在Equifax违规之后美国监管机构表示代理机构并没有正确地验证身份

联邦监管机构表示，政府应该停止依靠信贷机构来核实那些使用政府服务的人的身份。在本周的一份报告中，政府问责办公室表示，政府部门仍然依靠信贷机构 - Equifax，Experian和TransUnion - 在他们可以在线访问服务之前检查一个人是否是他们所说的人。美国邮政局，社会保障管理局，退伍军人事务局以及医疗保险和医疗补助服务中心等机构会询问新用户的几个问题，并将他们对个人信用档案中信息的答案进行匹配。逻辑是这些信用文件只有注册服务的人才能知道的信息。但监管机构表示，继2017年Equifax违约后，这些答案已不再安全。Equifax漏洞导致1.48亿消费者被盗。大部分消费者财务数据是在未经其持有数据的人明确许可的情况下收集的。后来的一项调查发现，如果信贷机构采取了基本的安全措施，那么违规行为是“完全可以预防的”。

“攻击者可以获取和使用个人信息来回答基于知识的验证问题并假冒该个人的风险导致国家标准与技术研究院(NIST)在2017年发布有效禁止机构使用知识的指导验证敏感应用程序，“监管机构写道。

作为回应，指定机构表示新验证系统的成本过高，可能会将某些人口统计数据排除在人群之外。

只有退伍军人事务部实施了一个新系统，但在某些情况下仍然依赖于基于知识的验证。

另一个缺点是，如果你没有信用，你根本就不会出现在这些系统中。您需要信用卡或某种贷款才能“出现”在信用机构的眼中。对于没有信用档案的数百万人来说，这是一个主要问题，比如在签证上在美国工作的外国人。2015年，估计约有2600万人“信用隐形”。

“尽管如此，在这些机构采取措施消除他们使用基于知识的验证之前，他们所服务的个人将面临更大的身份欺诈风险，”监管机构写道。