כשלי אבטחה במנגנון הטיפול בתעודות זהות ביומטריות

מנגנון הדיווח על אובדן או גנבה של תעודת זהות ביומטרית לוקה בכשלי אבטחה מהותיים - כך מדווחים בהארץ (עידו קינן וג'וני זילבר). על-פי התקנות ונוהלי רשות האוכלוסין וההגירה במשרד הפנים, בתהליך הנפקת תעודת זהות ביומטרית מתבקש האזרח להשיב לשתי שאלות אבטחה שהתשובות עליהן ידועות רק לו. הן נועדו לשמש אותו בעתיד לצורך זיהוי במקרה שירצה לדווח על אובדן או גנבה של התעודה, דרך המוקד לביטול תעודות. לדברי מומחה אבטחה, בשעת הנפקת התעודה מתבקש האזרח למסור את תשובותיו לשאלות האבטחה באולם הפתוח של לשכת רשות האוכלוסין, ואוזניים מזדמנות יכולות להאזין לחילופי הדברים בין האזרח לבין נציג רשות האוכלוסין. כשל נוסף טמון בטיב שאלות האבטחה הנהוגות, בהן - מידת הנעליים של האזרח, תחביב, חיית מחמד וצבע האהובים עליו. השאלות מאופיינות בקלות היחסית בה יכול גם מי שאינו בעל התעודה להסיק את התשובה להן, למשל באמצעות עיון בפרופיל של בעל התעודה הזמין ברשתות חברתיות. נוסף על כך, בניגוד לתקנות, רשות האוכלוסין מאפשרת לאזרח המנפיק תעודת זהות ביומטרית לבחור כרצונו את שאלת האבטחה שתשמש אותו. בתהליך זה, אין כל מניעה שבהעדר מודעות, בעל-התעודה יבחר בשאלה שנוחה לו במיוחד ובה-בעת גם קלה במיוחד לפענוח על-ידי אחרים.