Mga mananaliksik Ilantad ang Kapansanan ng Seguridad sa Mga Numero ng Social Security

Naipaskil mo ba ang petsa ng iyong kapanganakan at lugar ng kapanganakan sa alinman sa iyong mga social network? Kung gayon, maaari kang magbigay ng sapat na impormasyon para sa mga hacker upang malaman ang iyong numero ng Social Security. Well, sa teorya, pa rin. Ang mga mananaliksik sa Carnegie Mellon University ay matagumpay na gumawa ng isang paraan upang hulaan ang numero ng Social Security ng isang tao gamit ang statistical analysis.

Mga mananaliksik ni Carnegie Mellon Alessandro Acquisti at Ralph Gross ay nagsabing ang Social Security numbering system na kasama ng malawakang paggamit ng SSN bilang isang numero ng pagkilala lumikha ng isang "arkitektura ng kahinaan," at isang di-inaasahang resulta ng pagkakaroon ng pangunahing personal na impormasyon at modernong kapangyarihan ng computing. Ang pag-aaral ay ipapakita sa Hulyo 29 sa kumperensyang seguridad sa Black Hat sa taong ito sa Las Vegas.

Acquisti at Gross ay nagpasiya na ang problema ay nasa kung paano itinatayo ang mga numero ng Social Security. Bawat S.S.N. May tatlong bahagi: area number (AN); numero ng pangkat (GN); serial number (SN). Ang lahat ng tatlong mga sangkap ay maaaring hinulaan batay sa posibleng lokasyon ng iyong paninirahan sa oras na iyong S.S.N. ay inilapat para sa. Ito ay posible dahil ang pagkakasunud-sunod ng ANs at GNs para sa bawat estado ay magagamit ng publiko online, at ang SN ay nakatalaga sa magkakasunod na pagkakasunud-sunod.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sinubok ng mga mananaliksik ang kanilang teorya ng paghuhula ng SSN laban sa Administrasyong Panlipunan ng Pagkamatay ng Death Master. Ang DMF ay isang magagamit na database ng publiko na naglilista ng SSN ng mga taong namatay.

Habang ang tagumpay ng tagumpay para sa predicting SSN ay medyo mababa, ang mga mananaliksik ay nakapag-tama na hulaan ang mga numero sa buong bansa para sa mga taong ipinanganak bago 1989, 0.08 porsiyento ng Ang oras ay mas mababa kaysa sa isang daang sumusubok.

Ang pinakamadaling bilang upang mahuhulaan, gayunpaman, ay ang mga itinalaga sa mga mas maliit na estado at sa mga taong ipinanganak pagkatapos ng 1988. Ang dahilan dito ay na noong 1989, ang mga numero ng Social Security ay naitalaga ayon sa Enumeration sa Inisyatiba ng kapanganakan, kung saan natanggap ng mga tao ang kanilang numero ng Social Security sa kapanganakan. Ang EAB ay nagdaragdag ng pagkakataon na makilala ang isang S.S.N. kapansin-pansing dahil ang lugar ng kapanganakan at lokasyon ng isang tao sa oras na inilapat ng S.S.N ay katumbas na magkatulad. Bilang karagdagan, ang isang mas maliit na populasyon ng estado ay awtomatikong binabawasan ang bilang ng mga available na SSN na gumagawa ng tamang hula na mas malamang.

Ang isang kapansin-pansing paghahanap ay halimbawa na ang mga mananaliksik ng Carnegie Mellon ay nakilala ang isa sa 20 kumpletong SSN sa mas mababa sa sampung mga pagtatangka para sa mga taong ipinanganak sa Delaware noong 1996. Napag-alaman din ng mga mananaliksik na maaari nilang makilala nang tama ang unang limang digit ng isang SSN ng sinuman sa isang solong subukan 44 porsiyento ng oras para sa mga indibidwal na ipinanganak sa pagitan ng 1989 at 2003.

Sa kabila ng kanilang mga resulta, ang Acquisti at Gross ay nag-iingat na ang kanilang paraan ng pag-aani ng S.S.N.s ay maaari lamang na sundin ng mga sopistikadong mga hacker. Sa isang ganoong sitwasyon, tinatalakay ng mga mananaliksik kung paano ang mga kriminal na may tamang algorithm upang hulaan ang S.S.N.s para sa mga lalaki na ipinanganak sa West Virigina noong 1991 at ang isang buwisan na botnet na naglalaman ng hindi bababa sa 10,000 IP address (mga computer na zombie), ay maaaring matagumpay na makuha ang S.S.N. ng mas maraming bilang 47 katao bawat minuto. Ang mga kalagayan ay dapat maging perpekto at magpatakbo alinsunod sa isang malawak na hanay ng mga variable na iniharap sa pamamagitan ng Acquisti at Gross, ngunit ang pananaliksik ay nagpapahiwatig ng malaking pagkakakilanlan ng pag-aani ng pagkakakilanlan ay magiging posible sa dalawang piraso ng pangunahing personal na impormasyon.

Mga Solusyon

Ilustrasyon: Stuart BradfordUno ang sagot ngayon na ang SSN Ang depekto ay napatunayan na? Ang Acquisti at Gross ay tumutukoy na ang tradisyon ng paggamit ng iyong S.S.N. bilang isang personal na pagkilala bilang para sa mga pribadong transaksyon tulad ng pagbubukas ng isang bank account o pag-sign up sa isang provider ng cell phone ay dapat na palitan para sa isang mas ligtas na sistema ng pagkakakilanlan.

Paggamit ng S.S.N. bilang isang paraan para sa personal na pagkilala ay isang pamamaraan na ang Social Security Administration ay nagbabala laban sa loob ng maraming taon. Gayunpaman, sinabi ng kinatawan ng SSA na si Mark Lassiter sa The New York Times na ang Carnegie Mellon Research ay hindi isang dahilan para sa alarma. Sinabi ni Lassiter na magiging "dramatikong pagmamalabis" upang ipahiwatig na ang mga mananaliksik ay may "basag ng isang code" para sa pagtuklas ng S.S.N.'s. Sinabi rin ni Lassiter na ang SSA ay magtatalaga ng mga numero gamit ang randomization system simula sa susunod na taon.

Kung nag-aalala ka tungkol sa pagprotekta sa iyong pagkakakilanlan online, tingnan ang "Gabay sa Pagprotekta sa PC Online" ng PC World.

Kumonekta sa Ian Paul sa Twitter (@ anpaul).