Paroolid on katki: kasutajate autentimiseks on parem viis

Tundub, et iga nädal loeme lugusid ettevõtetest ja veebisaitidest, kus on ohtu seatud tarbijad ja varastatud andmed. Paljude jaoks on kõige halvemad sissemurdmised paroolide varastamise korral. LastPassi häkk olles üks hiljutisemaid rünnakuid. Mõnes mõttes on see digitaalse terrorismi vorm, mis ainult kasvab. Kahefaktoriline autentimine ja biomeetria on kena laigud probleemile, kuid eiravad sisselogimise haldusega seotud põhiprobleeme. Meil on tööriistad probleemi lahendamiseks, kuid neid pole õigesti rakendatud.

Miks me võtame kingad maha Ameerika Ühendriikides, kuid mitte Iisraelis

TSA turvalisusest teab igaüks, kes lendab USA-s. Enne turvategevuse läbimist võtame ära mantlid, väldime vedelikke ja jalanõud. Meil on nimede põhjal lendude keeldude nimekiri. Need on reaktsioonid konkreetsetele ohtudele. Nii ei tee Iisraeli-sugune riik julgeolekut. Ma ei lennanud El-Alit (Iisraeli riiklikud lennufirmad), kuid sõbrad räägivad mulle intervjuudest, mida nad julgeoleku ajal läbivad. Turvatöötajad kodeerivad ähvardused, mis põhinevad

isikuomadused ja käitumine.

Me kasutame TSA-lähenemist veebikontodele ja seepärast on meil ka kõik turvaprobleemid. Kahefaktoriline autentimine on algus. Kui aga lisame oma kontodele teise teguri, siis on meil vale vale turvatunne. See teine ​​tegur kaitseb selle eest, et keegi varastab mu parooli - konkreetset ohtu. Kas minu teine ​​tegur võiks olla ohustatud? Muidugi. Minu telefoni võidakse varastada või pahavara võib kahjustada minu teist tegurit.

Inimfaktor: sotsiaalne insener

Isegi kahefaktoriliste lähenemisviiside korral on inimestel endiselt võimalus turvaseadeid alistada. Mõni aasta tagasi veenis töökas häkker Apple'i lähtestama kirjaniku Apple ID. GoDaddy peteti domeeninime muutmiseks, mis võimaldas Twitteri konto ülevõtmist. Minu identiteet oli liideti kogemata teise Dave Greenbaumiga inimvea tõttu MetLife'is. Selle vea tulemusel tühistasin peaaegu teise Dave Greenbaumi kodu ja autokindlustuse.

Isegi kui inimene ei alista kahefaktorilist seadistust, on see teine ​​märk ründaja jaoks veel üks takistus. See on häkkerite mäng. Kui ma tean oma Dropboxi sisse logides, et vajan autoriseerimiskoodi, siis on mul vaid vaja see kood sinult saada. Kui ma ei suuna teie tekstsõnumeid mulle (SIM-häkkida kedagi?), Pean lihtsalt veenma teid, et vabastage see kood mulle. See pole raketiteadus. Kas ma veenksin teid selle koodi tagasi andma? Võimalik. Me usaldame oma telefone rohkem kui oma arvuteid. Seetõttu langevad inimesed näiteks a-le võlts iCloudi sisselogimissõnum.

Veel üks tõestisündinud lugu, mis juhtus minuga kaks korda. Minu krediitkaardiettevõte märkas kahtlast tegevust ja helistas mulle. Tore! See on käitumispõhine lähenemine, millest räägin hiljem. Kuid nad palusid mul telefoni teel anda oma krediitkaardi täielik number koos kõnega, mida ma ei teinud. Nad olid šokeeritud. Ma keeldusin neile numbrit andmast. Juhataja ütles mulle, et nad saavad klientidelt kaebusi harva. Enamik helistajaid annavad krediitkaardinumbri lihtsalt üle. Kuule. See võis olla ükskõik milline pahatahtlik inimene, kes püüdis mu isikuandmeid hankida.

Paroolid ei kaitse meid

Meil on liiga paljudes kohtades meie elus liiga palju paroole. Keskmine on juba paroolidest lahti saanud. Enamik meist teab, et meil peaks igal saidil olema kordumatu parool. Seda lähenemist on liiga palju, et küsida meie vaevakatelt maapealsetelt ajudelt, kes elavad täielikku ja rikkalikku digitaalset otseülekannet. Paroolide haldurid (analoog või digitaalne) aitab vältida juhuslikke häkkereid, kuid mitte keerulist rünnakut. Kurat, häkkerid ei vaja meie isiklikele kontodele juurdepääsu saamiseks isegi paroole. Nad tungivad lihtsalt teavet talletavatesse andmebaasidesse (Sony, Target, föderaalvalitsus).

Võtke õppetund krediitkaardiettevõtetelt

Ehkki algoritmid võivad pisut väheks jääda, on krediidifirmadel see õige mõte. Nad vaatavad meie ostmisharjumusi ja asukohta, et teada saada, kas see kasutab teie kaarti. Kui ostate Kansases gaasi ja siis Londonis ülikonna, siis on see probleem.

