A jelszavak megsérültek: Jobb módszer van a felhasználók hitelesítésére

Úgy tűnik, hogy minden héten olyan történeteket olvasunk, amelyekben a vállalatok és webhelyek veszélybe kerültek, és a fogyasztói adatokat ellopták. Sokunk számára a legrosszabb behatolás a jelszavak ellopásakor. Az LastPass Hack az egyik legutóbbi támadás. Lehetséges módon a digitális terrorizmus egyfajta formája, amely csak növekszik. Két tényezős hitelesítés és biometrikus szép foltok a problémára, de figyelmen kívül hagyják a bejelentkezés kezelésével kapcsolatos alapvető kérdéseket. Megvannak az eszközök a probléma megoldásához, de ezeket nem alkalmazták megfelelően.

Miért vesszük le cipőnket az Egyesült Államokban, de Izraelben nem

Bárki, aki az Egyesült Államokban repül, ismeri a TSA biztonságát. Levesszük a kabátjainkat, kerüljük a folyadékokat, és levetjük a cipőnket, mielőtt átmegyünk a biztonságba. Van nevek alapján repülési tilalom. Ezek a reakciók a konkrét fenyegetésekre. Ez nem az, ahogyan egy olyan ország, mint Izrael, biztonságot nyújt. Nem repültem az El-Al-nal (Izrael nemzeti légitársaságai), de a barátok elmondják nekem az interjúkat, amelyeket biztonságban mennek át. A biztonsági tisztviselők a fenyegetéseket a következők alapján kódolják:

személyes tulajdonságok és viselkedés.

A TSA megközelítést alkalmazzuk az online számlákra, és ezért vannak minden biztonsági problémánk. A kéttényezős hitelesítés a kezdet. Mégis, amikor egy második tényezőt adunk hozzá fiókjainkhoz, megtéveszti a téves biztonságérzetet. Ez a második tényező védi azt, hogy valaki ellopja a jelszavam - egy konkrét fenyegetést. Befolyásolhatnám a második tényezőmet? Biztos. Ellophatom a telefonomat, vagy rosszindulatú programok veszélyeztethetik a második tényezőmet.

Emberi tényező: Társadalomtudomány

A két tényezővel történő megközelítés mellett az emberek továbbra is képesek felülbírálni a biztonsági beállításokat. Néhány évvel ezelőtt egy szorgalmas hacker meggyőzte az Apple-t, hogy állítsa vissza az író Apple ID-jét. Hajrá apu becsapották egy olyan domain név megváltoztatásáért, amely lehetővé tette a Twitter-fiók átvételét. Az én identitásom volt véletlenül egyesült egy másik Dave Greenbaummal egy emberi hiba miatt a MetLife-nél. Ez a hiba szinte ahhoz vezetett, hogy lemondtam a másik Dave Greenbaum otthoni és autóbiztosítását.

Még ha az ember nem is felülírja a két tényező beállítását, ez a második token csak egy újabb akadály a támadó számára. Ez egy játék hackerek számára. Ha tudok, amikor bejelentkezik a Dropboxba, hogy szükségem van egy engedélyezési kódra, akkor csak annyit kell tennem, hogy tőlem szerezzem ezt a kódot. Ha nem kapom meg a szöveges üzeneteimet nekem (SIM-csapkod senkinek?), Csak meg kell győznöm Önt, hogy engedje el ezt a kódot nekem. Ez nem rakétatudomány. Meg tudnék győzni arról, hogy adja vissza ezt a kódot? Esetleg. Telefonjainkban jobban bízunk, mint a számítógépeinkben. Ezért esnek az emberek a következő dolgokra hamis iCloud bejelentkezési üzenet.

Egy másik igaz történet, ami velem kétszer történt. Hitelkártya-társaságom gyanús tevékenységet észlelt, és felhívott. Nagy! Ez egy viselkedésen alapuló megközelítés, amiről később beszélek. Megkérdezték azonban, hogy telefonon adja meg a teljes hitelkártya-számomat, és nem hívtam meg. Sokkolták, és nem adtam meg a számot. Egy menedzser azt mondta, hogy ritkán érkeznek panaszok az ügyfelekkel. A legtöbb hívó csak átadja a hitelkártya számát. Jaj. Lehetséges, hogy a másik végén minden rosszindulatú ember megpróbálta megszerezni a személyes adataimat.

A jelszavak nem védenek minket

Túl sok a jelszó az életünkben, túl sok helyen. Közepes már megszabadult a jelszavaktól. Legtöbben tudjuk, hogy minden webhelyhez egyedi jelszóval kell rendelkeznünk. Ez a megközelítés túlságosan sok ahhoz, hogy kérdezzük a bámulatos földi agyainktól, hogy teljes és gazdag digitális életet éljünk. Jelszókezelők (analóg vagy digitális) segít elkerülni az alkalmi hackereket, de nem kifinomult támadást. Hé, a hackereknek nem is kell jelszavaik ahhoz, hogy hozzáférjenek az egyedi fiókjainkhoz. Csak behatolnak az információkat tároló adatbázisokba (Sony, Target, szövetségi kormány).

Vegyen leckét a hitelkártya-társaságoktól

Annak ellenére, hogy az algoritmusok kissé elmaradhatnak, a hitelintézeteknek helyes ötletük van. Megvizsgálják vásárlási szokásainkat és helyünket, hogy megtudják, vajon használja-e a kártyáját. Ha Kansasban vásárol gázt, majd Londonban vesz öltönyt, akkor ez probléma.

