研究人员披露社会安全号码中的安全缺陷

您是否在任何社交网络上发布了出生日期和出生地？如果是这样，您可能已经为黑客提供足够的信息来找出您的社会安全号码。好吧，理论上，无论如何。卡内基梅隆大学的研究人员已经成功地设计出一种使用统计分析来猜测某人的社会安全号码的方法。

卡内基梅隆大学的研究人员Alessandro Acquisti和Ralph Gross表示，社会保险号码系统与广泛使用SSN作为识别号码相结合创建了一个“漏洞架构”，并且是基本个人信息和现代计算能力可用性的意外后果。这项研究将于7月29日在拉斯维加斯举行的今年黑帽安全大会上公布。

Acquisti和Gross认为问题在于如何构建社会安全号码。每个S.S.N.有三部分：地区号（AN）;组号（GN）;序列号（SN）。所有三个组成部分都可以根据您在S.S.N.的时间您的住所的可能位置进行预测。被申请了。这是可能的，因为每个州的AN和GN的序列可以在线公开获得，并且SN以连续的顺序分配。

[更多阅读：如何从Windows PC删除恶意软件]

研究人员测试了他们的理论猜测社会安全局死亡主文件的SSNs。 DMF是公开可用的数据库，列出了死亡人员的SSN。

虽然预测SSNs的成功率相对较低，但研究人员能够正确猜测出1989年以前出生人口的全国范围的数字，时间少于100次。

然而，最简单的数字是在较小的州和1988年以后出生的人分配的。原因是截至1989年，社会保险号码根据“出生倡议，即人们在出生时获得社会安全号码。 EAB增加了识别S.S.N.的机会。因为申请S.S.N时一个人的出生地和所在地保证是相同的。此外，较小的州人口会自动减少可用SSN的数量，从而使得正确的猜测更可能发生。例如，一个惊人的发现是，卡内基梅隆大学的研究人员能够在不到十次的尝试中识别出20个完整SSN中的一个对于1996年出生在特拉华州的人来说。研究人员还发现他们可以正确识别SSN的前五位数字任何人都可以尝试44％的时间出生于1989年至2003年间的个人。

尽管他们取得了这些成果，但Acquisti和Gross警告说，他们收获S.S.N.s的方法只能由复杂的黑客模仿。在这样一种情况下，研究人员讨论了如何使用正确算法的犯罪分子在1991年出生于西维吉尼亚的男性和包含至少10,000个IP地址的租用僵尸网络（僵尸计算机）的情况下猜测S.S.N.s能否成功获得S.S.N.每分钟多达47人。根据Acquisti和Gross提出的各种变数，情况必须是理想的，但该研究表明，只需两条基本个人信息即可进行大规模身份识别。

解决方案

插图：斯图尔特布拉德福德现在SSN的答案是什么缺陷已被证实？ Acquisti和Gross认为使用S.S.N.的传统作为私人交易的个人识别号码，例如开设银行账户或使用手机提供商注册应该取代更安全的身份识别系统

使用S.S.N.作为个人身份识别手段是社会保障局多年来一直警告的程序。然而，SSA代表Mark Lassiter告诉“纽约时报”，卡内基梅隆大学的研究并不值得警惕。拉塞特说，如果研究人员为发现S.S.N.'s而“破解密码”，这将是一种“戏剧性的夸大”。 Lassiter还表示，SSA将在明年开始使用随机系统分配数字。

如果您担心在线保护您的身份，请查看PC World的“保护您的在线身份指南”。

连接Ian保罗在推特（@ianpaul）。