Čísla SSN se dají uhádnout

SSN je tvořeno z devíti číslic. Prvních pět se dá částečně odvodit z obdoby PSČ místa, kde se člověk narodil. Vědci nyní postoupili i ve zjištění dalších číslic ze znalosti data narození.


Social Security Number (SSN, tedy čísla sociálního pojištění) jsou v USA obdobou našich rodných čísel. Ale je zde přece jen jistý rozdíl. Rodné číslo, ačkoliv je třeba deklarováno jako důvěrná informace, kterou po nás nemají chtít zapisovat u vrátnice při vstupu do budovy, by ve skutečnosti za cokoliv důvěrného pokládal jen blázen.

Ne tak v USA. Když se útočníci zmocní nějakých soukromých údajů, bývá zdůrazňováno, že jsou mezi nimi i čísla SSN. Mají pro „definici identity“ mnohem větší význam než naše rodná čísla. Poněvadž jsou pokládána za striktně důvěrná, řada lidí si na jejich základě tvoří různá hesla, kódy PIN apod. Takové chování je zcestné z celé řady důvodů, nyní se ale ukazuje, že tato čísla se dají dokonce uhádnout i hrubou silou – a není k tomu potřeba žádný superpočítač.

SSN je tvořeno z devíti číslic. Prvních pět se dá částečně odvodit z obdoby PSČ (Zip code) místa, kde se člověk narodil. To lze často zjistit z veřejně dostupných informací. Neznamená to ovšem, že by místo narození tato čísla zcela určovalo.

Alessandro Acquisti a Ralph Gross z Carnegie Mellon University v Pittsburghu nyní postoupili i ve zjištění dalších číslic ze znalosti data narození. Způsob, jakým se tato čísla generují, bohužel přesně popsán nebyl ani na americkém Computerworldu, ani na New Scientistu. U 8,5 % čísel SSN lidí narozených mezi roky 1989 a 2003 se výzkumníci dokázali dostat ke kompletnímu číslu s použitím méně než 1 000 pokusů (měli přitom pro své pokusy k dispozici databázi SSN lidí, kteří jsou již mrtví). Podvodníci mohou vzít botnet, vygenerovat u někoho, u něhož znají datum a místo narození, hromadu čísel, a na ty z různých počítačů botnetu žádat například karetní společnosti o vydání kreditní karty. Těžko říct, jak uspějí, možná to už ostatně provádějí.

Vyplývá z toho, že SSN má prostě velmi bídnou hodnotu pro identifikaci, však byl tento systém také vymyšlen před rozšířením PC a Internetu. Nejspíš se o žádnou pohromu nejedná, bankám apod. by dnes SSN pro autentifikaci stačit nemělo. Objevily se i informace, že do budoucna by se způsob generování SSN měl ale pro jistotu změnit.

 

Poznámka: Jak by to bylo s hádáním rodných čísel u nás?

 

 











Komentáře