web-dev-qa-db-ja.com

社会保障番号の最後の4桁を識別子として使用するのは悪い習慣ですか?

社会保障番号の最後の4桁を識別子として使用するのは悪い習慣ですか?

人の社会の最後の4桁は、個人の識別/認証の手段として一般的に使用されますが、その使用法に関するガイドラインは見つかりません。自分のSSNの一部を不必要に公開すると、回避可能な攻撃ベクトルが作成されるようです。

1
user389823

認証にSSNを使用しないでください。それらはそのように設計されていないため、そのためには機能しません。

おそらく、独自のSSNを秘密にしておく必要がありますが、システムを設計するときは、すべてのSSNをパブリックナレッジと見なす必要があります。インターネットには、それらを含むデータダンプが散らばっています。あなたがあなたにあなたをあなたに配ったどんな組織のあなたの友人、家族または従業員もそれにアクセスすることができます。その上、安全にハッシュするためにショートします。靴のサイズをすべてのパスワードとして使用するのと同じくらい悪いです。

このアドバイスは、サインイン、アカウントの復旧、カスタマーサポートとのやり取りを含むすべてのプロセスに当てはまります。あなた自身のミニ Equifax scandal を危険にさらす気がなければ、それらを保管する必要をまったく回避できるのが最善です。

4
Anders

識別と認証はまったく異なります。

識別のためにSSNの最後の4つを使用している人を聞いたことがありません。約100人を超えるグループの重複が発生する可能性が高く、少なくともほとんどのコンピュータ化されたシステムは、それよりもはるかに多くを処理します。

フルSSNはかなり良いidentifier、少なくとも米国市民および(法的)居住者向けに設計されたものである。それは完璧ではなく、そのサイズのシステムはありそうもありません:同じ番号が誤って複数の人に割り当てられたケースがあり、むしろ誰かが他の人の番号を不適切に使用(つまり、盗む)したケースがありました。また、時間の経過とともに1人に複数の番号が割り当てられる(同時にではない)ケースは比較的少数です。一部のアプリケーション(特に、雇用や投資などの税金、およびその他の特定の政府給付に関連するもの)では、識別に使用する必要があります必須人。 (最近、メディケアはついに別の、メディケアのみの「受益者識別子」への移行を開始しました。)他の多くの場合、それは必要ではなく、複数回使用される識別子を少なくするか、または多く/すべてが別個のものです。 10、20、50と比較すると、1つのID、または多くても2または3を覚える方が確かに簡単であり、個人の生活のさまざまなレコード、関係、および部分を(正確に!)リンクすることが可能になります。時には有益であり、時にはそうではありません。

OTOH、あまりにも多くのシステムがauthenticatorとして使用するSSN全体または一部。それはそのために設計されたのではなく、アンダースが正しく言ったように、それは非常に悪いです。

1