jeudi, 28 mars 2024

ID.me et l’avenir de l’architecture biométrique zéro confiance

Par Mike Vesey, créateur et PDG d’IdRamp

La réaction contre la politique actuelle de l’IRS exigeant que les contribuables aient accès aux services fiscaux via le Le fournisseur de services d’identité tiers ID.me a exigé à la fois d’abandonner l’obligation d’utiliser la reconnaissance faciale à des fins de vérification lors du téléchargement d’informations fiscales personnelles.

Cela soulagera les professionnels de la sécurité de l’information et la population américaine dans son ensemble, mais c’est également un pas en arrière dans la lutte contre la fraude et les dangers croissants contre notre sécurité des données.

La reconnaissance faciale peut être un outil fiable pour protéger les données personnelles, mais tout dépend de la manière dont elle est effectuée. Réussi, c’est un outil indispensable ; fait terriblement, c’est un désastre de confidentialité et de sécurité qui attend d’avoir lieu. Malheureusement, ID.me et l’administration fiscale ont choisi de révéler et de concevoir la nouvelle exigence de confirmation biométrique d’une manière incertaine et peut-être risquée, mettant ID.me sur le chemin des contribuables et de l’administration fiscale.

Comme l’a expliqué CBS News, « L’IRS veut votre selfie. Le PDG d’ID.me déclare ne pas s’en inquiéter », ce qui est apparu comme un appel à l’action pour que tout le monde s’en préoccupe. Lorsqu’on lui a demandé de décrire le fonctionnement de son système, le PDG d’ID.Me, Blake Hall, a avoué qu’il utiliserait une base de données centrale composée d’informations personnelles critiques liées aux détails biométriques de l’ensemble de la population fiscale américaine. ID.me utiliserait l’innovation Rekognition d’Amazon pour comparer les candidats avec une base de données ID.me existante.

Mauvaise réalisation et architecture, ID.Me et l’Internal Revenue Service étaient sur la bonne voie : la biométrie est une excellente méthode pour valider l’identité et offre une méthode pour prévenir les escroqueries. La deuxième partie, la partie qu’ils ont manquée, est que la biométrie combat simplement les escroqueries si elle est publiée dans une méthode qui préserve la confidentialité personnelle de l’utilisateur et ne finit pas elle-même par être une nouvelle source d’informations à prendre.

Personnel la fraude à l’information est devenue la charge apparemment inévitable de la commodité des services numériques. Selon l’agence de renseignements sur les consommateurs Experian, la fraude a augmenté de 33 % au cours des deux dernières années, les demandes trompeuses de carte de paiement étant l’une des principales infractions. Le rapport 2021 de Cisco sur les tendances des menaces à la cybersécurité révèle qu’au moins une personne a cliqué sur un lien d’hameçonnage dans 86 % des organisations et que l’hameçonnage représente 90 % des violations de données.

Il est difficile de ne pas croire que la sauvegarde des données individuelles et biométriques de l’ensemble de la population contribuable des dans une seule base de données ne finirait pas par être un catalyseur pour la mère de toutes les violations de données.

Qualifications prouvées en biométrie = zéro confiance

La biométrie mise à part, la L’étape la plus importante vers l’exécution d’un système de validation d’identité qui sécurise la confidentialité personnelle, améliore la convivialité et offre une sécurité significative consiste à éliminer l’utilisation de l’authentification par mot de passe. Les leçons tirées de vingt ans de violations d’informations révèlent que les systèmes basés sur des mots de passe ne peuvent pas être bien protégés, sont difficiles à gérer et chacun peut finir par être un point de défaillance unique pour l’ensemble du système.

Ce qu’ID.me et le service des recettes internes auraient pu utiliser à la place, c’est une identité décentralisée et des informations d’identification éprouvées. Ces innovations peuvent constituer la base de la fourniture de la sécurité biométrique. Construits sur des normes ouvertes, ils sont facilement disponibles dans le quartier open source et prêts à être diffusés par n’importe qui aujourd’hui.

