Lozinke su razbijene: postoji bolji način za provjeru autentičnosti korisnika

Čini se da svaki tjedan čitamo priče kako se tvrtke i web stranice ugrožavaju, a podaci o potrošačima kradu. Za mnoge od nas najgora je provala kada su lozinke ukradene. LastPass Hack kao jedan od novijih napada. Na neki način, to je oblik digitalnog terorizma koji samo raste. Dvofaktorska provjera autentičnosti i biometrija su lijepe zakrpe za problem, ali zanemaruju temeljna pitanja koja se odnose na upravljanje prijavom. Imamo alate za rješavanje problema, ali nisu pravilno primijenjeni.

Zašto skinemo cipele u Sjedinjenim Državama, ali ne i u Izraelu

Svi koji lete u Sjedinjenim Državama znaju za sigurnost TSA. Skidamo kapute, izbjegavamo tekućine i skidamo cipele prije nego što prođemo kroz sigurnost. Imamo popis nedopuštenih leta na temelju imena. To su reakcije na konkretne prijetnje. To nije način na koji zemlja poput Izraela osigurava sigurnost. Nisam letio El-Al (izraelske nacionalne aviokompanije), ali prijatelji mi pričaju o intervjuima kroz koje prolaze u sigurnosti. Službenici sigurnosti opisuju prijetnje na temelju

osobne karakteristike i ponašanja.

Koristimo pristup TSA mrežnim računima i zato imamo sve sigurnosne probleme. Dvofaktorska provjera identiteta je početak. Ali kad svom računu dodamo drugi faktor, uvučeni smo u lažni osjećaj sigurnosti. Taj drugi faktor štiti od krađe moje lozinke - određene prijetnje. Može li se ugroziti moj drugi faktor? Naravno. Moj bi telefon mogao biti ukraden ili je zlonamjerni softver mogao ugroziti moj drugi faktor.

Ljudski faktor: Socijalni inženjering

Čak i kod dvofaktorskih pristupa, ljudi i dalje imaju mogućnost nadjačati sigurnosne postavke. Prije nekoliko godina, marljiv haker uvjerio je Apple da resetira pisačev Apple ID. GoDaddy bio prevaren pretvaranje imena domene koje je omogućilo preuzimanje računa na Twitteru. Moj identitet je bio slučajno se spojila s drugim Daveom Greenbaumom zbog ljudske pogreške u MetLifeu. Ova pogreška gotovo je rezultirala time što sam otkazao kućno i auto osiguranje drugog Davea Greenbauma.

Čak i ako čovjek ne poništi postavku s dva faktora, taj drugi žeton je samo još jedna prepreka za napadača. To je igra za hakera. Ako znam kada se prijavite na svoj Dropbox, za to mi treba autorizacijski kod, onda sve što trebam učiniti je dobiti taj kod od vas. Ako ne primim vaše SMS poruke prema meni (SIM-hakirati bilo koga?), Samo me moram uvjeriti da mi pustiš taj kod. To nije raketna znanost. Mogu li vas uvjeriti da vratite taj kôd? Možda. Mi vjerujemo našim telefonima više nego našim računalima. Zato ljudi padaju na stvari poput lažna poruka za prijavu u iCloud.

Još jedna istinita priča koja mi se dogodila dva puta. Tvrtka za kreditne kartice primijetila je sumnjivu aktivnost i nazvala me. Sjajno! O pristupu utemeljenom na ponašanju, o kojem ću kasnije govoriti. Međutim, od mene su tražili da dam svoj puni broj kreditne kartice putem telefona s pozivom koji nisam uputio. Bili su šokirani, odbio sam im dati broj. Menadžer mi je rekao da rijetko dobivaju pritužbe kupaca. Većina pozivatelja samo predaje broj kreditne kartice. Joj. To bi mogla bilo koja zlobna osoba na drugom kraju pokušati dobiti moje osobne podatke.

Lozinke nas ne štite

U našem životu imamo previše lozinki na previše mjesta. Srednja je već riješio se lozinke. Većina nas zna da bismo trebali imati jedinstvenu lozinku za svako web mjesto. Takav je pristup previše tražen od naših živahnih mozgova zemaljskog punog i bogatog digitalnog života. Upravitelji lozinkama (analog ili digitalno) pomažu u sprečavanju povremenih hakera, ali ne i sofisticirani napad. Pakao, hakeri uopće ne trebaju lozinke za pristup našim pojedinačnim računima. Oni se samo probijaju u baze podataka u kojima se pohranjuju podaci (Sony, Target, Federalna vlada).

Uzmi lekciju od tvrtki s kreditnim karticama

Iako su algoritmi možda malo isključeni, kreditne kompanije imaju pravu ideju. Gledaju naše obrasce kupnje i lokaciju kako bi saznali upotrebljavate li vašu karticu. Ako kupite benzin u Kansasu, a kupite odijelo u Londonu, to je problem.

