Slaptažodžiai yra sugadinti: yra geresnis būdas autentifikuoti vartotojus

Atrodo, kad kiekvieną savaitę skaitome istorijas apie įmones ir svetaines, kurioms kyla pavojus, o vartotojų duomenys yra vagiami. Daugeliui iš mūsų blogiausias įsilaužimas yra pavogti slaptažodžiai. „LastPass Hack“ yra vienas iš paskutinių išpuolių. Tam tikrais būdais tai yra skaitmeninio terorizmo forma, kuri tik auga. Dviejų veiksnių autentifikavimas ir biometrija yra gražūs problemos pataisymai, tačiau jie nepaiso pagrindinių klausimų, susijusių su prisijungimo valdymu. Mes turime priemonių problemai išspręsti, tačiau jos nebuvo tinkamai pritaikytos.

Kodėl mes nusimauname batus JAV, bet ne Izraelyje?

Kiekvienas iš JAV skraidančių asmenų žino apie TSA saugumą. Mes nusirengiame paltus, vengiame skysčių ir nusiauname batus prieš eidami per saugumą. Mes turime sąrašą, kuriame neskraidoma pagal vardus. Tai yra reakcija į konkrečias grėsmes. Tai ne tas būdas, kaip Izraelis vykdo saugumą. Aš neskraidinau „El-Al“ (Izraelio nacionalinės oro linijos), bet draugai man pasakoja apie pokalbius, kuriuose jie lankosi saugiai. Saugumo pareigūnai grasina koduoti grėsmes

asmeninės savybės ir elgesys.

Mes naudojame TSA požiūrį į internetines paskyras, todėl turime visas saugumo problemas. Dviejų veiksnių autentifikavimas yra pradžia. Vis dėlto, kai prie savo sąskaitų pridedame antrą faktorių, mus užklupo klaidingas saugumo jausmas. Antrasis veiksnys apsaugo nuo to, kad kažkas pavogtų mano slaptažodį - konkrečią grėsmę. Ar gali būti pakenkta antrajam mano veiksniui? Aišku. Mano telefonas gali būti pavogtas arba kenkėjiška programinė įranga gali pakenkti mano antrajam veiksniui.

Žmogiškasis faktorius: socialinė inžinerija

Net taikydami dviejų veiksnių požiūrį, žmonės vis tiek turi galimybę nepaisyti saugos parametrų. Po kelerių metų atkaklus įsilaužėlis įtikino „Apple“ iš naujo nustatyti rašytojo „Apple ID“. Varyk Tėti buvo apgautas paversti domeno vardą, kuris įgalino „Twitter“ paskyros perėmimą. Mano tapatybė buvo netyčia susijungė su kitu Dave'u Greenbaumu dėl žmogiškos klaidos „MetLife“. Dėl šios klaidos atšaukiau kito Dave'o Greenbaumo namus ir automobilio draudimą.

Net jei žmogus nepaneigia dviejų veiksnių nustatymo, tas antrasis žetonas yra tik dar viena užpuoliko kliūtis. Tai žaidimas įsilaužėjui. Jei prisijungdamas prie „Dropbox“ žinau, kad man reikia autorizacijos kodo, tada viskas, ką turiu padaryti, yra gauti šį kodą iš jūsų. Jei negaunu, kad jūsų tekstiniai pranešimai būtų nukreipti į mane (Nulaužk bet ką?), Aš tiesiog turiu jus įtikinti, kad paleiskite man tą kodą. Tai nėra raketų mokslas. Ar galėčiau jus įtikinti, kad grąžinsite tą kodą? Galima. Mes labiau pasitikime savo telefonais nei kompiuteriais. Štai kodėl žmonės susiduria su tokiais dalykais kaip a suklastotas „iCloud“ prisijungimo pranešimas.