Des qualifications numériques vérifiables remplacent les noms d’utilisateur et les mots de passe et vous permettent d’interagir avec un site Web grâce à des secrets de cryptage de fichiers décentralisés . Ils sont délivrés par le biais des processus réguliers de connaissance du consommateur (KYC) ou de garantie d’une organisation, sont des preuves distinctes et inviolables et peuvent montrer de manière cryptographique leur origine et leur propriété sans stockage central ou partage d’informations d’identification personnelle ou surveillance avec la source des informations d’identification.

En combinant des qualifications numériques éprouvées, qui peuvent être conservées sur le téléphone mobile d’une personne, avec une assurance biométrique, seule la personne qui possède en fait l’appareil peut utiliser les informations d’identification pour prouver son identité.

Alors que la combinaison d’identifiants et de mots de passe avec la biométrie est un double danger pour la sécurité, la combinaison d’identifiants numériques éprouvés et de la biométrie devient une double défense pour éliminer la fraude et le vol.

Et ils sont faciles à utiliser . L’absence de friction dans cette approche signifie également qu’une architecture de sécurité de confiance zéro est beaucoup plus facile à mettre en œuvre.

Absolument aucune confiance, une exigence pour les entreprises fédérales récemment révélée par la Maison Blanche, nécessite une confirmation continue pour chaque propriété de réseau à laquelle vous avez consenti à accéder (plutôt qu’une seule connexion qui vous permet d’accéder à travers une frontière de réseau et d’accéder à n’importe quoi) ; la confirmation continue est facile avec des informations d’identification éprouvées.

Orchestration de l’identité

Le gouvernement américain et d’autres envisagent déjà une innovation d’identité décentralisée pour produire des identités numériques sûres et sécurisées pour la connexion aux services et aux applications par les membres du personnel et les personnes.

Toutes les entreprises ne sont pas conscientes que cette toute nouvelle technologie existe aujourd’hui ou ce qu’elle peut faire – ou craignent qu’elle soit trop compliquée à déplacer vers, ou trop coûteux pour re-plateformer ce qu’ils ont actuellement.

Le coût irrécupérable des bases de données centrales n’est pas un obstacle à la décentralisation. Des informations d’identification vérifiables peuvent être rapidement superposées sur les systèmes existants pour une meilleure sécurité. Ils peuvent être utilisés comme un outil pour orchestrer les complexités dans plusieurs systèmes de gestion d’identité et bases de données afin qu’ils finissent par préserver la vie privée et résister à la fraude.

Sans ce type d’application d’informations d’identification numériques vérifiables, les contribuables retourneront à offrant plusieurs pièces d’identité sous forme de documents papier créés rapidement, y compris des informations individuelles qui sont copiées et partagées avec des systèmes détachés dans les gouvernements régionaux, étatiques et fédéraux.

Il est temps d’innover, de moderniser et de sécuriser. L’administration fiscale, ID.Me et les entreprises du secteur public général devraient continuer à rechercher absolument aucune confiance, mais avec une approche d’information décentralisée utilisant des qualifications numériques vérifiables.

Cela impliquera l’abandon des mots de passe, ce qui est quelque chose que tout le monde accueillera – et, plus important encore, cela suggère d’avoir la capacité d’utiliser la biométrie d’une manière plus forte et plus conviviale en laquelle les gens peuvent avoir confiance.

À propos de l’auteur

Mike Vesey est sur un mission d’offrir des solutions numériques transformationnelles pour l’entreprise mondiale. Il a en fait développé des produits primés dans les domaines des interactions combinées, des opérations de service, de la sécurité, de l’identité et de la gestion de l’information. Mike a publié des intégrations d’identité complexes avec quelques-unes des plus grandes entreprises du monde. Il est le créateur et PDG d’IdRamp, offrant une plate-forme d’identité décentralisée offrant une orchestration facile à mettre en œuvre, la suppression des mots de passe, des informations d’identification éprouvées, un identifiant et une prestation de services. matériel envoyé. Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement les opinions de Biometric Update.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici