home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_023.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  16KB  |  340 lines

---

1. PRIVACY Forum Digest        Friday, 2 July 1993        Volume 02 : Issue 23
2.  
3.           Moderated by Lauren Weinstein (lauren@vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS
13.     Clinton Admin Information Policy (Press Release and Info)
14.        (Lauren Weinstein; PRIVACY Forum Moderator)
15.     Using just last four digits of SSN (Avi Gross)
16.     Re: using Soc. Security number in passwords (Paul E. Black)
17.     The other side of Clipper (A. Padgett Peterson)
18.  
19.  
20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
21.             *** Submissions without them may be ignored! ***
22.  
23. -----------------------------------------------------------------------------
24. The Internet PRIVACY Forum is a moderated digest for the discussion and
25. analysis of issues relating to the general topic of privacy (both personal
26. and collective) in the "information age" of the 1990's and beyond.  The
27. moderator will choose submissions for inclusion based on their relevance and
28. content.  Submissions will not be routinely acknowledged.
29.  
30. ALL submissions should be addressed to "privacy@vortex.com" and must have
31. RELEVANT "Subject:" lines; submissions without appropriate and relevant
32. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
33. subject to editing.  Subscriptions are by an automatic "listserv" system; for
34. subscription information, please send a message consisting of the word
35. "help" (quotes not included) in the BODY of a message to:
36. "privacy-request@vortex.com".  Mailing list problems should be reported to
37. "list-maint@vortex.com".  All submissions included in this digest represent
38. the views of the individual authors and all submissions will be considered
39. to be distributable without limitations. 
40.  
41. The PRIVACY Forum archive, including all issues of the digest and all
42. related materials, is available via anonymous FTP from site "ftp.vortex.com",
43. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
44. enter your e-mail address as the password.  The typical "README" and "INDEX"
45. files are available to guide you through the files available for FTP
46. access.  PRIVACY Forum materials may also be obtained automatically via
47. e-mail through the listserv system.  Please follow the instructions above
48. for getting the listserv "help" information, which includes details
49. regarding the "index" and "get" listserv commands, which are used to access
50. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
51. available through the Internet Gopher system via a gopher server on
52. site "gopher.vortex.com".
53.  
54. For information regarding the availability of this digest via FAX, please
55. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
56. to (310) 455-2364.
57. -----------------------------------------------------------------------------
58.  
59. VOLUME 02, ISSUE 23
60.  
61.    Quote for the day:
62.  
63.     "Whatever Lola wants, Lola gets."
64.  
65.             -- Lola (Gwen Verdon)
66.                    "Damn Yankees" (1958)
67.  
68. ----------------------------------------------------------------------
69.  
70. Date:    Fri, 2 Jul 93 13:03 PDT
71. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
72. Subject: Clinton Admin Information Policy (Press Release and Info)
73.  
74. Greetings.  The following press release arrived here a few days ago.
75. Another copy of the release itself, as well as the entire document
76. referred to by the release, have been placed into the PRIVACY Forum
77. archive.  Note that it is a fairly long file (~140K bytes uncompressed).
78.  
79. To access:
80.  
81. Via Anon FTP: From site "ftp.vortex.com": /privacy/omb-a-130.Z
82.                           or: /privacy/omb-a-130
83.  
84. Via e-mail: Send mail to "listserv@vortex.com" with the line:
85.  
86.   get privacy omb-a-130
87.  
88. as the first text in the BODY of your message.
89.  
90. Via gopher: From the gopher server on site "gopher.vortex.com"
91. in the "*** PRIVACY Forum ***" area under "omb-a-130".
92.  
93. --Lauren--
94.  
95.                        --------------------
96.  
97.  
98. Title:OMB Announces New A-130 Circular  6.28.93
99. Date:28 Jun 93 21:44:26 UT
100. Almanac-Area:
101.  
102. FOR IMMEDIATE RELEASE                        Contact: Barry Toiv
103. June 28, 1993                                     (202) 395-3080  
104.                                                                  
105.  
106.  
107.      CLINTON ADMINISTRATION AIMS FOR OPEN INFORMATION POLICY
108.  
109.  
110.      The Clinton Administration has taken a major step to improve
111. the Federal government's policies and capabilities for making
112. information available to the American people.
113.  
114.      Office of Management and Budget (OMB) Director Leon E.
115. Panetta issued new policies on June 25 for managing government
116. information that encourage agencies to utilize new technologies
117. to improve public access.
118.  
119.      Sally Katzen, Administrator of OMB's Office of Information
120. and Regulatory Affairs (OIRA), which is charged with developing
121. and implementing the government's information policies, said that
122. the revisions of OMB Circular A-130 "will help bring the Federal
123. government into the information age.  This is a major step toward
124. realizing the vision of a government that uses technology better
125. to communicate with the American people."  
126.  
127.      OMB Circular A-130, entitled "Management of Federal
128. Information Resources," establishes policy that Federal agencies
129. will follow when acquiring, using, and distributing government
130. information.
131.  
132.      "These long-awaited revisions to Circular A-130 are an
133. integral part of the President and Vice-President's technology
134. initiative, announced February 22, 1993," said Katzen.  "We will
135. use information technology to make government information
136. available to the public in a timely and equitable manner, via a
137. diverse array of sources, both public and private.  We will also
138. ensure that privacy and security interests are protected." 
139.  
140.      The new circular emphasizes integrated management of
141. information dissemination products.  Agency electronic
142. information products, whether computer tapes, CD-ROMs, or on-line
143. services, will fall under the same policy umbrella as printed
144. publications or audiovisual materials.  The circular asks
145. agencies to develop and maintain indexes and other tools to make
146. it easier for the public to locate government information. 
147.  
148.      The circular provides that, generally, the Federal
149. government should recoup only those costs associated with the
150. dissemination of information, and not those associated with its
151. creation or collection.  Similarly, it provides that agencies
152. should not attempt to restrict the secondary uses of their
153. information products.  
154.  
155.      "These policies build on the tradition of open information
156. flow reflected in the Freedom of Information Act," Katzen
157. observed.
158.  
159.      "This revision of Circular A-130 marks the beginning, not
160. the end, of our efforts to improve access by and service to the
161. citizen," she added.  
162.  
163.      She noted that OMB will take other steps to improve the
164. management of information, as part of the Administration's
165. efforts to "reinvent government" and the National Performance
166. Review's mandate to improve all areas of Federal management.  In
167. cooperation with the other agencies in the Information
168. Infrastructure Task Force called for in the President's
169. technology initiative, OMB will:
170.  
171.      o    sponsor a coordinated initiative to improve electronic
172.           mail among agencies; 
173.  
174.      o    promote the establishment of an agency-based Government
175.           Information/Inventory Locator System (GIILS) to help
176.           the public locate and access public information; and,
177.  
178.      o    use the Paperwork Reduction Act to encourage agencies
179.           to convert paper documents such as purchase orders,
180.           invoices, health insurance claims, environmental
181.           reports, customs declarations and other regulatory
182.           filings to electronic form.
183.  
184.      In addition, the Administration will work with Congress to
185. update the Freedom of Information Act with respect to electronic
186. records.
187.  
188.      OMB first issued Circular A-130 in 1985.  OMB is revising
189. the Circular in two phases.  The first phase, issued today,
190. focuses on information policy.  An earlier version was the
191. subject of extensive public comment, and the final document
192. reflects those comments.  The second phase, to be proposed
193. shortly, will revise the way the government manages its
194. information technology resources.
195.  
196.      The revised Circular will be published in the Federal
197. Register on July 2.  It is available from the OMB Publications
198. Office (202-395-7332).  
199.  
200.      The Circular is also available in electronic form.  On the
201. Internet use anonymous File Transfer Protocol (FTP) from
202. nis.nsf.net as /omb/omb.a130.rev2 (do not use any capital letters
203. in the file name).  For those who do not have FTP capability, the
204. document can be retrieved via mail query by sending an electronic
205. mail message to nis-info@nis.nsf.net with no subject, and with
206. send omb.a130.rev2 as the first line of the body of the message. 
207. It is also available on the Commerce Department's FEDWORLD
208. bulletin board.  (Dial 703-321-8020 (N-8-1).  New users should
209. register as "NEW".)
210.  
211. ------------------------------
212.  
213. Date:    Mon Jun 28 11:51:12 EDT 1993
214. From:    avi@pegasus.att.com
215. Subject: Using just last four digits of SSN
216.  
217. I am following up on a message by Ohringer@DOCKMASTER.NCSC.MIL regarding the 
218. use of the last four digits of the social (in)security number as part of a 
219. password scheme. (S)he expressed concern about privacy issues.
220.  
221. I am not happy with having any part of my social security number used in any 
222. way. In my organization, we have a similar setup where we have group logins 
223. for access to a major resource and we protect it with a secondary prompt for 
224. your username/password. Unfortunately, the password is the last 4 digits of 
225. the SS and can not be changed. Since I, and many others, have access to a 
226. database of hundreds of thousands of users that includes their entire social 
227. security number, this means that it is easy to log in as someone else. During 
228. a recent crisis, I needed to allow people to get in this way that have not 
229. been set up in our database. I had to let them log in as "me" by giving them 
230. my number. Unlike a standard choosable password, this has leaked my number 
231. permanently.
232.  
233. I note that once people start using the same thing, it becomes dangerous. I 
234. can picture banks, etc, starting to use the last digits as PIN numbers, and 
235. then anyone having access to this information (or the full SS#) can get in to 
236. other accounts of yours.
237.  
238. While on this topic, I recently was on a Federal Jury and I noticed sign-in 
239. sheets for prospective (and actual) jurors sitting in public and containing 
240. full names, addresses AND social security numbers! They neglected to include 
241. phone numbers. I complained about this and was told that people were "too 
242. busy" to read your social security number. They refused to change the system. 
243. Every day they print a new printout and then use the signed entries to set you
244. up to be reimbursed for your time and transportation. My guess is that they 
245. key in your SS# rather than name.
246.  
247. This was in marked contrast to what happens in the courtroom. After making you
248. publicly announce your name, home town (but not address) and even your choice 
249. of newspapers, they tell the chosen jury to avoid talking to any lawyers, 
250. defendants, etc, while the trial is in progress. However, should they want to 
251. annoy you, or even cause you problems, they can just walk up and get all this 
252. information by flipping through the pages.
253.  
254. Avi Gross, avi@pegasus.att.com, XXX-XX-1234
255.  
256. ------------------------------
257.  
258. Date:    Mon, 28 Jun 93 09:41:31 PDT
259. From:    pblack@kangaroo.Berkeley.EDU (Paul E. Black)
260. Subject: re: using Soc. Security number in passwords
261.  
262. On Fri, 18 Jun 93 22:27 EDT, Ohringer@DOCKMASTER.NCSC.MIL writes:
263. > An organization is planning to use the last four digits of employees
264. > Social Security Numbers as part of a scheme for assigning computer
265. > passwords.  I am not asking about the security aspects of this, but am
266. > wondering about the privacy implications.  Is there anything particular
267. > that needs to be considered about the last four digits as opposed to
268. > four other digits?  Is this an acceptable use of (part of) social
269. > security numbers?  Would it matter if the last nine digits (all of) or
270. > the last one digit were used?
271.  
272. I believe this is the wrong thing to do.  Using Social Security
273. numbers in passwords makes the passwords easier to guess when
274. something is known about the user (similar to the user having first
275. name, spouse's name, or birthdate in the password).  So the passwords
276. will be weaker.  In addition the password may go places where the
277. Social Security number might not have, thus spreading some information
278. about the number even farther.  Thus there are distinct disadvantages.
279. The number of digits merely strengthens or weakens the above
280. arguments.
281.  
282. Since the last four digits of numbers are not unique, making passwords
283. unique must be done another way.
284.  
285. The only advantage I can see, making the password easier to remember,
286. can be achieved other ways: make passwords a combination of two words,
287. e.g. doverCel (Dover is a city in the state of DELaware), creating
288. words which *sound* real, but are not, e.g. phondate (a syllable
289. generator hooked to a dictionary filter), etc.
290.  
291. In short, I see no advantage to using *any* digits of a social
292. security number, and several disadvantages.
293.  
294. Paul E. Black            CS Division, 571 Evans Hall
295. School: pblack@cs.berkeley.edu    University of California at Berkeley
296. Home: paul@beehive.cirrus.com    Berkeley, California   94720
297. Voice: +1 510 643 6261        USA
298.  
299. ------------------------------
300.  
301. Date:    Mon, 28 Jun 93 12:27:14 -0400
302. From:    padgett@tccslr.dnet.mmc.com 
303.      (A. Padgett Peterson, P.E. Information Security)
304. Subject: The other side of Clipper
305.  
306.    From:    "Barry Jaspan" <bjaspan@gza.com>
307.    Subject: Re: The other side of Clipper (padgett@tccslr.dnet.mmc.com)
308.  
309.    >Undeniably.  The question is who will be able to using STU-IIIs
310.    >without causing themselves potential problems.  The answer is "the
311.    >government, and no one else."
312.  
313.    From:    Bob Leone <leone@gandalf.ssw.com>
314.    Subject: The other side of Clipper
315.  
316.    >False. There would not be a flood. What would happen, if the govt made
317.    >non-Capstone encryption illegal, is that it would be considered prima-facie
318.    >evidence of criminal conspiracy (since only a criminal would want his
319.    >comm secure against monitoring by law-enforcement agents, right? Sure).
320.  
321. I respectfully disagree. While this is possible, what the criminals will
322. do is to first encrypt using a secure mechanism and *then* feed it to the
323. Clipper chip. In this manner, Clipper will actually slow down the process
324. since the gov will need a wiretap authorization *first* before they will
325. be able to accuse anyone of malfeasence. 
326.  
327. Further IMHO the current furor over seizures where no criminal charges are 
328. is indicative that the pendulum is swinging away from easy court orders. The
329. gov may still tap communications as a matter of course, but prosecution may
330. become more difficult. Besides, as I have said, the real target audience for
331. Clipper/Capstone will not *care* if the gov listens.
332.  
333.                 Warm & muggy today, tuggy tomorrow,
334.                         Padgett
335.  
336. ------------------------------
337.  
338. End of PRIVACY Forum Digest 02.23
339. ************************
340.