Dar viena tikra istorija, kuri man nutiko du kartus. Mano kreditinių kortelių įmonė pastebėjo įtartiną veiklą ir paskambino man. Puiku! Tai elgesys pagrįstas požiūris, apie kurį kalbėsiu vėliau. Tačiau jie paprašė manęs, kad nepateikčiau skambučio, nurodyčiau visą kredito kortelės numerį telefonu. Jie buvo sukrėsti, aš atsisakiau jiems suteikti numerį. Vadovas pasakojo, kad jie retai sulaukia klientų skundų. Daugelis skambinančiųjų tiesiog perduoda kredito kortelės numerį. Oi. Tai galėjo būti bet koks apgaulingas asmuo, bandęs gauti mano asmeninius duomenis.

Slaptažodžiai mūsų neapsaugo

Gyvenime per daug slaptažodžių turime per daug vietų. Vidutinis jau atsikratė slaptažodžių. Daugelis iš mūsų žino, kad kiekvienoje svetainėje turėtume turėti unikalų slaptažodį. Toks požiūris yra per daug reikalavimas iš mūsų niūrių žemiškų smegenų, gyvenančių visavertį ir turtingą skaitmeninį gyvenimą. Slaptažodžio tvarkytojai (analogas arba skaitmeninis) padeda išvengti atsitiktinių įsilaužėlių, bet ne sudėtingas išpuolis. Heck, įsilaužėliams net nereikia slaptažodžių, kad galėtume pasiekti mūsų asmenines paskyras. Jie tiesiog įsiveržia į duomenų bazes, kuriose kaupiama informacija („Sony“, „Target“, Federalinė vyriausybė).

Paimkite pamoką iš kredito kortelių kompanijų

Nors algoritmai gali šiek tiek atsilikti, kredito bendrovės turi teisingą idėją. Jie peržiūri mūsų pirkimo modelius ir vietą norėdami sužinoti, ar tai jūs naudojate savo kortelę. Jei perkate dujas Kanzase, o tada perkate lagaminą Londone, tai yra problema.

Kodėl negalime to pritaikyti savo internetinėms paskyroms? Kai kurios kompanijos siūlo įspėjimus iš užsienio IP („kudos“ į „LastPass“) vartotojams leisti nustatykite pageidaujamas prieigos šalis). Jei mano telefonas, kompiuteris, planšetinis kompiuteris ir riešo įrenginys yra Kanzaso valstijoje, turėčiau pranešti, jei mano sąskaita bus pasiekiama kur nors kitur. Bent jau šios įmonės turėtų užduoti man keletą papildomų klausimų prieš manant, kad esu tas, kuris sakau, kad esu. Šis duomenų saugojimas yra ypač reikalingas „Google“, „Apple“ ir „Facebook“ paskyroms, kurios autentifikuoja kitas „OAuth“ paskyras. „Google“ ir Facebook duoti įspėjimus apie neįprastą veiklą, tačiau jie paprastai yra tik įspėjimas, o įspėjimai nėra apsauga. Mano kredito kortelių įmonė sako „ne“ operacijai, kol nepatikrins, kas aš esu. Jie tiesiog nesako „Ei... galvojai, kad turėtum žinoti“. Mano internetinės paskyros neturėtų įspėti, jos turėtų blokuoti dėl neįprastos veiklos. Naujausias kredito kortelių saugumo aspektas yra veido atpažinimas. Aišku, kažkas gali skirti laiko bandydamas dubliuoti tavo veidą, tačiau kreditinių kortelių įmonės, norėdamos apsaugoti mus, stengiasi.

Mūsų išmanieji padėjėjai (ir įrenginiai) yra geresnė gynyba

„Siri“, „Alexa“, „Cortana“ ir „Google“ žino apie mus daugybę dalykų. Jie protingai nuspėja, kur einame, kur buvome ir kas mums patinka. Šie padėjėjai šukuoja mūsų nuotraukas, norėdami organizuoti mūsų atostogas, prisiminti, kas yra mūsų draugai, ir net muziką, kuri mums patinka. Viename lygmenyje tai yra nepaprastai gražu, tačiau labai naudinga mūsų kasdieniniame gyvenime. Jei jūsų „Fitbit“ duomenys gali būti naudojami teisme, taip pat gali būti naudojamas jūsų tapatybei nustatyti.

