2019年4月09年,
2019年4月09年,
贡献:克里斯蒂Pettey
静态的个人身份信息(PII)不是答案。
2017年,信用报告机构Equifax宣布妥协的个人1.45亿美国消费者的数据以及加拿大和英国居民的有限信息,包括姓名、地址、社保号码和出生日期。大约一年半后,喜达屋酒店证实了酒店客源数据库约有5亿客源是数据泄露造成的吗从客人的姓名和邮政地址到护照号码,再到喜达屋的奖励信息,这些信息都被泄露了出来。
“这些入侵事件并非孤立发生。目前,针对各类公司的攻击有数百起之多,所有这些都突显出一个事实:消费者无法控制自己的数据隐私在今天的信息处理环境中说,“Avivah Litan,尊敬的副总裁分析师,高德纳.“如果你认为你的个人信息可能已经泄露,建议的解决方案之一是向所有三大信用机构申请冻结信用,以确保黑客无法利用你窃取的信息——但我的观点是,这只能保护你免受可能发生在你身上的攻击类型的不到5%。”
阅读更多:采用无密码方法来提高安全性
Gartner的数据显示,首先,当数据落入犯罪分子手中的几率超过50%时,仅仅依靠静态PII来识别与企业有业务往来的个人是没有意义的。组织应该减少依赖在进行身份验证时,增加对动态身份数据的依赖。系统基于动态non-PII数据和行为指标比基于静态的、受监管的PII数据更能评估身份声明的合法性和风险。
然而,分层身份验证方法始终是最强的方法,这使得未经授权的用户更难以破坏组织的资产和系统。单独使用任何单一身份评估方法都不足以将坚定的欺诈者拒之门外,或验证个人身份声明的合法性。
分布式账本技术是区块链越来越多地用于去中心化身份目的。这种技术通常被称为“自我主权”身份,它使消费者能够控制自己的身份数据,并有选择地将其发布给他们想要的任何人。Litan说:“虽然这项技术还没有广泛应用,但看到我们正在朝着这个方向前进是积极的。”欺诈、安全和业务经理的最佳选择是使用多层身份评估流程。每一层都是前一层的后盾,这样如果罪犯绕过了一层,下一层就会进一步阻止他们。相反,每一个连续的层都增加了身份声明合法的保证。
身份评估不是一次性的事情。它必须是由身份验证或事务触发的连续循环。组织可以根据风险承受能力、身份保证要求和成本选择采取哪一种分层措施。情况是不断变化的,必须预料到用户群体的不断变化。评估身份要求的最适当战略也应是同样灵活和动态的。
更多信息可以在Litan的Gartner博客中找到。我们的国家被劫持了,Equifax只是最新的受害者。”而且“喜达屋万豪酒店泄密事件的7个教训以及穆勒教给我们的东西。”
本文已从2017年9月11日发布的原文进行了更新,以反映新的事件、情况或研究。
加入您的同行,在高德纳会议上揭开最新的见解。