أرقام الضمان الاجتماعي ليست آمنة: ما الذي يجب أن نستخدمه بدلاً من ذلك؟

أكدت شركة الاتصالات T-Mobile الشهر الماضي أن المتسللين تمكنوا من الوصول إلى 54 مليون مستخدم من البيانات الشخصية ، بما في ذلك الأسماء والعناوين وتواريخ الميلاد ، وربما الأسوأ من ذلك كله ، أرقام الضمان الاجتماعي. هذه الأخيرة هي نتيجة كبيرة لصوص الهوية لأنه يمكن استخدامها لإلغاء تأمين الخدمات المالية والمزايا الحكومية والمعلومات الطبية الخاصة.

هذه ليست سوى أحدث خرق كبير للبيانات لفضح معلومات التعريف هذه على نطاق واسع ، مما يجعل مئات الملايين من الأمريكيين أكثر عرضة لسرقة الهوية. للقضاء على المشكلة ، يدعو بعض الخبراء إلى وضع حد لأرقام الضمان الاجتماعي ، مقترحين علينا استبدالها بطريقة أخرى – وأقل ضعفًا بطبيعتها – لإثبات هوية المرء. لكن خبراء الأمن يعتقدون أن الحكومة لا تحتاج إلى التخلص منها بالكامل. بدلاً من ذلك ، يجب أن تبدأ المنظمات التي تستخدم أرقام الضمان الاجتماعي كدليل على الهوية في طلب أكثر من نموذج واحد من بطاقات الهوية.

سجلت لجنة التجارة الفيدرالية 1.4 مليون تقرير عن سرقة الهوية في عام 2020 ، وفي ذلك العام كلف هذا الاحتيال الضحايا ما يقدر بنحو 56 مليار دولار ، وفقًا لشركة الاستشارات المالية Javelin Strategy & Research. قد يستخدم لصوص الهوية مجموعة متنوعة من المعلومات لانتحال شخصية الأفراد ، ولكن أحد أفضل مفاتيح الوصول إلى الأموال هو رقم الضمان الاجتماعي أو SSN. هذه السلسلة المكونة من تسعة أرقام ، والتي بدأت الحكومة الفيدرالية بإصدارها في عام 1936 ، تم تخصيصها في الأصل للأشخاص لمجرد تحديد مزايا الضمان الاجتماعي الخاصة بهم.

توضح إيفا فيلاسكيز ، الرئيس والمدير التنفيذي لمركز موارد سرقة الهوية ، وهي منظمة غير ربحية تدعم ضحايا مثل هذه الجرائم: “لم يتم إعداده ليكون هذا المعرف العالمي الفريد”. ولكن في النهاية ، أصبح الرقم مدى الحياة وسيلة ملائمة للأشخاص للتقدم بطلب للحصول على بطاقات الائتمان والقروض الطلابية والرهون العقارية وخطوط الائتمان الأخرى – من بين خدمات أخرى. “غالبا [SSNs can be used to] الحصول على سلع أو خدمات طبية ، وهذا يشمل الوصفات الطبية والمعدات الطبية المعمرة وأشياء من هذا القبيل ، “يقول فيلاسكيز. “وبعد ذلك ، بالطبع ، [they are used to apply for] الإعانات الحكومية: أشياء مثل البطالة ، SNAP [Supplemental Nutrition Assistance Program] الفوائد والمساعدات للأسر التي لديها أطفال معالون “. الوصول إلى مثل هذه المجموعة الواسعة من الأصول يجعل الأرقام هدفًا رئيسيًا للقراصنة.

مع تعرض عشرات الملايين من شبكات الأمان الاجتماعي الآن لانتهاكات البيانات ، دعا عدد من السياسيين وخبراء الأمن الشركات إلى التخلص التدريجي من استخدام هذه المعرفات. في عام 2017 ، اقترح روب جويس ، منسق الأمن السيبراني في البيت الأبيض والمدير الحالي للأمن السيبراني في وكالة الأمن القومي ، استبدال رقم الضمان الاجتماعي بخيار يصعب اختراقه: سلسلة أطول بكثير من الأحرف تُعرف باسم مفتاح التشفير. ولكن لا يزال من الممكن سرقة أي رقم منفرد ، سواء كان مكونًا من تسعة أرقام أو 100 ، من المستودع ومشاركته عبر الإنترنت. يقول فيلاسكيز: “بمجرد أن تطور أو تنشئ معرّفًا فريدًا وثابتًا آخر ، سيكون مجرد رقم آخر تصدره للجميع”. “ثم يصبح ذلك ذا قيمة بالنسبة إلى اللص ، لذلك سيستهدفون الأنظمة التي تحتوي على تلك البيانات.”

أتاحت التكنولوجيا الحديثة طرقًا أخرى للتحقق من الهوية: يمكن لمدير كلمات المرور إنشاء كلمة مرور طويلة يصعب تخمينها لكل حساب ، وغالبًا ما يسهل هذا النوع من البرامج تغيير كلمات المرور هذه في حالة حدوث خرق للبيانات. يمكن توصيل مفتاح USB بجهاز كمبيوتر لمصادقة مالكه. يمكن فحص المعلومات البيومترية ، مثل بصمة الإصبع أو الوجه ، بواسطة الهاتف الذكي. لكن الخبراء لا يوصون باستبدال رقم الضمان الاجتماعي بأي من هذه الطرق وحدها ؛ الخيار الأكثر أمانًا هو حماية الهوية بعوامل متعددة. يقول فيلاسكيز: “بدلاً من تركيز مخاطرنا الأمنية على نقطة البيانات الفردية هذه ، نحتاج إلى تطوير هذه الأساليب الأكثر شمولية ومتعددة الطبقات لإدارة الهوية”. “لذلك إذا تم اختراق أي عنصر أو عنصرين من تلك الهوية ، فلن يؤثر ذلك على الهوية بأكملها.”

