上周，白宫宣布为五个试点项目提供900万美元的资金，作为其****可信身份国家战略计划的一部分，这是一项联邦**为建立一个由私营部门主导的安全、普遍的在线身份生态系统所作的努力。

批评人士说，任何一种自上而下的身份识别系统都会带来安全风险，侵犯公民权利。但事实是，美国已经有了一个通用的身份证：社保局发给美国公民和居民的唯一9位数的号码，结果证明这不亚于给身份盗贼的礼物。虽然社会保障号码在追踪社会保障方面非常有效，但它们并不是为了安全而设计的。

美国人不愿意建立一个国家身份证，但在没有身份证的情况下，市场采用了一个差劲的替代品——数百万个社会保险号码在网上以比一杯咖啡更便宜的价格**，就是这种灾难性的优柔寡断的后果之一。

“不用于识别”

从一开始，人们对社会保障数字了解甚少。1938年，纽约洛克波特的一家皮革厂试图利用这个国家新成立的社会保险计划带来的兴奋，将复制的社会保险卡塞进钱包。公司副总裁兼财务主管道格拉斯•帕特森（douglaspatterson）认为，使用他的秘书希尔达•施拉德•惠彻（hildaschraderwhitcher）的实际社保号码会很可爱。

真正的社会保障卡在前一年才开始流通，所以很多美国人感到困惑。尽管展示卡上标明了“样本”并在伍尔沃思**，但仍有4万多人将希尔达的号码作为自己的号码。根据社会保障管理局的数据，1977年仍有不少于12人在使用伍尔沃思发行的社会保障号码。

SSN最初的目的只有一个：追踪一个工人一生的收入

SSN最初的目的只有一个：跟踪员工的终生收入，以计算65岁以后的退休福利。但是出生证明是由各州签发的，并不是每个人都有护照，这使得SSN成为我们拥有的最接近国民身份证号码的东西。因此，SSN现在在**和私营部门得到了广泛的应用——大多数人对它的困惑丝毫不亚于75年前。

法律只要求极少数**机构和金融机构要求客户提供SSN。这个名单不包括房东、有线电视公司、**供应商，甚至信用报告机构，这些机构都习惯性地要求提供ssn，仅仅因为数字比名字更精确。美国人一再拒绝建立一个正式的国民身份识别系统的想法，当它被提议用于医疗保健或防止非法移民。因此，SSN默认成为国家ID。

不幸的是，SSN也吸引了身份窃贼，他们可以利用这些号码开立新的银行账户和信用卡。SSN通常也是构建身份配置文件的第一部分，可以用于更复杂的犯罪，如保险欺诈。除了具有独特性和广泛可用性之外，绝大多数SSN都是根据公开的公式分配的。因为它从未打算用于身份识别-SSA在1946年在卡上添加了免责声明“出于社会安全目的而非身份识别”，然后在1972年重新设计时将其删除-这从来没有被认为是一个问题。

不安全感

2009年，研究人员开发了一种算法，可以根据发布该算法的州的人口规模，猜测出一个人的SSN，准确率高达10%。再加上诱使人们放弃最后四位数字的网络钓鱼攻击，恶意黑客已经相当擅长破解任何个人的号码。不过，算法已经不需要了。ssn已经通过数据转售商、各种公司和**机构的安全漏洞、毫无戒备的****代表，甚至公共记录（如果你知道该去哪里找的话）变得可用。SSN可以在私人在线论坛上以1美元的价格批量购买，据报道，一个人的SSN只需3.80美元。

身份盗贼做生意的地下论坛截图。来源：RSA

信息安全公司RSA的高级经理安吉尔格兰特（angelgrant）表示，社会安全号码是身份盗贼最常见的出发点，RSA负责监控身份盗贼交易的黑市。在过去的五年里，SSN变得非常容易获得，以至于盗贼现在通常会将这个号码与诸如出生日期甚至医疗记录等额外的身份信息捆绑在一起，以抬高价格。”她说：“社会保险号码是好的，欺诈者很容易获得。”社保号码现在是地下的商品。”

“社保号现在是地下的商品。”

使用SSN进行身份识别的陷阱多年来一直为人所知，但最近州**和地方**一直在努力使这个数字更加安全。去年，SSA放弃了分配新数字的公式，转而采用随机化方法。2010年的《社会保障法》禁止各级**机构在支票上显示数字。至少有20个州颁布了限制SSN使用的法律。格兰特说，出于安全考虑，甚至私人公司也开始减少对SSN的依赖。

今年8月，纽约州通过了一项法律，禁止大多数类型的公司拒绝为没有SSN的客户提供服务，并对违反者处以500美元的罚款。支持这项法律的纽约州议员杰弗里迪诺维茨（jeffreydinowitz）说，他收到了来自布朗克斯区选民的投诉，他们经常被要求放弃ssn。值得注意的是，这些投诉大多来自老年人，他们还记得SSN成为美国居民事实上的身份证之前的一段时间。

