从2020申请季节开始,所有在线棋牌小游戏产品都将提供多因素身份验证

美国国税局(IRS)在美国国税局(IRS)国家棋牌小游戏安全意识周的一部分中发布的新闻稿中,吹捧了多因素身份验证(MFA)的好处,供纳税人和棋牌小游戏专业人员使用。[1] 由于传统用户名/密码登录到网上时经常会遇到一些问题,因此建议将多因素身份验证(也通常称为两因素身份验证)用于保护在线帐户,尤其是那些包含敏感信息的帐户。系统。

国税局对流程的描述如下:

旨在保护纳税人和棋牌小游戏专业人员的目的,多因素身份验证意味着返回的用户必须输入两段数据才能安全地访问帐户或应用程序。例如,纳税人必须输入其凭据(用户名和密码)以及作为文本发送到手机的数字代码。[2]

IRS引用的示例可能是一个不幸的例子,因为IRS在该版本的后续版本中指出,使用发送到手机的号码已知比使用其他可用选项安全性低:

多因素身份验证有多个选项。例如,纳税人和棋牌小游戏从业人员可以将身份验证应用程序下载到他们的移动设备。这些应用可以通过Google Play或Apple的App Store随时获得。一旦正确配置,这些应用程序将生成一个临时的,一次性使用的安全代码,用户必须将其输入棋牌小游戏软件以完成身份验证。使用搜索引擎查找“身份验证应用”以了解更多信息。

其他选项包括可以通过文本发送到从业者的电子邮件或手机的代码,但这些代码不如身份验证应用程序安全。[3]

电子邮件或SMS消息有哪些潜在的安全问题?一个基本的问题是,由文本或电子邮件发送的代码会自动在本身并非安全设计的系统上创建传输。电子邮件可能在传输过程中被拦截,甚至纳税人或棋牌小游戏专业人士以外的其他人可能拥有登录电子邮件帐户的凭据。

文本消息传输系统也不是为了安全而设计的,但是第二个问题出现了-“ SIM劫持”问题,当事方试图通过使用社交工程技术(例如通过电话或在商店中哭泣的故事)说服手机运营商的员工为纳税人的(或可能是由于更高的价值目标)棋牌小游戏专业人员的手机号码发行新的SIM卡,这将导致发短信的号码转到新激活的电话。

虽然最有可能不会将这些技术用于纳税人或棋牌小游戏专业人士,但是使用身份验证应用程序(例如Google Authenticator和基于相同标准的大量其他应用程序)[4])消除了传送号码的需要,从而消除了在运输过程中拦截其他因素的风险。 因此,应尽可能使用authenticator应用程序选项。

新闻发布继续指出,MFA将出现在2021年的所有在线税收产品中:

某些在线产品以前提供多因素身份验证。但是,到2021年,所有提供商都同意将其作为标准功能,并且所有人都同意它将满足美国国家标准技术研究院的要求。非处方硬盘税收产品可能不提供多因素身份验证。[5]

该协议仅要求在产品上提供MFA,而不要求其使用(尽管现在某些产品要求使用MFA,至少要执行某些操作)。  The release notes:

由于多因素身份验证选项是自愿的,因此峰会合作伙伴敦促纳税人和棋牌小游戏专业人士都使用它。多因素身份验证可以使盗贼难以访问敏感帐户,从而减少身份盗用的可能性。

用户应检查其在线税收产品帐户中的“安全性”部分以进行更改。它可能被标记为两因素验证或两步验证或类似名称。[6]

该发行版提供了以下论点(作者同意)与MFA一起用于处理棋牌小游戏专业人员的棋牌小游戏信息的产品:

对于仍然是身份盗窃者主要目标的棋牌小游戏专业人员而言,使用多因素身份验证尤为重要。在今年棋牌小游戏专业机构向国税局报告的大量数据盗窃中,如果从业人员使用多因素身份验证来保护棋牌小游戏软件帐户,则可以避免大多数盗窃。

小偷使用各种骗局(但最常见的是通过网络钓鱼电子邮件)来下载恶意软件,例如击键软件。该恶意软件最终将使他们能够从棋牌小游戏专家那里窃取所有密码。小偷访问了从业者的网络和棋牌小游戏软件帐户后,他们将完成纳税人的未决纳税申报表,更改退款信息并使用从业者自己的电子归档和准备者编号来提交欺诈性申报表,这是一种危险的组合。

但是,通过多因素身份验证,小偷不太可能会盗窃执业者的手机-阻止了接收访问帐户所需的安全码的功能。这样可以保护棋牌小游戏专业人士的帐户信息。[7]

该版本以警告告终,没有任何安全措施,甚至MFA都不能提供完整的安全性-但是在提供的尽可能多的上下文中使用该措施将大大提高用户的整体安全性:

尽管没有产品是万无一失的,但是多因素身份验证确实可以极大地降低纳税人或棋牌小游戏从业人员成为受害者的可能性。无论提供何处,都应使用多因素身份验证。例如,金融帐户,社交媒体帐户,云存储帐户和流行的电子邮件提供商都提供多因素身份验证选项。[8]


[1] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证。”//www.irs.gov/newsroom/irs-national-tax-security-awareness-week-day-2-2021-online-tax-preparation-products-to-offer-multi-factor-authentication-for-taxpayers-tax-pros (于2020年12月5日收回)

[2] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”

[3] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”

[4] 例如,用于汤姆森路透产品的两因素身份验证的汤姆森路透身份验证器应用程序使用相同的标准身份验证机制。 尽管Google可能已经开发了该系统,但使用该系统确实需要使用任何Google产品。

[5] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”

[6] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”

[7] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”

[8] IRS新闻发布IRS-2020-266,2020年12月1日,“ IRS国家棋牌小游戏安全意识周,第2天:2021年在线纳税准备产品,可为纳税人和棋牌小游戏专业人士提供多因素身份验证”