”。该机构写道:“在初步测试中,我们发现相当多的客户不愿意提交照片,或者缺乏成功提交照片所需的技术知识或硬件。”。它提到了对影响少数群体的潜在偏见的担忧,并要求允许其他选择。NIST将于今年发布其数字身份指南的最新草案,并在公众评论后于2023年最终确定。
目前,美国国税局和其他机构可能会依赖已建立但不完善的机制,比如通过短信发送的验证码,尽管“SIM卡交换”攻击可能会劫持这一过程。
从长远来看,美国国税局(IRS)的面对面识别可能会推动企业和政府对移动驾照的兴趣不断增长。传统塑料卡的数字孪生兄弟受到密码保护,并加载到智能手机上。然后,在线服务可以接受数字凭证作为身份证明,因为它只能通过亲自访问DMV获得。
爱荷华州和犹他州都在试行数字驾驶执照。苹果表示,今年将与这些州和其他六个州合作,在iPhone钱包应用程序中提供移动许可证,该应用程序还可以存储信用卡和登机牌。该公司表示,人们只需轻触手表或手机,就可以在机场安检处出示驾照。国会于2020年通过立法,为联邦政府接受移动驾驶执照让路。欧盟正在开发一种类似的数字凭证,该凭证将在其成员国范围内使用。
Venable的格兰特说,要求政府在确保在线认证方面发挥更积极的作用是有道理的。他说:“政府是唯一值得信任的身份认证提供者,但这些认证卡在纸和塑料的世界里被卡住了。”。格兰特还与更好的身份联盟(Better Identity Coalition)合作,这是一个行业组织,主张政府应该创建与传统凭证相关的数字身份工具;其成员包括摩根大通、微软和CVS。它支持去年由两党赞助者提出的一项众议院法案,该法案将指示白宫成立一个关于数字身份的工作组,并将资助州DMV将其身份证数字化。
美国公民自由联盟(ACLU)高级政策分析师杰伊·斯坦利(Jay Stanley)去年在一份报告中警告称,数字驾照在增强公民安全和隐私的同时,可能会损害公民的安全和隐私。他说,将身份证检查数字化可以鼓励机构和公司更频繁地提出要求,并创建互动日志,比如警察局或医生的来访,这可能会激发新的监控计划。斯坦利说:“我们没有好的数字身份识别系统,这一事实不能成为匆忙创建带有卡夫卡式公平和公平问题的系统的理由。”。
与自拍验证一样,数字驾照对于没有智能手机或可靠互联网接入的人来说也很难使用。当被问及数字驾照如何为她在萨克拉门托工作的低收入人群服务时,厄本说,“我更喜欢非技术解决方案,因为这正是我的客户需要的。”
💻 使用Gear团队最喜爱的笔记本电脑、键盘、打字替代品和降噪耳机升级您的工作游戏