专家表示,取代身份证号码作为身份验证工具可能需要数月时间

2025-05-08 02:42来源:本站

  Experts say replacing NRIC number as authentication tool may take months

  新加坡——网络安全专家表示,当身份证号码不再用于认证用户时,新加坡的数字生态系统将变得更加安全,但为更强大的认证工具建立基础设施可能需要几个月到一年甚至更长时间。

  他们补充说,在此期间,新加坡人可能会面临越来越大的诈骗和身份盗窃风险,而组织则会对其系统进行检修,因此最好保持警惕,并采取额外的安全措施。

  上周,会计和企业监管局(Acra)在一个新的搜索门户网站上公布了身份证号码,引起了公众的强烈抗议,政府为引起的不安道歉,并宣布了一项政策转变,即身份证号码不应被视为敏感信息。

  此外,政府表示,身份证号码的目的是识别个人,而不是被滥用为访问特权信息或进行特权交易的身份验证形式。

  企业应该通过密码、安全令牌或生物识别数据来验证用户身份。

  专家指出,新加坡的身份证号码广泛用于银行、电信、保险和医疗保健等行业,用于身份识别和验证。

  身份证明表明一个人是谁,而验证证明一个人的身份。

  新加坡社会科学大学法律讲师Ben Chester Cheong说:“例如,使用你的身份证号码在诊所前台登记或查看你的保险单都是身份识别——(你)只是在宣布你是谁。”

  “然而,更改保单、获取医疗记录或进行金融交易都需要适当的身份验证——证明你就是你所声称的那个人。”

  身份验证方法因扇区和用途而异。

  “一些银行可能会增加语音生物识别技术以增加安全性。在医疗环境中,医院可以使用双因素认证实现访问医疗记录的安全患者门户,”Cheong说。

  “对于面对面的程序,指纹或面部识别等生物特征验证可以补充现有的身份识别程序。”

  他补充说:“保险公司可能会要求通过安全应用程序进行数字签名,并对高价值交易进行视频验证。”

  Simulation Software & Technology总监Ori Sasson表示,机构也可以通过Singpass移动应用程序验证用户身份,使用面部识别选项可以使其更加安全。

  他补充说:“使用Singpass进行身份验证非常有意义,因为政府已投入大量资金,开发了一种可靠且防篡改的身份验证方法。”

  专家表示,在这个数字时代,放弃使用身份证号码进行身份验证,转而采用更安全的方法是一种明智的做法。

  现代身份验证工具提供了几个优势:它们通常更难以被攻破,如果被攻破可以进行更改,并提供更清晰的审计跟踪。它们还能实现更复杂的安全措施。”

  但要为这种身份验证方法完全建立基础设施,可能是一项耗时且成本高昂的工作。专家估计,大型银行、电信公司和医疗集团等大型组织需要3至6个月的时间。

  依赖身份证号码作为一种身份验证形式的小型组织可能需要更长的时间来适应,这取决于变化的复杂性、监管合规检查和供应商的能力。

  萨森博士说:“成本包括升级IT系统、培训员工和教育客户。

  “虽然OTP(一次性密码)或PIN(个人识别号码)系统可能相对简单,但实施生物识别验证需要硬件、软件许可和潜在的新平台。

  “维护、客户支持和持续的安全评估也可能会产生经常性成本。”

  但是,一些专家担心,在组织完全摆脱对身份证号码的依赖之前,过渡期可能会被骗子利用。

  智库战略网络空间与国际研究中心(Centre for Strategic Cyberspace and International Studies)主任安东尼?林(Anthony Lim)表示:“从长远来看,放弃使用身份证号码作为身份验证方法将提高数字经济的安全性……问题在于,在Acra公布身份证号码之前,身份验证的替代系统尚未完全建立起来。”

  萨森博士说,新加坡人将继续面临诈骗和身份盗窃的风险,直到认证系统被更安全的方法所取代。

  他补充说,例如,如果某些系统尚未逐步淘汰基于nric的验证,那么拥有该号码的人就更容易通过基本的安全检查并接管账户。

  在Acra取消在其新门户网站上允许人们免费访问个人身份证号码的功能之前,公众成员能够访问新加坡人的身份证号码,包括内阁部长等公众人物。

  新加坡IT服务公司Wissen International的首席信息安全官Aaron Ang表示,网络犯罪分子当时可能已经获取了大量的身份证信息。

  他说,这使得新加坡人“非常”容易受到骗子的攻击,这些骗子利用身份证号码在电话中获得受害者的信任。

  他说:“如果政府的这一错误在某种程度上助长了网络罪犯,那么我认为,虽然政府机构在防范诈骗方面投入了如此多的资金,但我们却在无意中搬起石头砸自己的脚,倒退了一步。”

  为了更好地保护自己,新加坡人需要保持警惕。

  萨森博士说:“如果有人打电话说他们来自税务机关、警方或银行,我们需要考虑这是否合理,以及我们是否曾经接到过这样的电话。”

  “在任何这样的电话中,我们都需要明白我们的身份证号码不一定是秘密,所以我们不需要假设如果有人知道我们的身份证号码,就意味着他们是可信的。”

  萨森博士说,新加坡人应该为自己的账户设置个人识别码、密码和双因素认证,即使这是可选的。

  郑说,在过渡时期,组织应该加快摆脱使用身份证号码进行身份验证,即使他们还没有实施复杂的替代方案。

  他补充说:“在过渡期间,他们可以采用更简单但更安全的方法,例如通过短信或电子邮件发送一次性密码,或采用基于交易历史的知识认证。”

  《海峡时报》已经联系了主要银行、电信公司、保险公司和私人医疗集团,了解他们在政策转变后的计划。

  本文最初发表于《海峡时报》。复制需获得许可。

  国家数据隐私和安全认证

  分享本文

纳趣吧声明:未经许可,不得转载。