¿Es una mala práctica usar los últimos 4 dígitos de un número de seguro social como identificador?
Los últimos 4 dígitos de la actividad social de una persona se usan comúnmente como un medio de identificación / autenticación personal, pero no puedo encontrar pautas sobre su uso como tal. Parece que la exposición innecesaria de una parte del SSN crea un vector de ataque evitable.
Nunca use el SSN para la autenticación. No funcionan para eso, porque no fueron diseñados para eso.
Aunque probablemente debas tratar de mantener tu propio SSN en secreto, al diseñar un sistema debes considerar todos los SSN como información pública. Internet está lleno de volcados de datos que los contienen. Tus amigos, familiares o empleados de cualquier institución a la que hayas entregado el tuyo tienen acceso a él. Además de eso, están a corto para hash de forma segura. Es tan malo como usar el tamaño de tu zapato como contraseña para todo.
Este consejo se aplica a todos sus procesos, incluido el inicio de sesión, la recuperación de la cuenta y las interacciones con el soporte al cliente. Es mejor si puede evitar tener que almacenarlos, a menos que esté dispuesto a arriesgar su propia mini escándalo de Equifax .
La identificación y la autenticación son cosas muy diferentes.
Nunca he oído hablar de alguien que haya usado SSN los últimos 4 para la identificación; probablemente tendría duplicados para cualquier grupo de más de 100 personas, y la mayoría de los sistemas computarizados, al menos, tratan con mucho más que eso.
Full El SSN es un identificador bastante bueno, ya que fue diseñado para ser, al menos para los ciudadanos de EE. UU. y los residentes (legales). No es perfecto, y no es probable que ningún sistema de su tamaño lo sea: ha habido casos del mismo número asignado a varias personas por error, y bastante más casos de personas que utilizan incorrectamente (es decir, roban) el número de otra persona; y hay relativamente pocos casos en los que a una persona se le asignan varios números a lo largo del tiempo (pero no simultáneamente). Para algunas aplicaciones, en particular todo lo relacionado con los impuestos, como el empleo y la inversión, y algunos otros beneficios del gobierno, se requiere que se emplee para identificar personas. (Aunque Medicare recientemente finalmente comenzó a cambiar a un 'Identificador de Beneficiario' diferente, solo para Medicare). Para muchos otros no es necesario, y existe un debate de política válido sobre si es mejor tener menos identificadores de uso múltiple o muchos / Todos separados y distintos. Es ciertamente más fácil para las personas recordar una identificación, o como máximo dos o tres, en comparación con diez o veinte o cincuenta, y hace posible (¡con precisión!) Vincular diferentes registros, relaciones y partes de la vida de una persona, que A veces es beneficioso y otras veces no.
OTOH, demasiados sistemas usan como autenticador SSN completo o parcial. NO fue diseñado para eso, y como dijo correctamente Anders, es MUY MALO para ello.
Lea otras preguntas en las etiquetas information-gathering attack-vector social-security-number