تسمى ممارسة إثبات هوية الفرد من خلال تقديم حقيقة يعرفها المرء ، مثل رقم الضمان الاجتماعي ، بالمصادقة القائمة على المعرفة ، أو KBA. وتوضح راشيل توباك ، المتسللة الأخلاقية والرئيس التنفيذي لشركة SocialProof Security ، وهي منظمة تساعد الشركات على اكتشاف نقاط الضعف المحتملة للهجمات الإلكترونية ، وهي معرضة بشكل كبير للمتسللين لأن كل ما يحتاجون إليه لانتحال شخصية شخص ما هو سرقة هذه المعلومات الدقيقة من المعرفة. “على سبيل المثال ، يمكن أن يطلبها منك مهندس اجتماعي ويسرقها. يمكن أن يكون متورطًا في خرق ويتم إلقاؤه علنًا عبر الإنترنت عندما تثق الشركة التي تثق بها مع KBA الخاص بك … [is] تعرضت لهجوم إلكتروني “. قد تظهر بعض أنواع KBA ، مثل أعياد الميلاد أو أسماء الأمهات قبل الزواج ، على وسائل التواصل الاجتماعي حتى يتمكن أي شخص من العثور عليها. يضيف Tobac ، من الناحية الفنية ، كلمة المرور هي شكل آخر من أشكال KBA ، ولكن في حالة سرقة كلمة المرور ، يمكن إعادة تعيينها. “لا يمكنني المضي قدمًا وتغيير عيد ميلادي ، أو رقم الضمان الاجتماعي الخاص بي ، أو عنواني في كل مرة يتعرض فيها موقع ويب أو مؤسسة أثق فيها بهذه المعلومات إلى حادثة تتعلق بالأمن السيبراني” ، كما تشير.

للحصول على مصادقة متعددة العوامل فعالة ، أو MFA ، لا يكفي مجرد طلب قطعتين أو أكثر من المعرفة. بعد كل شيء ، فإن الانتهاكات مثل الانتهاك الأخير في T-Mobile تطلق مجموعة متنوعة من البيانات حول كل ضحية. بدلاً من ذلك ، يقول توباك ، يجب أن تأتي العوامل الأخرى من مصدر مختلف: شيء ما أنت لديك أو شيء من هذا القبيل نكون. قد تتضمن الفئة السابقة مفتاح USB فعليًا أو حتى هاتفًا يمكنه استقبال رسالة نصية برمز فريد يُستخدم لمرة واحدة. تشمل الفئة الأخيرة السمات الجسدية ، والتي يمكن قياسها بواسطة عمليات المسح البيومترية. على سبيل المثال ، قد تتطلب عملية المصادقة متعددة العوامل من الشخص إدخال رقم الضمان الاجتماعي الخاص به والمتابعة بكلمة رمز تم إرسالها إلى هاتفه. قد يتضمن إصدار آخر إدخالهم لكلمة مرور ثم مسح بصمات أصابعهم.

ومع ذلك ، لا توفر المصادقة متعددة العوامل أمانًا مثاليًا. قد يستخدم المتسلل المصمم تقنية تبديل بطاقة SIM لنقل رقم هاتفك إلى جهاز آخر ، مما يسمح له باعتراض الرسالة النصية التي كان من المفترض أن توفر طبقة ثانية من الأمان. يمكن خداع المسح البيومتري. ولكن من خلال طلب أشكال متعددة من المصادقة ، فإن النظام يخلق الكثير من الاحتكاك للجهات الخبيثة. يقول توباك: “لا يمكنني الجلوس هنا وإخبارك أن هذه الطريقة ستكون آمنة بنسبة 100 في المائة من الفشل”. “لكن بالنسبة لمعظم الناس ، مع معظم نماذج التهديد ، فإن ذلك سيوقف المهاجمين.”

على الرغم من قوتها ، إلا أن المصادقة متعددة العوامل بعيدة عن كونها مطلوبة عالميًا. تستمر بعض مكاتب الائتمان والخطوط الساخنة لدعم العملاء والحسابات الحكومية وغيرها من الخدمات في الاعتماد على المصادقة البسيطة القائمة على المعرفة مثل رقم الضمان الاجتماعي. لكن النهج الأكثر أمانًا أصبح أكثر شيوعًا بشكل تدريجي. “نحن بالفعل على هذا المسار. يقول فيلاسكيز: “إننا نشهد حركة في هذا الاتجاه” ، مشيرًا إلى أن الحكومة الفيدرالية الأمريكية والصناعة المالية وشركات التكنولوجيا بدأت في طلب طبقات متعددة من المصادقة. يوافق توباك. “أستطيع أن أرى أن العجلات تدور. تقول: “إنهم لا يتحولون بسرعة كافية ، لكنهم يستديرون”. “وأعتقد أنه يتعين علينا الاستمرار في الضغط على الشركات التي نعتمد عليها جميعًا لحماية بياناتنا ، وأمننا ، وخصوصيتنا ، للانتقال من KBA إلى MFA.”

التعليقات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *