基于知识的认证引起的隐私问题

禁止公共事业公司在寒冷的冬季阻止新客户加入的严格规定，促使中西部地区的石油公司利用基于知识的认证（KBA）来铲除欺诈者。

一个不愿意透露名字的公司告诉我们它们经历过在冬季来临前突然涌入大量新客户的事情。一旦让基于知识认证的系统良好运行，呼叫中心接线员就将为注册新账户的用户提供一系列多选问题。那些能回答问题证实身份的人可以获得服务，而那些试图通过假姓名激活过期账号的欺诈者将很快被铲除。

RSA身份和访问保证组的市场营销高级经理Joram Borenstein说，“拖欠大笔费用的用户试图让他们的服务在冬天被重新打开”。EMC的安全部门RSA提供认证服务。“虽然现在很难拒绝别人的热情，但如果有人试图欺骗系统，这是不可以的。”

基于知识的动态认证，为许多金融公司提供了一种在高风险交易前验证用户身份的技术，目前越来越广泛的应用于电子商务网站、医院和电信公司。

随着这项技术变得更加成熟，这项技术会被用来认证更多的人和企业，同时大家会发现一些基于知识认证系统返回的问题有点过于深入。为了消除误报，软件算法中用来创建核实的问题需要保持尖锐，数据源从信用局信息到房屋销售数据。Ezzie Schaff认为社交网络是下一个数据源，并可能引起隐私权倡导者的注意。

在线珠宝商lce.com的风险管理副总裁Schaff说，他一直以来都非常谨慎，他公司的16个呼叫中心接线员不会因为询问隐私问题而吓跑客户。Schaff说，他雇用接线员前都要进行背景调查，如处理信贷申请的时候是否使用基于知识的认证。拓展培训也可以帮助接线员明白什么时候适合提问，什么问题太深会触及客户的隐私。

Schaff说，“随着代理服务器和代理IP的出现，人们越来越容易掩饰自己的ID和位置，所以我们必须确认他们是本人。与此同时，我们不能惹恼客户。这是一个很考验人的工作。”

RSA在2007年收购了Verid公司，该公司采用挖掘数据库和使用专有的算法提出核查问题。 RSA的Borenstein说，公司正在扩大其数据源，它最近又增加了轮船、飞机销售和租赁数据库中的数据。但他没有谈到未来将从社交网络挖掘数据。

社交网络本身并没有保留帐户持有人的大量记录，但Twitter、Facebook和LinkedIn与第三方分析厂商合作，如Omnitur（现为Adobe Systems的一部分）、DoubleClick和谷歌分析——这些公司都利用浏览器Cookie，浏览器Cookie可以用来为用户建立唯一的个人资料。

去年夏天，Worceste理工学院（WPI）和AT＆T实验室的研究人员进行了一项研究，发现社交网络无意泄露了用户身份。该研究让隐私保护者们担心，帐户号码可以与浏览数据结合，保留在数据库中。电子前沿基金会的技术人员Peter Eckersley说，这项研究是隐私受侵害的一个例子，大多数人甚至不知道到他们的互联网活动被进行了跟踪。

基于知识的认证（KBA）技术是通过开采第三方分析公司的数据，还是以某种方式挖掘个人在Twitter、Facebook和其他网站呈现的数据，来渗透进用户的上网行为，这仍有待观察。不过，RSA的竞争者TriCipher也了解到未来的认证将会越来越个人化。TriCipher业务发展和产品管理副总裁Vatsal Sonecha说，图书馆或录像出租记录可以提供宝贵的数据以帮助核查个人身份。但是Sonecha也说，目前“此方法还没有被大规模的利用。”

Burton集团的高级分析师Mark Diodati说，“由于基于知识的认证问题更私人化，应用这项技术的商人和其他用户必须对这些私有数据负责，否则将面临失去客户信任的风险”。Diodati说，“呼叫中心接线员不必用太敏感的尖锐问题来询问客户，他们可以设置一些不那么敏感的基于知识的认证系统问题。”

【编辑推荐】