Miért nem alkalmazhatjuk ezt online fiókjainkra? Egyes vállalatok figyelmeztetéseket kínálnak külföldi IP-től (kudók - LastPass) a felhasználók bérbeadására állítsa be a hozzáférés szempontjából preferált országokat). Ha a telefonom, a számítógépem, a táblagépem és a csuklókészülék mind Kansas-ban található, értesíteni kell, ha a számlámhoz valahol máshol fér hozzá. Legalább ezeknek a társaságoknak fel kell kérdezniük néhány további kérdést, mielőtt feltételezik, hogy én vagyok, aki azt mondom, hogy én vagyok. Ez az átjáró különösen akkor szükséges a Google, az Apple és a Facebook fiókokhoz, amelyek hitelesítik az OAuth más fiókokat. Google és Facebook figyelmeztetéseket adnak a szokatlan tevékenységekre, de általában csak figyelmeztetések, és a figyelmeztetések nem védelmet jelentenek. A hitelkártya-társaságom nemet mond a tranzakcióra, amíg nem ellenőrzik, ki vagyok. Csak nem azt mondják, hogy "Hé... azt hittem, tudnod kell". Online fiókjaimnak nem szabad figyelmeztetni, blokkolniuk kell a szokatlan tevékenységek miatt. A hitelkártya-biztonság legújabb csavarja arcfelismerő. Persze, hogy valaki időbe telik, hogy megpróbálja másolatot készíteni az arcáról, úgy tűnik, hogy a hitelkártya-társaságok keményebben dolgoznak minket megóvva.

Intelligens asszisztenseink (és eszközeink) jobb védelmet nyújtanak

Siri, Alexa, Cortana és a Google sok mindent tud rólunk. Intelligensen megjósolják, hova megyünk, hol vagyunk és mi tetszik. Ezek az asszisztensek fésültetik fotóinkat, hogy megszervezzék a vakációnkat, emlékezzenek arra, hogy kik a barátaink, és még a zenét is szeretjük. Az egyik szinten hátborzongató, de nagyon hasznos mindennapi életünkben. Ha Fitbit adatait bíróságon is lehet felhasználni, akkor az is lehet azonosítására használták.

Amikor online fiókot állít fel, a vállalatok ostoba kihívásokkal küzdenek olyan kérdéseket, mint például a középiskolai kedvesem vagy a harmadik osztályos tanár neve. Az emlékeink nem olyan szörnyűek, mint egy számítógép. Ezekre a kérdésekre nem lehet hivatkozni személyazonosságunk igazolására. Korábban nem voltam elszámolva, mert például a 2011-es kedvenc éttermem nem ma a kedvenc éttermem.

A Google megtette az első lépést ebben a viselkedési megközelítésben a Smart Lock táblagépekhez és Chromebookokhoz. Ha ön vagy, akit mond, hogy vagy, akkor valószínűleg a telefonod van a közelben. Az Apple valóban ledobta a labdát az iCloud csapkodással, több ezer kísérlet lehetővé tétele ugyanabból az IP-címből.

Ahelyett, hogy kitalálnánk, melyik dalt szeretnénk hallgatni a későbbiekben, szeretném, ha ezek az eszközök néhány módon megóvnák személyazonosságomat.

1. Tudod hol vagyok: A mobiltelefonom GPS-jével ismeri a helyem. Lehetségesnek kell mondania a többi eszközömet: "Hé, ez jó, engedd be." Ha Timbuktu barangolásban vagyok, akkor nem szabad megbízni a jelszavamban és esetleg a második tényezőben.
2. Tudod, mit csinálok: Tudod, mikor jelentkezek be és mihez, tehát itt az ideje, hogy még néhány kérdést tegyek fel. „Sajnálom Dave, nem tudom megtenni” kell a válasznak, amikor általában nem kérem, hogy nyissa ki a hüvelyek ajtaját.
3. Tudod, hogyan ellenőrizhetsz engem: "A hangom az útlevelem, ellenőrizze." Nem, bárki másolhatja azt. Ehelyett tegyen fel olyan kérdéseket, amelyekre nekem könnyű válaszolni és emlékezni, de nehéz megtalálni az interneten. Anyám leánykori nevét talán könnyű megtalálni, de ott, ahol a múlt héten anyával ebédeltem, az nem (lásd a naptáromat). Könnyen kitalálható, hol találkoztam középiskolai kedvesemmel, de a múlt héten látott filmet nem könnyű megtalálni (csak ellenőrizze az e-maileket).
4. Tudod, hogy nézek ki: A Facebook felismerhet engem a a fejem háta és a Mastercard képes felismerni az arcomat. Ez jobb módszer annak ellenőrzésére, hogy ki vagyok.

Tudom, hogy nagyon kevés vállalat alkalmaz ilyen megoldásokat, de ez nem azt jelenti, hogy nem vágyhatom rájuk. Mielőtt panaszkodik-igen, ezeket meg lehet csapkodni. A hackerek számára az a probléma, hogy tudják, hogy melyik másodlagos intézkedéskészletet használ egy online szolgáltatás. Lehet, hogy egy nap kérdést tesz fel, a másikon pedig önmagáról.

Az Apple nagy erőfeszítéseket tesz magánéletének védelme érdekében, és ezt nagyra értékelem. Azonban, amint bejelentkeztem az Apple ID-m, ideje, hogy a Siri proaktívan védjen engem. A Google Asszisztens és a Cortana ezt is megteheti. Talán valaki már fejleszti ezt, és a Google lépéseket tesz ezen a téren, de most szükségünk van erre! Addig, amíg ilyen időben nem kell figyelnünk a dolgok védelmére. Keressen néhány ötletet erről a jövő hétről.