Miks me ei saa seda oma veebikontodele rakendada? Mõned ettevõtted pakuvad hoiatusi välismaistelt IP-delt (kudod kuni LastPass kasutajatele üürimiseks) määrake eelistatud riigid juurdepääsu saamiseks). Kui mu telefon, arvuti, tahvelarvuti ja randmeseade asuvad kõik Kansases, siis tuleks mind teavitada, kui mu kontole pääseb juurde mujale. Need ettevõtted peaksid vähemalt küsima minult paar lisaküsimust, enne kui nad arvavad, et olen see, kes ma ütlen, et olen. Seda väravavalvet on vaja eriti Google'i, Apple'i ja Facebooki kontode jaoks, mis autentivad teiste OAuthi kontodega. Google ja Facebook anda ebahariliku tegevuse eest hoiatusi, kuid need on tavaliselt ainult hoiatused ja hoiatused pole kaitse. Minu krediitkaardiettevõte ütleb tehingule ei, kuni nad kontrollivad, kes ma olen. Nad lihtsalt ei ütle "Hei... arvasid, et peaksid teadma". Minu veebikontod ei tohiks hoiatada, need peaksid ebahariliku tegevuse tõttu blokeerima. Krediitkaardi turvalisuse uusim keerukus on näotuvastus. Muidugi, keegi võib võtta aega, et proovida teie nägu kopeerida, kuid krediitkaardiettevõtted näivad meie kaitsmiseks kõvasti pingutavat.

Meie nutikad abilised (ja seadmed) on parem kaitse

Siri, Alexa, Cortana ja Google teavad meist tonni kraami. Nad ennustavad arukalt, kuhu me läheme, kuhu oleme jõudnud ja mis meile meeldib. Need abilised kammivad meie fotod puhkuse korraldamiseks, mäletavad, kes on meie sõbrad, ja isegi muusikat, mis meile meeldib. See on ühel tasemel jube, kuid väga kasulik meie igapäevaelus. Kui teie Fitbiti andmeid saab kohtus kasutada, võib see ka olla kasutatakse teie tuvastamiseks.

Veebikonto seadistamisel esitavad ettevõtted teile küsimusi nukrate väljakutsete kohta, näiteks keskkooli kullakese või kolmanda klassi õpetaja nimi. Meie mälestused pole nii põhjalikud kui arvuti. Neile küsimustele ei saa meie identiteedi kontrollimiseks tugineda. Mul on varasemalt kontod blokeeritud, kuna minu 2011. aasta lemmikrestoran pole näiteks täna minu lemmikrestoran.

Google on nutika tahvelarvuti ja Chromebookiga nutika lukuga astunud selle käitumispõhise lähenemise esimese sammu. Kui olete see, kelle kohta ütlete, et olete, siis on tõenäoliselt teie telefon lähedal. Apple tõmbas palli iCloudi häkkimisega, lubades tuhandeid katseid samalt IP-aadressilt.

Selle asemel, et aru saada, millist laulu tahame järgmisena kuulata, soovin, et need seadmed kaitseksid mu identiteeti mõnel viisil.

1. Sa tead, kus ma olen: Minu mobiiltelefoni GPS-i abil see teab minu asukohta. See peaks suutma mu teistele seadmetele öelda: "Kuule, see on lahe, lase ta sisse." Kui olen Timbuktu rändluses, ei tohiks te usaldada minu parooli ja võib-olla isegi teist tegurit.
2. Tead, mida ma teen: Teate, millal ma sisse login ja millega, nii et on aeg esitada mulle veel mõned küsimused. Kui ma tavaliselt ei palu teil kabiiniruumi uksi avada, peaks see olema vastus "Vabandust, Dave, ma ei saa seda teha".
3. Teate, kuidas mind kontrollida: "Mu hääl on minu pass, kontrolli mind." Ei, keegi saab seda kopeerida. Selle asemel esitage mulle küsimusi, millele on mul kerge vastata ja meelde jätta, kuid mida on Internetist raske leida. Mu ema neiupõlvenime võib olla lihtne leida, kuid seda, kus ma eelmisel nädalal emaga lõunat sõin, pole (vaata minu kalendrit). Kust ma keskkooli kallimaga tutvusin, on lihtne ära arvata, kuid seda, millist filmi eelmisel nädalal nägin, pole kerge leida (kontrollige lihtsalt oma e-posti kviitungeid).
4. Tead, milline ma välja näen: Facebook suudab mind ära tunda mu pea taga ja Mastercard suudab mu näo tuvastada. Need on paremad viisid, kuidas kontrollida, kes ma olen.

Ma tean, et väga vähesed ettevõtted rakendavad selliseid lahendusi, kuid see ei tähenda, et ma ei saaks neid himustada. Enne kui kurdate - jah, neid võib häkkida. Häkkerite probleemiks on teadmine, milliseid teiseseid abinõusid võrguteenus kasutab. Võib-olla küsib ta ühel päeval küsimuse, kuid võtab järgmisel päeval selfie.

Apple teeb oma privaatsuse kaitsmiseks suure tõuke ja ma hindan seda kõrgelt. Kui mu Apple ID on sisse logitud, kaitseb Siri mind ennetavalt. Ka Google Now ja Cortana saavad seda teha. Võib-olla keegi juba arendab seda ja Google teeb selles valdkonnas mõned sammud, kuid meil on seda nüüd vaja! Kuni selle ajani peame oma asjade kaitsmisel olema pisut valvsamad. Otsige selle nädala kohta ideid.