Οι κωδικοί πρόσβασης είναι σπασμένοι: Υπάρχει καλύτερος τρόπος για τον έλεγχο των χρηστών

Κάθε εβδομάδα φαίνεται ότι διαβάζουμε ιστορίες εταιρειών και ιστότοπων που διακυβεύονται και κλέβονται δεδομένα για τους καταναλωτές. Για πολλούς από εμάς, οι χειρότερες εισβολές είναι όταν κλέβονται κωδικοί πρόσβασης. ο LastPass Hack που είναι μια από τις πιο πρόσφατες επιθέσεις. Με πολλούς τρόπους, είναι μια μορφή ψηφιακής τρομοκρατίας που αυξάνεται μόνο. Έλεγχος ταυτότητας δύο παραγόντων και βιομετρικά στοιχεία είναι ωραία μπαλώματα στο πρόβλημα, αλλά αγνοούν τα θεμελιώδη ζητήματα που σχετίζονται με τη διαχείριση σύνδεσης. Έχουμε τα εργαλεία για την επίλυση του προβλήματος, αλλά δεν έχουν εφαρμοστεί σωστά.

Γιατί βγάζουμε τα παπούτσια μας στις Ηνωμένες Πολιτείες αλλά όχι στο Ισραήλ

Όποιος πετάξει στις Ηνωμένες Πολιτείες ξέρει για την ασφάλεια της TSA. Βγάζουμε τα παλτά μας, αποφεύγουμε τα υγρά και βγάζουμε τα παπούτσια μας προτού περάσουμε από την ασφάλεια. Έχουμε μια λίστα χωρίς μύγα που βασίζεται σε ονόματα. Αυτές είναι αντιδράσεις σε συγκεκριμένες απειλές. Αυτός δεν είναι ο τρόπος που μια χώρα όπως το Ισραήλ κάνει ασφάλεια. Δεν έχω πετάξει τον El-Al (τις εθνικές αεροπορικές εταιρείες του Ισραήλ), αλλά οι φίλοι μου λένε για τις συνεντεύξεις που διέρχονται από την ασφάλεια. Οι απειλές κώδικα αξιωματικών ασφαλείας βασίζονται σε

τα προσωπικά χαρακτηριστικά και τις συμπεριφορές.

Παίρνουμε την προσέγγιση TSA στους λογαριασμούς στο διαδίκτυο και γι 'αυτό έχουμε όλα τα προβλήματα ασφάλειας. Ο έλεγχος ταυτότητας δύο παραγόντων είναι μια αρχή. Ωστόσο, όταν προσθέτουμε ένα δεύτερο παράγοντα στους λογαριασμούς μας, παρασυρόμαστε από μια ψεύτικη αίσθηση ασφάλειας. Αυτός ο δεύτερος παράγοντας προστατεύει από κάποιον που κλέβει τον κωδικό μου - μια συγκεκριμένη απειλή. Μπορεί ο δεύτερος παράγοντας μου να παραβιαστεί; Σίγουρος. Το τηλέφωνό μου θα μπορούσε να κλαπεί ή το κακόβουλο λογισμικό θα μπορούσε να θέσει σε κίνδυνο τον δεύτερο παράγοντα.

Ο Ανθρώπινος Παράγοντας: Κοινωνική Μηχανική

Ακόμη και με προσεγγίσεις δύο παραγόντων, οι άνθρωποι εξακολουθούν να έχουν τη δυνατότητα να παρακάμπτουν τις ρυθμίσεις ασφαλείας. Πριν από μερικά χρόνια, ένας εργάτης χάκερ έπεισε την Apple να επαναφέρει την ταυτότητα του συγγραφέα της Apple. Πάμε μπαμπά ήταν εξαπατημένο στην μετατροπή ενός ονόματος τομέα που επέτρεψε την εξαγορά του λογαριασμού Twitter. Η ταυτότητά μου ήταν συγχέεται τυχαία με έναν άλλο Dave Greenbaum λόγω ανθρώπινου λάθους στη MetLife. Αυτό το λάθος είχε σχεδόν ως αποτέλεσμα να ακυρώσω την ασφάλιση κατοικίας και αυτοκινήτου του άλλου Dave Greenbaum.