迪诺维茨说，这项法案是几年前提出的，但由于某种原因，直到现在还没有得到其他州议员的支持他说：“我认为社会保障号码的传播应该谨慎。”利用或窃取他人身份的方式有很多，但最重要的号码是社保号码。我不会发出去的。”

黑客现在经常将ssn与更难获取的信息捆绑在一起。资料来源：RSA。

在隐私权交换所（Privacy Rights Clearinghouse）和电子隐私信息中心（Electronic Privacy Information Center）等组织连续多年发出警告之后，公众可能意识到系统性依赖SSN的危险。去年索尼（Sony）和LinkedIn（LinkedIn）等公司高调泄露数据，增强了人们对个人信息地下市场和个人数据失控危险的普遍认识。SSN是最终的密码，因为它总是一样的，无论你是和你的银行还是你的医生交谈，所以很多公司都用它来通过电话认证客户。

“你能帮我核实一下你的社交网站吗？”

目前还不清楚私营企业何时有了使用SSN识别客户的好主意。法律的演变要求将SSN用于各种**目的，如食品券，这是有充分证据的，**确实要求SSN由某些金融机构收集。事实上，社保局是**中最怀旧的机构之一，有着广泛的历史记录。它有自己的（简陋的）历史博物馆，自己的历史学家办公室，网站上有历史学家办公室的历史，以及完整的历史文献档案。

但当被问及SSN在私营部门的扩散时，历史学家们却被难住了。”在过去的几十年里，这个数字的使用已经大大超出了最初的想法，而且对于许多私人目的来说，它已经成为一种身份识别的东西真的没有时间表什么的。现在看来，这个问题肯定出现得还早。”

黑客**身份信息的截图。来源：RSA

同样，**问责办公室在2004年发布了一份报告，承认私营部门实体“例行”获得和使用SSN，但没有说明这种做法是如何开始的。

这三家私人拥有的信用报告机构使用这个号码，会鼓励其他公司采用这种做法，因为拥有这个号码可以很容易地对新客户进行信用检查。

但克里斯•希伯特（chrishibbert）在Usenet上发表了一篇广为传播的SSN解释文章，并坚持了20年之久，他说，信贷局甚至都不是早期的采用者他在一封电子邮件中说：“直到SSN被使用了很长一段时间，它们才起飞。”长期以来，人们对SSN是秘密的（因此有助于验证某人的身份）还是公共标识符（因此应被视为众所周知）一直存在混淆。”他假设，当地公用事业公司可能是第一个使用SSN的，或者它可能会自发地发生在整个私营部门的公司身上。

一些隐私权顽固分子更喜欢把理查德·尼克松的SSN作为自己的SSN分发出去

SSN还很难像名字一样作为一个公开的标识符，但也许它应该被这样对待。目前，大多数试图向私营公司隐瞒SSN的消费者正面临一场艰难的战斗。有抵触情绪的客户通常必须与经理交谈，并可能被要求支付押金作为交换，而在大多数州，公司拒绝在没有电话号码的情况下开展业务是合法的。一些隐私权顽固分子更喜欢给一个假的SSN或一个属于死人的SSN（理查德·尼克松的是最喜欢的）。这通常有效，但在技术上是非法的。

“这是唯一一个真正独特的东西，”隐私权信息交换所政策和宣传主管保罗·斯蒂芬斯说。但考虑到SSN在合法服务提供商和身份盗贼中的流行，保护它变得越来越困难。”我们告诉人们，‘如果私人企业想要你的社会保险号码。。。你应该说“不”

不过，绝大多数客户并没有意识到，在许多情况下，包括在医生办公室，SSN是不合法的要求。在公众认知问题得到纠正之前，SSNs将继续作为国家身份证系统发挥作用，而这正是政治派别中的美国人都表示不想要的。

下一步是什么？

****可信身份的国家战略也不是真正推动国家身份。每个试点项目都有一个具体的重点，包括医疗保健、电子商务和老年人，希望**的投资将导致多个系统。”NSTIC的网站上说：“**不会要求你获得可信的身份证。”如果你想得到一个，你将能够选择多个身份提供者-私人和公共-和多个数字凭证。这样的市场将确保不会出现单一凭证或集中式数据库。”

****可信身份的国家战略并不是真正推动一个国家身份

这些项目将测试依赖于移动电话、生物识别、加密和其他尖端安全技术的解决方案，这些技术允许消费者匿名浏览，但也可以在需要时验证他们的身份。如果奥巴马**委托的一个或多个私人开发的在线身份识别系统被证明是有效的，那么它最终可能会像SSN那样悄悄地进入日常使用——也就是说，通过常规做法而不是联邦授权。与SSN系统不同的是，这些系统被设计为用作标识符。如果实施，这些系统之一可以很容易地取代许多不太安全的验证方法，包括键入您母亲的娘家姓或背诵您的SSN的最后四位数字。

至少可以说，让任何身份识别系统既安全又可用，既通用又私密，都是一个挑战，必须谨慎处理，以免与1984年相提并论。但是，即使**资助的在线身份识别系统的想法让你毛骨悚然，这种替代方案的存在也意味着私营部门可以让SSN休息一下。