A jelszavak megszakadnak: Van egy jobb mód a felhasználók hitelesítésére
Minden héten úgy tűnik, hogy elolvassa a vállalatok és webhelyek veszélyeztetett történeteit, és ellopják a fogyasztók adatait. Sokan közülünk a legrosszabb behatolások, amikor a jelszavakat ellopták. A LastPass Hack az egyik legújabb támadás. Lehet, hogy ez egyfajta digitális terrorizmus, amely csak növekszik. A kétkomponensű hitelesítés és a biometrikus elemek jó megoldást jelentenek a problémára, de figyelmen kívül hagyják a bejelentkezés kezelésével kapcsolatos alapvető kérdéseket. A problémát megoldjuk, de nem alkalmazták megfelelően.
Miért vesszük le cipőinket az Egyesült Államokban, de nem Izraelben
Bárki, aki repül az Egyesült Államokban, tudja a TSA biztonságát. Mi levesszük kabátunkat, elkerüljük a folyadékokat, és levesszük a cipőnket, mielőtt átmegyünk a biztonságon. Van név nélküli névjegyzékünk. Ezek a reakciók konkrét fenyegetésekre reagálnak. Nem így van olyan ország, mint Izrael. Nem voltam az El-Al (Izrael nemzeti légitársaságaival), de barátaim mesélnek a biztonsági interjúkról. A biztonsági tisztek személyi jellemzőkre és viselkedésükre támaszkodnak.
TSA megközelítést alkalmazunk az online fiókok számára, ezért minden biztonsági problémánk. A kétütemű hitelesítés a kezdet. Mégis, amikor egy második tényezőt adunk számlánkhoz, hamis biztonságérzetet adunk. Ez a második tényező védelmet nyújt a valódi jelszó megszerzéséért - egy konkrét fenyegetés ellen. Lehetséges a második tényező veszélyeztetése? Biztos. Lehet, hogy ellopták a telefonomat, vagy a rosszindulatú program veszélyeztetheti a második tényezőt.
Az emberi tényező: a szociális mérnöki
Még kétszeres megközelítésekkel is, az emberek még mindig képesek felülbírálni a biztonsági beállításokat. Néhány évvel ezelőtt, egy szorgalmas hacker meggyőzte az Apple-t, hogy állítsa vissza az író Apple ID-jét. A GoDaddy-t becsapták egy olyan domain név átfordításával, amely lehetővé tette a Twitter-fiók átvételét. Az én identitásom véletlenül egy másik Dave Greenbaumbal egyesült a MetLife emberi hibájából. Ez a hiba majdnem azt eredményezte, hogy megszüntettem a másik Dave Greenbaum otthoni és auto biztosítását.
Még akkor is, ha egy ember nem felülírja a kétfokozatú beállítást, ez a második jelzés csak egy újabb akadály a támadó számára. Ez egy játék egy hacker számára. Ha tudom, mikor jelentkezik be a Dropboxba, hogy szükségem van egy engedélyezési kódra, akkor mindössze annyit kell tennie, hogy megkapja azt a kódot. Ha nem kapom meg nekem a szöveges üzeneteket (SIM-hack bárki?), Csak meg kell győzni, hogy engedje el nekem ezt a kódot. Ez nem rakéta tudomány. Meg tudnám győzni, hogy visszaadja a kódot? Esetleg. Bízunk a telefonainkban, mint a számítógépeink. Ezért vannak az emberek olyan dolgok miatt, mint egy hamis iCloud bejelentkezési üzenet.
Egy másik igaz történet, ami kétszer is történt velem. A hitelkártyatársaságom gyanús tevékenységet észlelt, és felhívott. Nagy! Ez egy magatartásalapú megközelítés, amelyet később fogok beszélni. Azonban arra kértek, hogy megadjak a teljes hitelkártya számomat telefonon, ha nem hívtam meg. Megdöbbentettek, hogy nem adtam meg nekik a számot. Egy menedzser azt mondta, ritkán panaszkodnak az ügyfelektől. A legtöbb hívó csak átadja a hitelkártya számát. Jaj. Ez lehetett valami különös ember a másik végén, és megpróbálta megszerezni a személyes adataimat.
A jelszavak nem védenek minket
Túl sok jelszó van túl sok helyen az életünkben. A közeg már megszabadult a jelszavaktól. A legtöbben tudják, hogy minden webhelyhez egyedi jelszó szükséges. Ez a megközelítés túl sok ahhoz, hogy megkérdezzük a punci földi agyunkat, akik teljes és gazdag digitális élőben élnek. A jelszókezelők (analóg vagy digitális) segítenek megakadályozni az alkalmi hackereket, de nem kifinomult támadás. Heck, a hackereknek nem kell jelszavakkal rendelkezniük ahhoz, hogy elérjék az egyéni számlákat. Csak betörnek az információ tárolására szolgáló adatbázisokba (Sony, Target, szövetségi kormány).
Vegyünk egy leckét a hitelkártya-társaságokról
Annak ellenére, hogy az algoritmusok talán kicsit ki vannak kapcsolva, a hitelintézeteknek megvan a helyes ötlete. Megnézik a vásárlási mintáinkat és a helyüket, hogy megtudjuk, használják-e kártyáját. Ha Kansas-ban vásárolnak gázt, majd Londonban vásárolnak öltönyt, akkor ez egy probléma.