Zašto to ne možemo primijeniti na našim internetskim računima? Neke tvrtke nude upozorenja od stranih IP adresa (kudos na LastPass radi puštanja korisnika) postaviti preferirane zemlje za pristup). Ako su moj telefon, računalo, tablet i ručni uređaj svi u Kansasu, trebao bih biti obaviješten ako imam pristup računu negdje drugdje. U najmanju ruku, te bi mi tvrtke trebale postaviti nekoliko dodatnih pitanja prije nego što pretpostave da sam osoba za koju kažem da jesam. Ova vrata su posebno potrebna za Google, Apple i Facebook račune koji se autentificiraju na drugim računima od strane OAuth. Google i Facebook upozoravaju na neuobičajene aktivnosti, ali obično su samo upozorenje, a upozorenja nisu zaštita. Tvrtka za izdavanje mojih kreditnih kartica ne odgovara na transakciju dok ne provjere tko sam. Jednostavno ne kažu "Hej... mislio sam da bi trebao znati". Moji mrežni računi ne bi trebali upozoravati, trebali bi blokirati neuobičajene aktivnosti. Najnoviji značaj sigurnosti kreditne kartice je prepoznavanje lica. Naravno, netko može odvojiti vrijeme da vam pokuša umnožiti lice, ali čini se da tvrtke koje se bave kreditnim karticama teže rade na zaštiti nas.

Naši pametni pomoćnici (i uređaji) su bolja obrana

Siri, Alexa, Cortana i Google znaju mnoštvo stvari o nama. Oni inteligentno predviđaju gdje idemo, gdje smo bili i što volimo. Ovi pomoćnici kombiniraju naše fotografije kako bi organizirali naš odmor, sjećaju se tko su nam prijatelji, pa čak i glazbu koja nam se sviđa. To je jezivo na jednoj razini, ali vrlo korisno u našem svakodnevnom životu. Ako se vaši Fitbit podaci mogu upotrijebiti na sudu, mogu biti i to koristi se za identifikaciju.

Kada postavljate mrežni račun, tvrtke vam postavljaju glupa pitanja kao što su ime vašeg ljubimca iz srednje škole ili trećeg razreda. Naša sjećanja nisu toliko čvrsta kao računalo. Na ta se pitanja ne može pouzdati kako bi potvrdili naš identitet. Ranije sam bio zaključan sa računa, jer, primjerice, moj omiljeni restoran 2011. nije moj omiljeni restoran.

Google je učinio prvi korak u ovom bihevioralnom pristupu Smart Lock-om za tablete i Chromebookove. Ako ste tko kažete da jeste, vjerojatno imate telefon u blizini. Apple je stvarno bacio loptu pomoću iCloud haka, omogućuju tisuće pokušaja s iste IP adrese.

Umjesto da shvatimo koju pjesmu želimo slušati dalje, želim da ti uređaji zaštite moj identitet na nekoliko načina.

1. Znate gdje sam: S GPS-a mog mobilnog telefona, on zna moju lokaciju. Morao bi moći reći drugim uređajima "Hej, u redu je, pusti ga unutra." Ako sam u Timbuktu u roamingu, ne biste mi trebali vjerovati u moju lozinku, pa čak ni moj drugi faktor.
2. Znate što ja radim: Znate kad se prijavim i s čime, pa je vrijeme da mi postavite još nekoliko pitanja. "Žao mi je Dave, ne mogu to učiniti", trebao bi biti odgovor kada te obično ne zamolim da otvoriš vrata odjeljka.
3. Znate kako to potvrditi: "Glas mi je putovnica, potvrdi me." Ne, to može netko kopirati. Umjesto toga, postavite mi pitanja na koja je lako odgovoriti i zapamtiti, ali ih je teško naći na Internetu. Djevojačko prezime moje majke možda je lako naći, ali tamo gdje sam ručao prošli tjedan s mamom nije (pogledajte moj kalendar). Gdje sam sreo svog dragog iz srednje škole, lako je pogoditi, ali koji film koji sam pogledao prošli tjedan nije lako pronaći (samo provjerite moje potvrde e-pošte).
4. Znate kako izgledam: Facebook me može prepoznati po stražnji dio glave a Mastercard može otkriti moje lice. Ovo su bolji načini provjere tko sam.

Znam da vrlo malo tvrtki implementira takva rješenja, ali to ne znači da ne mogu poželjeti za njima. Prije nego što se žalite - da, ovo može biti sjeckano. Problem hakera bit će znati koji skup sekundarnih mjera internetska usluga koristi. Možda će vam to postavljati pitanje jedan dan, ali sljedeći dan selfie.

Apple čini veliki pritisak da zaštiti moju privatnost i to cijenim. Međutim, nakon što se prijavi moj Apple ID, vrijeme je da me Siri proaktivno štiti. Google Now i Cortana to mogu učiniti. Možda to netko već razvija, a Google napreduje na ovom području, ali ovo nam sada treba! Do tog vremena trebamo biti malo pažljiviji u zaštiti svojih stvari. Potražite neke ideje o tome sljedeći tjedan.