Gesla so zlomljena: obstaja boljši način za preverjanje pristnosti uporabnikov

Vsak teden se zdi, da beremo zgodbe o ogroženih podjetjih in spletnih mestih, ukrademo pa podatke o potrošnikih. Za mnoge od nas so najslabše vlomi, ko gesla ukradejo. The LastPass Hack eden najnovejših napadov. Morda gre za obliko digitalnega terorizma, ki samo še raste. Dvofaktorna avtentikacija in biometrija so lepi popravki težave, vendar prezrejo temeljna vprašanja, povezana z upravljanjem prijav. Orodja za rešitev težave imamo, vendar niso bila pravilno uporabljena.

Zakaj snemamo čevlje v ZDA, ne pa v Izraelu

Vsi, ki plujejo v ZDA, vedo o varnosti TSA. Snemamo si plašče, se izogibamo tekočinam in si pred varnostjo slečemo čevlje. Imamo seznam brez muhe, ki temelji na imenih. To so reakcije na posebne grožnje. Tako država, kot je Izrael, ne zagotavlja varnosti. Nisem letel v El-Al (nacionalna letalska družba Izraela), toda prijatelji mi pripovedujejo o intervjujih, ki jih v varnostnem programu opravijo. Varnostniki kodirajo grožnje na podlagi

osebne lastnosti in vedenja.

Upoštevamo pristop TSA pri spletnih računih in zato imamo vse varnostne težave. Dvofaktorska overitev je začetek. Ko pa v svoje račune dodamo drugi dejavnik, smo zaslišani v lažnem občutku varnosti. Drugi dejavnik varuje pred tem, da bi mi kdo ukradel geslo. Bi lahko bil moj drugi dejavnik ogrožen? Seveda. Moj telefon bi lahko ukradli ali bi zlonamerna programska oprema lahko ogrozila moj drugi dejavnik.

Človeški faktor: socialni inženiring

Tudi pri dvofaktorskih pristopih ima človek še vedno možnost, da preglasi varnostne nastavitve. Pred nekaj leti je naporen heker prepričal Apple, da je ponastavil pisateljev Apple ID. GoDaddy je nagajal preusmeriti ime domene, ki je omogočilo prevzem računa na Twitterju. Moja identiteta je bila nesrečno združila z drugim Daveom Greenbaumom zaradi človeške napake v podjetju MetLife. Ta napaka mi je skoraj povzročila odpoved domačega in avtomobilskega zavarovanja drugega Davea Greenbauma.

Tudi če človek ne premaga nastavitve z dvema faktorjema, je ta drugi žeton le še ena ovira za napadalca. To je igra za hekerja. Če vem, ko se prijavite v svoj Dropbox, da potrebujem kodo za avtorizacijo, potem moram samo to kodo dobiti od vas. Če ne pošljem vaših besedilnih sporočil name (Kdo kvari SIM?) Prepričati vas moram samo, če mi izpustite to kodo. To ni raketna znanost. Bi vas lahko prepričal, da mu vrnete to kodo? Mogoče. Našim telefonom zaupamo več kot našim računalnikom. Zato ljudje padejo za stvari kot lažno sporočilo za prijavo v iCloud.

Še ena resnična zgodba, ki se mi je zgodila dvakrat. Moje podjetje s kreditnimi karticami je opazilo sumljivo dejavnost in me poklicalo. Super! To je pristop, ki temelji na vedenju, o katerem bom govoril kasneje. Vendar so me prosili, naj po telefonu dam celotno številko kreditne kartice s klicem, ki ga nisem klical. Bili so šokirani, ker jim nisem hotel dati številke. Menedžer mi je rekel, da redko dobijo pritožbe strank. Večina klicateljev samo izroči številko kreditne kartice. Ou. To bi lahko vsaka zloglasna oseba na drugem koncu poskušala pridobiti moje osebne podatke.

Gesla nas ne ščitijo

V življenju imamo preveč gesel na preveč mestih. Srednja je že znebil se gesel. Večina nas ve, da bi morali imeti enotno geslo za vsako spletno mesto. Ta pristop je preveč zastavljiv, da bi lahko vprašali naše možgane, ki živijo polno in bogato digitalno. Upravitelji gesel (analogno ali digitalno) pomagajo preprečiti priložnostne hekerje, ne pa tudi prefinjenega napada. Hek, hekerji sploh ne potrebujejo gesla za dostop do naših posameznih računov. Le vdrejo v baze podatkov, ki shranjujejo podatke (Sony, Target, zvezna vlada).

Vzemite lekcijo pri podjetjih s kreditnimi karticami

Kljub temu, da bi algoritmi morda malo popustili, imajo kreditne družbe pravo predstavo. Pregledajo naše vzorce nakupa in lokacijo, da ugotovijo, ali uporabljate svojo kartico. Če kupite plin v Kansasu in kupite obleko v Londonu, je to težava.