Miért nem alkalmazhatjuk ezt online fiókjainkra? Egyes vállalatok figyelmeztetéseket külföldi IP-kről (kudos a LastPass-ra, amely lehetővé teszi a felhasználók számára a preferált országok számára a hozzáférést). Ha a telefonom, a számítógépem, a tabletta és a csuklómezője mind Kansasban van, akkor értesítést kell kapnom, ha fiókom máshol érkezik. Legalábbis ezeknek a cégeknek fel kell tennem néhány további kérdést, mielőtt azt feltételeznék, hogy én vagyok, akit mondok. Ez a kapuhely különösen a Google, az Apple és a Facebook fiókok számára szükséges, amelyek az OAuth egyéb fiókjaihoz hitelesítik. A Google és a Facebook figyelmeztetéseket adnak a szokatlan tevékenységekre, de általában csak figyelmeztetés, a figyelmeztetések pedig nem védelem. A hitelkártya-társaságom nem mondja meg a tranzakciót, amíg nem ellenőrzik, hogy ki vagyok. Nem csak azt mondják, hogy "Hé ... gondoltam, tudnia kellene". Saját online fiókjaim nem figyelmeztetnek, hanem blokkolniuk kell a szokatlan tevékenységhez. A legfrissebb csavar a hitelkártya-biztonság, az arcfelismerés. Persze, valaki megteheti az időt, hogy megpróbálja megismételni az arcát, de a hitelkártya-társaságok úgy tűnik, hogy nehezebben dolgoznak, hogy megvédjen minket.
Intelligens asszisztenseink (és eszközök) jobb védelmet nyújtanak
Siri, Alexa, Cortana és Google rengeteg dolgot tud rólunk. Ők intelligensen megjósolják, hova megyünk, hol vagyunk és mi szeretjük. Ezek az asszisztensek fésülik a fotókat, hogy megszervezzük a vakációnkat, emlékezzünk arra, hogy kik vagyunk barátaink, sőt a kedvelt zene is. Ez egy hátborzongató egy szinten, de nagyon hasznos mindennapi életünkben. Ha a Fitbit adatait bíróságon lehet felhasználni, fel lehet azonosítani Önt is.
Amikor online fiókot állít be, a vállalatok kérdőíves kérdéseket kérdeznek meg, mint a középiskola kedvencét vagy a harmadik osztályos tanár nevét. Emlékeink nem olyan kemények, mint a számítógép. Ezekre a kérdésekre nem lehet támaszkodni személyazonosságunk igazolására. Korábban bezártam a számlákat, mert 2011-ben a kedvenc étteremem nem a kedvenc étteremem.
A Google a Smart Lock a Tabletekhez és a Chromebookokhoz az első lépést tett ebben a viselkedési megközelítésben. Ha te vagy, akiről azt mondod, hogy te vagy, akkor valószínűleg közel van hozzád a telefonod. Az Apple tényleg leejtette a labdát az iCloud hack segítségével, így több ezer próbálkozás érkezett ugyanazon IP-címről.
Ahelyett, hogy kiderítenék, melyik dalt akarjuk hallgatni, azt szeretném, hogy ezek az eszközök megvédjék az identitásomat néhány módon.
- Tudod hol vagyok: A mobiltelefonom GPS-jével ismerem a helyemet. Meg kell tudnia mondani a többi eszközt: "Hé, ez jó, engedje be." Ha Timbuktu barangolással járok, akkor ne bízz a jelszavamban, és talán még a második tényezőm is.
- Tudod, hogy mit csinálok: tudod, mikor jelentkezek be, és mi van, így itt az ideje, hogy még néhány kérdést feltesszen. "Sajnálom, hogy Dave, nem tehetem", a válasz lehet, ha általában nem kérem, hogy nyisd ki a kagyló ajtaját.
- Tudja, hogy ellenőrizze: "A hangom az útlevelem, ellenőrizze." Nem, valaki másolni tudja. Ehelyett kérdéseket tegyen fel nekem, amelyek könnyen válaszolnak és emlékeznek, de nehéz megtalálni az interneten. Anyám leánykora könnyen megtalálható, de ahol a múlt héten ettem anyával, nem (nézd meg a naptárat). Ahol találkoztam a gimnáziummal, könnyű kitalálni, de a múlt héten látott filmet nem könnyű megtalálni (csak ellenőrizd az e-mailes bevételeidet).
- Tudod, hogy néz ki: a Facebook felismerhet a fejem hátsó részén, és a Mastercard észlelheti az arcomat. Ezek jobb módszerek annak ellenőrzésére, hogy ki vagyok.
Tudom, hogy nagyon kevés vállalat olyan megoldásokat alkalmaz, mint ez, de ez nem jelenti azt, hogy nem tudok vágyni rájuk. Mielőtt panaszkodna - igen, ezek feltörhetők. A hackerek problémája az, hogy megtudja, melyik másodlagos intézkedéscsomag egy online szolgáltatást használ. Lehet, hogy egy nap egy kérdést feltenni, de a következőt egy önjelzéssel fogalmazza meg.
Az Apple nagy erőfeszítést tesz az adatvédelem érdekében, és nagyra értékelem ezt. Azonban, ha az Apple ID-jám be van jelentkezve, itt az ideje, hogy a Siri proaktívan védjen. A Google Asszisztens és a Cortana is ezt teheti. Talán valaki már fejlesztette ezt, és a Google néhány lépést tett ezen a területen, de most szükségünk van erre! Egészen addig, egy kicsit éberen kell figyelnünk a dolgainkat. Keressen néhány ötletet a következő héten.