Ακόμα κι αν ένας άνθρωπος δεν παρακάμπτει μια ρύθμιση δύο παραγόντων, αυτό το δεύτερο διακριτικό είναι απλώς ένα άλλο εμπόδιο για τον εισβολέα. Είναι ένα παιχνίδι για έναν χάκερ. Αν γνωρίζω πότε θα συνδεθείτε στο Dropbox σας για τον οποίο χρειάζομαι έναν κωδικό εξουσιοδότησης, τότε το μόνο που χρειάζεται να κάνω είναι να πάρω αυτόν τον κώδικα από εσάς. Αν δεν λάβω τα μηνύματα κειμένου μου (SIM-hack κανέναν?), Απλά πρέπει να σε πείσω να απελευθερώσεις αυτόν τον κώδικα σε μένα. Αυτό δεν είναι επιστήμη πυραύλων. Θα μπορούσα να σας πείσω να δώσετε αυτόν τον κωδικό; Πιθανώς. Ελπίζουμε τα τηλέφωνά μας περισσότερο από τους υπολογιστές μας. Αυτός είναι ο λόγος για τον οποίο οι άνθρωποι πέφτουν για πράγματα όπως α ψεύτικο μήνυμα σύνδεσης iCloud.

Μια άλλη αληθινή ιστορία που μου συνέβη δύο φορές. Η εταιρεία της πιστωτικής μου κάρτας παρατήρησε ύποπτη δραστηριότητα και μου τηλεφώνησε. Εξαιρετική! Αυτή είναι μια προσέγγιση βασισμένη στη συμπεριφορά για την οποία θα μιλήσω αργότερα. Ωστόσο, με ζήτησαν να δώσω τον πλήρη αριθμό της πιστωτικής μου κάρτας μέσω τηλεφώνου με μια κλήση που δεν έκανα. Ήταν συγκλονισμένοι και αρνήθηκα να τους δώσω τον αριθμό. Ένας διευθυντής μου είπε ότι σπάνια λαμβάνουν παράπονα από πελάτες. Οι περισσότεροι καλούντες απλώς παραδίδουν τον αριθμό της πιστωτικής κάρτας. Ωχ. Αυτό θα μπορούσε να ήταν οποιοδήποτε κακόβουλο άτομο από την άλλη πλευρά προσπαθώντας να πάρει τα προσωπικά μου δεδομένα.

Οι κωδικοί πρόσβασης δεν μας προστατεύουν

Έχουμε πάρα πολλούς κωδικούς πρόσβασης στη ζωή μας σε πάρα πολλά μέρη. Μεσαίο έχει ήδη Ξεφορτωθώ τους κωδικούς πρόσβασης. Οι περισσότεροι από εμάς γνωρίζουμε ότι πρέπει να έχουμε έναν μοναδικό κωδικό πρόσβασης για κάθε τοποθεσία. Αυτή η προσέγγιση είναι πολύ μεγάλη για να ζητήσουμε από τους αδίστακτους εγκέφαλους μας που ζουν μια πλούσια και πλούσια ψηφιακή ζωντανή. Διαχειριστές κωδικών πρόσβασης (αναλογικό ή ψηφιακή) βοηθούν στην πρόληψη των περιστασιακών χάκερ, αλλά όχι σε πολύπλοκες επιθέσεις. Heck, οι χάκερ δεν χρειάζονται καν κωδικούς πρόσβασης για να έχουν πρόσβαση στους μεμονωμένους λογαριασμούς μας. Μόλις εισέλθουν στις βάσεις δεδομένων που αποθηκεύουν τις πληροφορίες (Sony, Target, Federal Government).

Πάρτε ένα μάθημα από τις εταιρείες πιστωτικών καρτών

Ακόμα κι αν οι αλγόριθμοι μπορεί να είναι λίγο μακριά, πιστωτικές εταιρείες έχουν τη σωστή ιδέα. Κοιτάζουν τα μοντέλα αγορών και την τοποθεσία μας για να μάθουμε αν χρησιμοποιείτε την κάρτα σας. Εάν αγοράσετε φυσικό αέριο στο Κάνσας και στη συνέχεια αγοράσετε ένα κοστούμι στο Λονδίνο, αυτό είναι ένα πρόβλημα.