Zakaj tega ne moremo uporabiti v svojih spletnih računih? Nekatera podjetja ponujajo opozorila s strani tujih IP-jev (kudos na LastPass, ki jih lahko oddajo uporabnikom nastavite želene države za dostop). Če so moj telefon, računalnik, tablični računalnik in zapestna naprava v Kansasu, bi moral biti obveščen, če imam dostop do mojega računa nekje drugje. Vsaj mi morajo ta podjetja postaviti nekaj dodatnih vprašanj, preden ugotovijo, da sem tisti, za katerega pravim, da sem. Ta prehod je še posebej potreben za Google, Apple in Facebook račune, ki OAuth potrjujejo druge račune. Google in Facebook dajte opozorila za nenavadno dejavnost, vendar so ponavadi le opozorilo in opozorila niso zaščita. Moje podjetje s kreditnimi karticami odgovori ne, dokler ne preveri, kdo sem. Samo ne rečejo "Hej... mislil bi, da bi moral vedeti". Moji spletni računi ne smejo opozarjati, blokirati bi jih morali zaradi nenavadnih dejavnosti. Najnovejši učinek varnosti kreditnih kartic je prepoznavanje obraza. Seveda si lahko nekdo vzame čas, da poskuša podvojiti vaš obraz, vendar se zdi, da podjetja s kreditnimi karticami trdo delajo, da nas zaščitijo.

Naši pametni pomočniki (in naprave) so boljša obramba

Siri, Alexa, Cortana in Google vedo ogromno stvari o nas. Pametno napovedujejo, kam gremo, kje smo bili in kaj nam je všeč. Ti pomočniki združujejo naše fotografije, da organizirajo počitnice, se spomnijo kdo so naši prijatelji in celo glasbo, ki nam je všeč. Na eni ravni je grozno, vendar zelo koristno v našem vsakdanjem življenju. Če se lahko vaši podatki Fitbita uporabijo na sodišču, lahko tudi ki vas uporabljajo za identifikacijo.

Ko nastavljate spletni račun, vam podjetja postavljajo neumna izzivalna vprašanja, na primer ime vašega ljubitelja srednje šole ali učitelja tretjega razreda. Naši spomini niso tako trdni kot računalnik. Na ta vprašanja se ne moremo zanašati, da preverimo svojo identiteto. Prej so me zaklenili, ker moja najljubša restavracija leta 2011 na primer ni moja najljubša restavracija.

Google je s pametnim zaklepanjem za tablične računalnike in prenosnike Chromebook naredil prvi korak v tem vedenjskem pristopu. Če si kdo, za katerega praviš, da si, potem imaš verjetno svoj telefon v bližini. Apple je žogo resnično spustil s krampom iCloud, omogoča tisoče poskusov z istega naslova IP.

Namesto da bi ugotovili, katero skladbo želimo poslušati, želim, da te naprave zaščitijo mojo identiteto na nekaj načinov.

1. Veste, kje sem: Po GPS-u mojega mobilnega telefona pozna svojo lokacijo. Moral bi sporočiti drugim napravam "Hej, lepo je, spusti ga noter." Če sem v gostovanju v Timbuktuu, mi res ne bi smeli zaupati mojega gesla in morda niti mojemu drugemu dejavniku.
2. Veste, kaj počnem: Veste, ko se prijavim in s čim, zato je čas, da mi postavite še nekaj vprašanj. "Žal mi je, Dave, tega ne morem storiti," bi moral biti odgovor, ko vas običajno ne prosim, da odprete vrata za zaklepanje.
3. Veste, kako me preverite: "Glas mi je potni list, preverite me." Ne, tega lahko kopira vsakdo. Namesto tega mi postavljajte vprašanja, na katera se mi enostavno da odgovoriti in si zapomniti, vendar jih je težko najti na internetu. Dekliški priimek moje mame je morda enostavno najti, toda kjer sem prejšnji teden kosila kosilo z mamo, ni (poglejte moj koledar). Kje sem srečal svojega ljubčka iz srednje šole, je enostavno uganiti, toda katerega filma, ki sem ga videl prejšnji teden, ni enostavno najti (samo preverite moje e-poštne prejemke).
4. Veste, kako izgledam: Facebook me lahko prepozna po zadaj glave in Mastercard lahko zazna moj obraz. To so boljši načini preverjanja, kdo sem.

Vem, da zelo malo podjetij izvaja takšne rešitve, vendar to ne pomeni, da jih ne morem pohvaliti. Preden se pritožite - da, to lahko prekinete. Hekerji bodo težavo poznali, kateri niz sekundarnih ukrepov uporablja spletna storitev. Nekega dne bo morda postavilo vprašanje, naslednji pa vzemite selfije.

Apple si močno prizadeva za zaščito moje zasebnosti in to cenim. Vendar ko je moj Apple ID prijavljen, je čas, da me Siri proaktivno zaščiti. Google Now in Cortana lahko to tudi storita. Mogoče kdo že to razvija in Google na tem področju napreduje, a to zdaj potrebujemo! Do takega časa moramo biti nekoliko bolj pozorni pri zaščiti svojih stvari. Poiščite nekaj idej o tem prihodnji teden.