研究人员建议澳大利亚政府放弃现有的数字身份识别系统，重新开始，再次强调已经认证的两个系统的安全缺陷。

Vanessa Teague教授和Ben Frengley教授去年向澳大利亚税务局（ATO）披露了https://www.zdnet.com/article/ato-denses-to-fix-code-replay-defect-within-mygovid/“>myGovID系统的弱点。他们发现myGovID受到一种易于实现的代码代理攻击，这种攻击允许恶意网站代理一个人的myGovID登录，并重新使用其身份验证登录到受害者选择的任何网站的帐户。

两人说，作为回应，国税局通知他们无意修复这一缺陷。

数字转换机构（DTA）负责可信数字身份框架（TDIF），这是联邦身份验证系统的高级设计。

“身份验证机制的主要安全目标是防止恶意方欺诈性地登录到其他人的帐户。第二个安全目标是维护用于建立身份的身份证明文件和生物特征数据的隐私，“研究人员写入了[PDF]。

“无论是TDIF的高级设计，还是ATO（myGovID）的实现，都不能满足其预期的安全目标。”

myGovID是一家经认可的数字身份证提供商，澳大利亚邮政的同等身份服务。蒂格和弗伦格利也发现了邮政系统的缺陷。研究人员说，身份交换（IdX）是隐私和身份验证的单一故障点，导致“极其脆弱的体系结构，如果某个组件受到恶意方的控制，将允许大规模身份欺诈”。

他们说，IdX旨在隐藏身份但在ATO的实施中未能做到这一点。值得关注的是，在澳大利亚邮政的数字标识中，TDIF的实现似乎根本没有使用IdX，这是TDIF设计的基本组成部分。

“虽然我们没有详细检查澳大利亚邮政的实现，但它似乎与TDIF规范有很大差异，但显然已经通过了认证，”他们补充道，“目前设计和实施的TDIF不符合其自身的指导原则——没有技术手段保护隐私的中介模式也不能立即满足这些原则。”，研究人员建议“仔细重新评估TDIF的优先顺序”，并考虑其他可能实现其目标的方案。

两人提供的备选方案包括使用基于公钥基础设施的系统或使用简单的标准系统，成对OpenID连接协议，而不是“隐私和安全属性较差的复杂代理模型”。

“对于安全协议设计有一定了解并关心保护同胞身份不被窃取的人，应该放弃该系统，从头开始重新设计，”他们写道通过菲亚特确保其安全不会阻止有组织犯罪、外国政府或普通罪犯利用其设计缺陷。公钥基础设施更可能成功。”

研究人员还关注DTA咨询文件中的一段话，该段话指出，由此产生的数字身份立法将包括额外的机制，包括对保护系统中使用的信息（如生物特征信息）的惩罚。

这些机制可能包括刑事犯罪条款和民事处罚条款。

蒂格和弗伦格利写道：“澳大利亚有许多法律确实有效地惩罚了保护信息的行为，但这是我们第一次看到在不援引恐怖分子或恋童癖者的情况下明确提出的目标。”。

“我们希望这是一个输入错误，强烈建议对不当共享或疏忽泄露信息的行为进行处罚。

“重要的是，不要将旨在通过公开检查系统安全性的安全性研究定为犯罪，严重的）弱点。”

Twitter认为澳大利亚的账户接管令与民主法律背道而驰

Commonwealth Bank建议通过注册来对澳大利亚范围内的数字标识进行行业自律, 您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof