home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / privacy / priv_223.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  15.0 KB  |  340 lines
  1. PRIVACY Forum Digest        Friday, 2 July 1993        Volume 02 : Issue 23
  2.  
  3.           Moderated by Lauren Weinstein (lauren@vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     Clinton Admin Information Policy (Press Release and Info)
  14.        (Lauren Weinstein; PRIVACY Forum Moderator)
  15.     Using just last four digits of SSN (Avi Gross)
  16.     Re: using Soc. Security number in passwords (Paul E. Black)
  17.     The other side of Clipper (A. Padgett Peterson)
  18.  
  19.  
  20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  21.             *** Submissions without them may be ignored! ***
  22.  
  23. -----------------------------------------------------------------------------
  24. The Internet PRIVACY Forum is a moderated digest for the discussion and
  25. analysis of issues relating to the general topic of privacy (both personal
  26. and collective) in the "information age" of the 1990's and beyond.  The
  27. moderator will choose submissions for inclusion based on their relevance and
  28. content.  Submissions will not be routinely acknowledged.
  29.  
  30. ALL submissions should be addressed to "privacy@vortex.com" and must have
  31. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  32. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  33. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  34. subscription information, please send a message consisting of the word
  35. "help" (quotes not included) in the BODY of a message to:
  36. "privacy-request@vortex.com".  Mailing list problems should be reported to
  37. "list-maint@vortex.com".  All submissions included in this digest represent
  38. the views of the individual authors and all submissions will be considered
  39. to be distributable without limitations. 
  40.  
  41. The PRIVACY Forum archive, including all issues of the digest and all
  42. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  43. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  44. enter your e-mail address as the password.  The typical "README" and "INDEX"
  45. files are available to guide you through the files available for FTP
  46. access.  PRIVACY Forum materials may also be obtained automatically via
  47. e-mail through the listserv system.  Please follow the instructions above
  48. for getting the listserv "help" information, which includes details
  49. regarding the "index" and "get" listserv commands, which are used to access
  50. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
  51. available through the Internet Gopher system via a gopher server on
  52. site "gopher.vortex.com".
  53.  
  54. For information regarding the availability of this digest via FAX, please
  55. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
  56. to (310) 455-2364.
  57. -----------------------------------------------------------------------------
  58.  
  59. VOLUME 02, ISSUE 23
  60.  
  61.    Quote for the day:
  62.  
  63.     "Whatever Lola wants, Lola gets."
  64.  
  65.             -- Lola (Gwen Verdon)
  66.                    "Damn Yankees" (1958)
  67.  
  68. ----------------------------------------------------------------------
  69.  
  70. Date:    Fri, 2 Jul 93 13:03 PDT
  71. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  72. Subject: Clinton Admin Information Policy (Press Release and Info)
  73.  
  74. Greetings.  The following press release arrived here a few days ago.
  75. Another copy of the release itself, as well as the entire document
  76. referred to by the release, have been placed into the PRIVACY Forum
  77. archive.  Note that it is a fairly long file (~140K bytes uncompressed).
  78.  
  79. To access:
  80.  
  81. Via Anon FTP: From site "ftp.vortex.com": /privacy/omb-a-130.Z
  82.                           or: /privacy/omb-a-130
  83.  
  84. Via e-mail: Send mail to "listserv@vortex.com" with the line:
  85.  
  86.   get privacy omb-a-130
  87.  
  88. as the first text in the BODY of your message.
  89.  
  90. Via gopher: From the gopher server on site "gopher.vortex.com"
  91. in the "*** PRIVACY Forum ***" area under "omb-a-130".
  92.  
  93. --Lauren--
  94.  
  95.                        --------------------
  96.  
  97.  
  98. Title:OMB Announces New A-130 Circular  6.28.93
  99. Date:28 Jun 93 21:44:26 UT
  100. Almanac-Area:
  101.  
  102. FOR IMMEDIATE RELEASE                        Contact: Barry Toiv
  103. June 28, 1993                                     (202) 395-3080  
  104.                                                                  
  105.  
  106.  
  107.      CLINTON ADMINISTRATION AIMS FOR OPEN INFORMATION POLICY
  108.  
  109.  
  110.      The Clinton Administration has taken a major step to improve
  111. the Federal government's policies and capabilities for making
  112. information available to the American people.
  113.  
  114.      Office of Management and Budget (OMB) Director Leon E.
  115. Panetta issued new policies on June 25 for managing government
  116. information that encourage agencies to utilize new technologies
  117. to improve public access.
  118.  
  119.      Sally Katzen, Administrator of OMB's Office of Information
  120. and Regulatory Affairs (OIRA), which is charged with developing
  121. and implementing the government's information policies, said that
  122. the revisions of OMB Circular A-130 "will help bring the Federal
  123. government into the information age.  This is a major step toward
  124. realizing the vision of a government that uses technology better
  125. to communicate with the American people."  
  126.  
  127.      OMB Circular A-130, entitled "Management of Federal
  128. Information Resources," establishes policy that Federal agencies
  129. will follow when acquiring, using, and distributing government
  130. information.
  131.  
  132.      "These long-awaited revisions to Circular A-130 are an
  133. integral part of the President and Vice-President's technology
  134. initiative, announced February 22, 1993," said Katzen.  "We will
  135. use information technology to make government information
  136. available to the public in a timely and equitable manner, via a
  137. diverse array of sources, both public and private.  We will also
  138. ensure that privacy and security interests are protected." 
  139.  
  140.      The new circular emphasizes integrated management of
  141. information dissemination products.  Agency electronic
  142. information products, whether computer tapes, CD-ROMs, or on-line
  143. services, will fall under the same policy umbrella as printed
  144. publications or audiovisual materials.  The circular asks
  145. agencies to develop and maintain indexes and other tools to make
  146. it easier for the public to locate government information. 
  147.  
  148.      The circular provides that, generally, the Federal
  149. government should recoup only those costs associated with the
  150. dissemination of information, and not those associated with its
  151. creation or collection.  Similarly, it provides that agencies
  152. should not attempt to restrict the secondary uses of their
  153. information products.  
  154.  
  155.      "These policies build on the tradition of open information
  156. flow reflected in the Freedom of Information Act," Katzen
  157. observed.
  158.  
  159.      "This revision of Circular A-130 marks the beginning, not
  160. the end, of our efforts to improve access by and service to the
  161. citizen," she added.  
  162.  
  163.      She noted that OMB will take other steps to improve the
  164. management of information, as part of the Administration's
  165. efforts to "reinvent government" and the National Performance
  166. Review's mandate to improve all areas of Federal management.  In
  167. cooperation with the other agencies in the Information
  168. Infrastructure Task Force called for in the President's
  169. technology initiative, OMB will:
  170.  
  171.      o    sponsor a coordinated initiative to improve electronic
  172.           mail among agencies; 
  173.  
  174.      o    promote the establishment of an agency-based Government
  175.           Information/Inventory Locator System (GIILS) to help
  176.           the public locate and access public information; and,
  177.  
  178.      o    use the Paperwork Reduction Act to encourage agencies
  179.           to convert paper documents such as purchase orders,
  180.           invoices, health insurance claims, environmental
  181.           reports, customs declarations and other regulatory
  182.           filings to electronic form.
  183.  
  184.      In addition, the Administration will work with Congress to
  185. update the Freedom of Information Act with respect to electronic
  186. records.
  187.  
  188.      OMB first issued Circular A-130 in 1985.  OMB is revising
  189. the Circular in two phases.  The first phase, issued today,
  190. focuses on information policy.  An earlier version was the
  191. subject of extensive public comment, and the final document
  192. reflects those comments.  The second phase, to be proposed
  193. shortly, will revise the way the government manages its
  194. information technology resources.
  195.  
  196.      The revised Circular will be published in the Federal
  197. Register on July 2.  It is available from the OMB Publications
  198. Office (202-395-7332).  
  199.  
  200.      The Circular is also available in electronic form.  On the
  201. Internet use anonymous File Transfer Protocol (FTP) from
  202. nis.nsf.net as /omb/omb.a130.rev2 (do not use any capital letters
  203. in the file name).  For those who do not have FTP capability, the
  204. document can be retrieved via mail query by sending an electronic
  205. mail message to nis-info@nis.nsf.net with no subject, and with
  206. send omb.a130.rev2 as the first line of the body of the message. 
  207. It is also available on the Commerce Department's FEDWORLD
  208. bulletin board.  (Dial 703-321-8020 (N-8-1).  New users should
  209. register as "NEW".)
  210.  
  211. ------------------------------
  212.  
  213. Date:    Mon Jun 28 11:51:12 EDT 1993
  214. From:    avi@pegasus.att.com
  215. Subject: Using just last four digits of SSN
  216.  
  217. I am following up on a message by Ohringer@DOCKMASTER.NCSC.MIL regarding the 
  218. use of the last four digits of the social (in)security number as part of a 
  219. password scheme. (S)he expressed concern about privacy issues.
  220.  
  221. I am not happy with having any part of my social security number used in any 
  222. way. In my organization, we have a similar setup where we have group logins 
  223. for access to a major resource and we protect it with a secondary prompt for 
  224. your username/password. Unfortunately, the password is the last 4 digits of 
  225. the SS and can not be changed. Since I, and many others, have access to a 
  226. database of hundreds of thousands of users that includes their entire social 
  227. security number, this means that it is easy to log in as someone else. During 
  228. a recent crisis, I needed to allow people to get in this way that have not 
  229. been set up in our database. I had to let them log in as "me" by giving them 
  230. my number. Unlike a standard choosable password, this has leaked my number 
  231. permanently.
  232.  
  233. I note that once people start using the same thing, it becomes dangerous. I 
  234. can picture banks, etc, starting to use the last digits as PIN numbers, and 
  235. then anyone having access to this information (or the full SS#) can get in to 
  236. other accounts of yours.
  237.  
  238. While on this topic, I recently was on a Federal Jury and I noticed sign-in 
  239. sheets for prospective (and actual) jurors sitting in public and containing 
  240. full names, addresses AND social security numbers! They neglected to include 
  241. phone numbers. I complained about this and was told that people were "too 
  242. busy" to read your social security number. They refused to change the system. 
  243. Every day they print a new printout and then use the signed entries to set you
  244. up to be reimbursed for your time and transportation. My guess is that they 
  245. key in your SS# rather than name.
  246.  
  247. This was in marked contrast to what happens in the courtroom. After making you
  248. publicly announce your name, home town (but not address) and even your choice 
  249. of newspapers, they tell the chosen jury to avoid talking to any lawyers, 
  250. defendants, etc, while the trial is in progress. However, should they want to 
  251. annoy you, or even cause you problems, they can just walk up and get all this 
  252. information by flipping through the pages.
  253.  
  254. Avi Gross, avi@pegasus.att.com, XXX-XX-1234
  255.  
  256. ------------------------------
  257.  
  258. Date:    Mon, 28 Jun 93 09:41:31 PDT
  259. From:    pblack@kangaroo.Berkeley.EDU (Paul E. Black)
  260. Subject: re: using Soc. Security number in passwords
  261.  
  262. On Fri, 18 Jun 93 22:27 EDT, Ohringer@DOCKMASTER.NCSC.MIL writes:
  263. > An organization is planning to use the last four digits of employees
  264. > Social Security Numbers as part of a scheme for assigning computer
  265. > passwords.  I am not asking about the security aspects of this, but am
  266. > wondering about the privacy implications.  Is there anything particular
  267. > that needs to be considered about the last four digits as opposed to
  268. > four other digits?  Is this an acceptable use of (part of) social
  269. > security numbers?  Would it matter if the last nine digits (all of) or
  270. > the last one digit were used?
  271.  
  272. I believe this is the wrong thing to do.  Using Social Security
  273. numbers in passwords makes the passwords easier to guess when
  274. something is known about the user (similar to the user having first
  275. name, spouse's name, or birthdate in the password).  So the passwords
  276. will be weaker.  In addition the password may go places where the
  277. Social Security number might not have, thus spreading some information
  278. about the number even farther.  Thus there are distinct disadvantages.
  279. The number of digits merely strengthens or weakens the above
  280. arguments.
  281.  
  282. Since the last four digits of numbers are not unique, making passwords
  283. unique must be done another way.
  284.  
  285. The only advantage I can see, making the password easier to remember,
  286. can be achieved other ways: make passwords a combination of two words,
  287. e.g. doverCel (Dover is a city in the state of DELaware), creating
  288. words which *sound* real, but are not, e.g. phondate (a syllable
  289. generator hooked to a dictionary filter), etc.
  290.  
  291. In short, I see no advantage to using *any* digits of a social
  292. security number, and several disadvantages.
  293.  
  294. Paul E. Black            CS Division, 571 Evans Hall
  295. School: pblack@cs.berkeley.edu    University of California at Berkeley
  296. Home: paul@beehive.cirrus.com    Berkeley, California   94720
  297. Voice: +1 510 643 6261        USA
  298.  
  299. ------------------------------
  300.  
  301. Date:    Mon, 28 Jun 93 12:27:14 -0400
  302. From:    padgett@tccslr.dnet.mmc.com 
  303.      (A. Padgett Peterson, P.E. Information Security)
  304. Subject: The other side of Clipper
  305.  
  306.    From:    "Barry Jaspan" <bjaspan@gza.com>
  307.    Subject: Re: The other side of Clipper (padgett@tccslr.dnet.mmc.com)
  308.  
  309.    >Undeniably.  The question is who will be able to using STU-IIIs
  310.    >without causing themselves potential problems.  The answer is "the
  311.    >government, and no one else."
  312.  
  313.    From:    Bob Leone <leone@gandalf.ssw.com>
  314.    Subject: The other side of Clipper
  315.  
  316.    >False. There would not be a flood. What would happen, if the govt made
  317.    >non-Capstone encryption illegal, is that it would be considered prima-facie
  318.    >evidence of criminal conspiracy (since only a criminal would want his
  319.    >comm secure against monitoring by law-enforcement agents, right? Sure).
  320.  
  321. I respectfully disagree. While this is possible, what the criminals will
  322. do is to first encrypt using a secure mechanism and *then* feed it to the
  323. Clipper chip. In this manner, Clipper will actually slow down the process
  324. since the gov will need a wiretap authorization *first* before they will
  325. be able to accuse anyone of malfeasence. 
  326.  
  327. Further IMHO the current furor over seizures where no criminal charges are 
  328. is indicative that the pendulum is swinging away from easy court orders. The
  329. gov may still tap communications as a matter of course, but prosecution may
  330. become more difficult. Besides, as I have said, the real target audience for
  331. Clipper/Capstone will not *care* if the gov listens.
  332.  
  333.                 Warm & muggy today, tuggy tomorrow,
  334.                         Padgett
  335.  
  336. ------------------------------
  337.  
  338. End of PRIVACY Forum Digest 02.23
  339. ************************
  340.