Γιατί δεν μπορούμε να το εφαρμόσουμε στους λογαριασμούς μας στο διαδίκτυο; Ορισμένες εταιρείες προσφέρουν ειδοποιήσεις από ξένες διευθύνσεις IP (kudos στο LastPass για την εκμίσθωση χρηστών ορίστε τις προτιμώμενες χώρες για πρόσβαση). Εάν το τηλέφωνό μου, ο υπολογιστής μου, ο tablet και ο καρπός μου είναι όλα στο Kansas, τότε θα πρέπει να ενημερώνομαι αν έχει πρόσβαση ο λογαριασμός μου κάπου αλλού. Τουλάχιστον, αυτές οι εταιρείες θα πρέπει να μου ζητήσουν μερικές επιπλέον ερωτήσεις προτού υποθέσω ότι είμαι που λέω ότι είμαι. Αυτή η υπηρεσία θυρωρού είναι ιδιαίτερα απαραίτητη για λογαριασμούς Google, Apple και Facebook, οι οποίοι πιστοποιούνται από άλλους λογαριασμούς από την OAuth. Google και Facebook δίνουν προειδοποιήσεις για ασυνήθιστη δραστηριότητα, αλλά είναι συνήθως μια προειδοποίηση και οι προειδοποιήσεις δεν είναι προστασία. Η εταιρεία της πιστωτικής μου κάρτας λέει όχι στη συναλλαγή μέχρι να επιβεβαιώσουν ποιος είμαι. Απλά δεν λένε "Γεια σου... σκέφτηκα ότι πρέπει να ξέρετε". Οι online λογαριασμοί μου δεν πρέπει να προειδοποιούν, θα πρέπει να μπλοκάρουν για ασυνήθιστη δραστηριότητα. Η πιο πρόσφατη συστροφή στην ασφάλεια πιστωτικών καρτών είναι αναγνώριση προσώπου. Σίγουρα, κάποιος μπορεί να πάρει το χρόνο για να προσπαθήσει να διπλασιάσει το πρόσωπό σας, αλλά οι εταιρείες πιστωτικών καρτών φαίνεται να εργάζονται σκληρότερα για να μας προστατεύσουν.

Οι έξυπνοι βοηθοί μας (και οι συσκευές) είναι μια καλύτερη άμυνα

Το Siri, η Alexa, η Cortana και η Google γνωρίζουν έναν τόνο για μας. Πρόβλεπαν με έξυπνο τρόπο πού πηγαίνουμε, όπου βρισκόμαστε και τι μας αρέσει. Αυτοί οι βοηθοί χτενίζουν τις φωτογραφίες μας για να οργανώσουν τις διακοπές μας, θυμηθείτε ποιοι είναι οι φίλοι μας και ακόμη και τη μουσική που μας αρέσει. Είναι ανατριχιαστικό σε ένα επίπεδο, αλλά πολύ χρήσιμο στην καθημερινή μας ζωή. Εάν τα δεδομένα Fitbit σας μπορούν να χρησιμοποιηθούν σε δικαστήριο, μπορεί επίσης να είναι που χρησιμοποιείται για την αναγνώρισή σας.

Όταν δημιουργείτε ένα λογαριασμό στο διαδίκτυο, οι εταιρείες σας ρωτούν να σας προκαλούν χαζές ερωτήσεις όπως το όνομα του αγαπημένου σας γυμνασίου ή του δασκάλου τρίτου βαθμού σας. Οι αναμνήσεις μας δεν είναι τόσο σταθερές όσο ο υπολογιστής. Αυτές οι ερωτήσεις δεν μπορούν να βασιστούν στην επαλήθευση της ταυτότητάς μας. Έχω κλειδωθεί από τους λογαριασμούς πριν, επειδή το αγαπημένο μου εστιατόριο το 2011 δεν είναι το αγαπημένο μου εστιατόριο σήμερα για παράδειγμα.