Kai kuriate internetinę paskyrą, įmonės užduoda jums nemandagių iššūkių, pavyzdžiui, jūsų brangiojo ar trečios klasės mokytojo vardą. Mūsų prisiminimai nėra tokie tvirti kaip kompiuteris. Į šiuos klausimus negalima remtis norint patvirtinti mūsų tapatybę. Anksčiau buvau uždarytas iš sąskaitų, nes, pavyzdžiui, mano mėgstamiausias restoranas 2011 m. Nėra mano mėgstamiausias restoranas šiandien.

„Google“ žengė pirmąjį šio elgesio požiūrio žingsnį naudodama „Smart Lock“ planšetiniams kompiuteriams ir „Chromebook“ įrenginiams. Jei esate tas, apie kurį sakote, kad esate, greičiausiai telefoną turite šalia. „Apple“ tikrai numetė kamuolį su „iCloud“ įsilaužimu, leisti tūkstančius bandymų iš to paties IP adreso.

Užuot išsiaiškinęs, kurią dainą norime klausytis toliau, noriu, kad šie prietaisai keliais būdais apsaugotų mano tapatybę.

1. Žinai, kur aš esu: Turėdamas mano mobiliojo telefono GPS, jis žino mano vietą. Jis turėtų sugebėti pasakyti kitiems mano įrenginiams: „Ei, šaunu, paleisk jį“. Jei aš esu Timbuktu tarptinkliniu ryšiu, turėtumėte tikrai nepasitikėti mano slaptažodžiu ir galbūt net antruoju veiksniu.
2. Žinai ką aš darau: Jūs žinote, kada aš prisijungiu ir su kuo, todėl laikas man užduoti dar keletą klausimų. „Aš labai atsiprašau, Deivas, aš negaliu to padaryti“ turėtų būti atsakymas, kai paprastai neprašau jūsų atidaryti podiumo durų durys.
3. Jūs žinote, kaip mane patvirtinti: „Mano balsas yra mano pasas, patikrink mane“. Ne, bet kas gali tai nukopijuoti. Vietoj to, užduokite man klausimų, į kuriuos man lengva atsakyti ir atsiminti, bet kuriuos sunku rasti internete. Mano motinos mergautinę pavardę gali būti lengva rasti, bet ten, kur praėjusią savaitę valgiau priešpiečius su mama, nėra (žiūrėkite į mano kalendorių). Nesunku atspėti, kur sutikau savo brangųjį moksleivį, bet kurį filmą, kurį pamačiau praėjusią savaitę, nėra lengva rasti (tiesiog patikrinkite mano el. Pašto kvitus).
4. Žinai, kaip aš atrodau: „Facebook“ gali mane atpažinti pagal galvą ir „Mastercard“ gali aptikti mano veidą. Tai yra geresni būdai patikrinti, kas aš esu.

Aš žinau, kad labai nedaug kompanijų įgyvendina tokius sprendimus, tačiau tai nereiškia, kad negaliu jų geisti. Prieš skundžiantis - taip, juos galima nulaužti. Piratų problema bus žinoti, kokį antrinių priemonių rinkinį naudoja internetinė paslauga. Vieną dieną gali užduoti klausimą, bet kitą dieną pasiimti asmenukę.

„Apple“ labai stengiasi apsaugoti mano privatumą ir aš tai vertinu. Tačiau kai tik prisijungsiu prie mano „Apple ID“, laikas „Siri“ mane aktyviai saugoti. „Google“ dabar ir „Cortana“ taip pat gali tai padaryti. Galbūt kažkas jau kuria tai, o „Google“ žengia tam tikrus žingsnius šioje srityje, bet mums to reikia dabar! Iki to laiko mes turime būti šiek tiek budrūs, saugodami savo daiktus. Kitą savaitę ieškokite idėjos.