È una pratica scorretta usare le ultime 4 cifre di un codice fiscale come identificatore?
Le ultime 4 cifre del social di una persona sono comunemente utilizzate come mezzo di identificazione / autenticazione personale, ma non riesco a trovare linee guida sul loro utilizzo in quanto tale. Sembra che esporre inutilmente una parte del proprio SSN crea un vettore di attacco evitabile.
Non utilizzare mai SSN per l'autenticazione. Non funzionano per questo, perché non sono stati progettati per questo.
Mentre probabilmente dovresti cercare di mantenere il tuo SSN segreto, durante la progettazione di un sistema dovresti considerare tutte le SSN come informazioni pubbliche. Internet è disseminato di dump di dati che li contengono. I tuoi amici, familiari o dipendenti di qualsiasi istituzione alla quale hai consegnato il tuo hanno accesso ad esso. Oltre a questo, sono a corto di hash in modo sicuro. È quasi tanto dannoso quanto utilizzare la dimensione della scarpa come password per tutto.
Questo consiglio vale per tutti i tuoi processi, inclusi l'accesso, il recupero dell'account e le interazioni con l'assistenza clienti. È meglio evitare di doverli memorizzare, a meno che tu non voglia rischiare il tuo mini scandalo Equifax .
L'identificazione e l'autenticazione sono cose molto diverse.
Non ho mai sentito di nessuno che abbia usato SSN per l'ultima volta per l'identificazione; probabilmente avrebbe duplicati per qualsiasi gruppo su circa 100 persone, e la maggior parte dei sistemi computerizzati, perlomeno, si occupano sostanzialmente di più.
Completo SSN è un buon identificatore , come è stato progettato per essere, almeno per i cittadini statunitensi e residenti (legali). Non è perfetto, e nessun sistema delle sue dimensioni è probabile che sia: ci sono stati casi di uno stesso numero assegnato a più persone per errore, e piuttosto più casi di persone che usano impropriamente (cioè rubando) il numero di qualcun altro; e ci sono relativamente pochi casi in cui a una persona vengono assegnati più numeri nel tempo (ma non simultaneamente). Per alcune applicazioni, in particolare quelle relative alle imposte, come l'occupazione e gli investimenti, e alcuni altri benefici del governo, è richiesto da utilizzare per identificare le persone. (Benché di recente Medicare abbia finalmente iniziato a passare a un "identificatore del beneficiario" diverso da Medicare). Per molti altri non è necessario, e vi è un dibattito politico valido se è meglio avere meno identificatori moltiplicati o molti / tutti separati e distinti. È certamente più facile per le persone ricordare un id, o al massimo due o tre, rispetto a dieci o venti o cinquanta, e rende possibile (in modo preciso!) Collegare diversi record, relazioni e parti della vita di una persona, che a volte è utile e talvolta no.
OTOH, troppi sistemi usano come authenticator SSN completo o parziale. NON è stato progettato per questo e, come ha giustamente detto Anders, è MOLTO CATTIVO per questo.
Leggi altre domande sui tag information-gathering attack-vector social-security-number