शोधकर्ता सामाजिक सुरक्षा संख्या में सुरक्षा दोष का पर्दाफाश करते हैं

क्या आपने अपनी जन्मतिथि और जन्मतिथि अपने किसी भी सामाजिक नेटवर्क पर पोस्ट की है? यदि ऐसा है, तो हो सकता है कि आपने हैकर्स के लिए अपने सोशल सिक्योरिटी नंबर को समझने के लिए पर्याप्त जानकारी प्रदान की हो। खैर, सिद्धांत रूप में, वैसे भी। कार्नेगी मेलॉन विश्वविद्यालय के शोधकर्ताओं ने सांख्यिकीय विश्लेषण का उपयोग करके किसी व्यक्ति के सोशल सिक्योरिटी नंबर का अनुमान लगाने के लिए सफलतापूर्वक एक तरीका तैयार किया है।

कार्नेगी मेलॉन के शोधकर्ता एलेसेंड्रो एक्क्विस्टी और राल्फ ग्रॉस का कहना है कि एसएसएन के व्यापक उपयोग के साथ संयुक्त सुरक्षा सोशल सिक्योरिटी नंबरिंग सिस्टम एक पहचान संख्या के रूप में है एक "भेद्यता का वास्तुकला" बनाया, और बुनियादी व्यक्तिगत जानकारी और आधुनिक कंप्यूटिंग शक्ति की उपलब्धता का एक अप्रत्याशित परिणाम है। यह अध्ययन लास वेगास में इस वर्ष के ब्लैक हैट सुरक्षा सम्मेलन में 2 9 जुलाई को प्रस्तुत किया जाएगा।

Acquisti और ​​सकल ने यह निर्धारित किया कि समस्या यह है कि सामाजिक सुरक्षा संख्या कैसे बनाई जाती है। प्रत्येक एसएसएन तीन भागों हैं: क्षेत्र संख्या (एएन); समूह संख्या (जीएन); सीरियल नंबर (एसएन)। आपके एसएसएन के समय आपके निवास के संभावित स्थान के आधार पर सभी तीन घटकों की भविष्यवाणी की जा सकती है। के लिए आवेदन किया गया था। यह संभव है क्योंकि प्रत्येक राज्य के लिए एएनएस और जीएन के अनुक्रम सार्वजनिक रूप से ऑनलाइन उपलब्ध हैं, और एसएन को लगातार क्रम में असाइन किया गया है।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

शोधकर्ताओं ने अपने सिद्धांत का परीक्षण किया सोशल सिक्योरिटी एडमिनिस्ट्रेशन डेथ मास्टर फाइल के खिलाफ एसएसएन का अनुमान लगाने का। डीएमएफ एक सार्वजनिक रूप से उपलब्ध डेटाबेस है जो मरने वाले लोगों के एसएसएन सूचीबद्ध करता है।

एसएसएन की भविष्यवाणी करने की सफलता दर अपेक्षाकृत कम थी, लेकिन शोधकर्ता 1 9 8 9 से पहले पैदा हुए लोगों के लिए राष्ट्रव्यापी संख्याओं का सही अनुमान लगाने में सक्षम थे, 0.08 प्रतिशत सौ से भी कम प्रयासों में समय।

भविष्यवाणी करने के लिए सबसे सरल संख्या, हालांकि, छोटे राज्यों और 1 9 88 के बाद पैदा हुए लोगों के लिए असाइन की गई थीं। कारण यह है कि 1 9 8 9 तक, सामाजिक सुरक्षा संख्या को गणना के अनुसार सौंपा गया था जन्म पहल, जहां लोगों को जन्म पर अपना सामाजिक सुरक्षा नंबर प्राप्त हुआ। ईएबी ने एसएसएन की पहचान करने का मौका बढ़ाया। नाटकीय रूप से जब किसी व्यक्ति के जन्मस्थल और स्थान पर एसएसएन लागू किया गया था, तो समान होने की गारंटी थी। इसके अलावा, एक छोटी राज्य आबादी स्वचालित रूप से एसएसएन की संख्या को कम कर देती है जो सही अनुमान लगाने के लिए अधिक संभव है।

उदाहरण के लिए एक हड़ताली खोज यह थी कि कार्नेगी मेलॉन शोधकर्ता दस प्रयासों से कम में 20 पूर्ण एसएसएन में से एक को पहचानने में सक्षम थे 1 99 6 में डेलावेयर में पैदा हुए लोगों के लिए। शोधकर्ताओं ने यह भी पाया कि वे एसएसएन के पहले पांच अंकों की सही पहचान कर सकते हैं किसी भी व्यक्ति में 1 9 8 9 और 2003 के बीच पैदा हुए व्यक्तियों के लिए 44 प्रतिशत समय का प्रयास करें।

उनके परिणामों के बावजूद, एक्वाइस्टी और सकल सावधानी बरतें कि एसएसएन.एस. की कटाई की उनकी पद्धति केवल परिष्कृत हैकर्स द्वारा अनुकरण की जा सकती है। इस तरह के एक परिदृश्य में, शोधकर्ताओं ने चर्चा की कि 1 99 1 में वेस्ट विरिगिना में पैदा हुए पुरुषों के लिए एस.एस.एन.एस. का अनुमान लगाने के लिए सही एल्गोरिदम के साथ अपराधियों और कम से कम 10,000 आईपी पते (ज़ोंबी कंप्यूटर) युक्त एक किराए पर बॉटनेट सफलतापूर्वक एसएसएन प्राप्त कर सकता है। प्रति मिनट 47 लोगों में से। परिस्थितियों को आदर्श होना चाहिए और Acquisti और ​​सकल द्वारा आगे की गई चर की एक विस्तृत श्रृंखला के अनुसार चलना होगा, लेकिन शोध से पता चलता है कि बुनियादी व्यक्तिगत जानकारी के केवल दो टुकड़ों के साथ बड़े पैमाने पर पहचान कटाई संभव होगी।

समाधान

चित्रण: स्टुअर्ट ब्रैडफोर्ड एसएसएन अब जवाब क्या है दोष साबित हुआ है? Acquisti और ​​सकल तर्क है कि आपके एसएसएन का उपयोग करने की परंपरा। निजी लेनदेन के लिए व्यक्तिगत पहचान संख्या के रूप में, जैसे कि बैंक खाता खोलना या सेल फोन प्रदाता के साथ साइन अप करना पहचान की एक और सुरक्षित प्रणाली के लिए प्रतिस्थापित किया जाना चाहिए।

एसएसएन का उपयोग करना व्यक्तिगत पहचान के साधन के रूप में सामाजिक सुरक्षा प्रशासन ने कई वर्षों से चेतावनी दी है। हालांकि, एसएसए के प्रतिनिधि मार्क लैसिटर ने द न्यूयॉर्क टाइम्स को बताया कि कार्नेगी मेलॉन रिसर्च अलार्म का कारण नहीं है। लस्सीटर ने कहा कि यह सुझाव देने के लिए "नाटकीय अतिवाद" होगा कि शोधकर्ताओं ने एसएसएन की खोज के लिए "कोड को तोड़ दिया" है। लेसिटर ने यह भी कहा कि एसएसए अगले साल से यादृच्छिकरण प्रणाली का उपयोग करके संख्याएं आवंटित करेगा।

यदि आप ऑनलाइन अपनी पहचान की सुरक्षा के बारे में चिंतित हैं, तो पीसी वर्ल्ड की "अपनी ऑनलाइन पहचान को सुरक्षित करने के लिए मार्गदर्शिका" देखें।

इयान से जुड़ें ट्विटर पर पॉल (@ianpaul)।