Η Google έχει κάνει το πρώτο βήμα σε αυτήν την προσέγγιση συμπεριφοράς με το Smart Lock για tablet και Chromebook. Εάν είστε εσείς που λέτε ότι είστε, τότε πιθανόν να έχετε το τηλέφωνό σας κοντά σας. Η Apple έριξε πραγματικά την μπάλα με το iCloud hack, επιτρέποντας χιλιάδες απόπειρες από την ίδια διεύθυνση IP.

Αντί να υπολογίσουμε ποιο τραγούδι θέλουμε να ακούσουμε στη συνέχεια, θέλω αυτές οι συσκευές να προστατεύσουν την ταυτότητά μου με λίγους τρόπους.

1. Ξέρεις πού είμαι: Με το GPS του κινητού μου τηλεφώνου, γνωρίζει την τοποθεσία μου. Θα πρέπει να είναι σε θέση να πει τις άλλες συσκευές μου "Γεια σου, είναι δροσερό, αφήστε τον μέσα." Αν είμαι σε Timbuktu περιαγωγής, δεν πρέπει να εμπιστεύεστε πραγματικά τον κωδικό μου και ίσως ακόμη και το δεύτερο παράγοντα.
2. Ξέρεις τι κάνω: Ξέρεις πότε μπαίνω και με τι, έτσι είναι καιρός να με ρωτήσεις μερικές ακόμη ερωτήσεις. "Λυπάμαι ο Ντέιβ, δεν μπορώ να το κάνω αυτό" θα πρέπει να είναι η απάντηση όταν συνήθως δεν σας ζητώ να ανοίξετε τις πόρτες του ποταμού.
3. Ξέρεις πώς να με επαληθεύεις: "Η φωνή μου είναι το διαβατήριό μου, επιβεβαιώστε μου". Όχι, ο καθένας μπορεί να το αντιγράψει. Αντ 'αυτού, ρωτήστε μου ερωτήσεις που είναι εύκολο να απαντήσω και να θυμηθώ, αλλά δύσκολο να βρω στο Διαδίκτυο. Το πατρικό όνομα της μητέρας μου μπορεί να είναι εύκολο να βρεθεί, αλλά όπου έφαγα μεσημέρι την περασμένη εβδομάδα με τη μαμά δεν είναι (κοιτάξτε το ημερολόγιό μου). Εκεί που γνώρισα το γυμνάσιο μου είναι εύκολο να μαντέψω, αλλά ποια ταινία είδα την περασμένη εβδομάδα δεν είναι εύκολο να βρεθεί (απλώς ελέγξτε τις αποδείξεις ηλεκτρονικού ταχυδρομείου μου).
4. Ξέρεις τι μοιάζω: Το Facebook μπορεί να με αναγνωρίσει από το πίσω από το κεφάλι μου και η Mastercard μπορεί να ανιχνεύσει το πρόσωπό μου. Αυτοί είναι καλύτεροι τρόποι επαλήθευσης του ποιος είμαι.

Ξέρω ότι πολύ λίγες εταιρείες εφαρμόζουν τέτοιες λύσεις, αλλά αυτό δεν σημαίνει ότι δεν μπορώ να τους ευχαριστήσω. Πριν διαμαρτυρηθείτε - ναι, αυτά μπορούν να χαραχτούν. Το πρόβλημα για τους χάκερς θα είναι να γνωρίζουμε ποια σειρά δευτερευόντων μέτρων χρησιμοποιεί μια ηλεκτρονική υπηρεσία. Θα μπορούσε να κάνει μια ερώτηση μια μέρα, αλλά να πάρει ένα selfie το επόμενο.

Η Apple κάνει μια μεγάλη ώθηση για να προστατεύσει την ιδιωτικότητά μου και το εκτιμώ. Ωστόσο, μόλις συνδεθεί το αναγνωριστικό της Apple μου, ήρθε η ώρα η Siri να με προστατεύει προληπτικά. Το Google Now και η Cortana μπορούν να το κάνουν και αυτό. Ίσως κάποιος να το αναπτύξει ήδη, και η Google κάνει κάποια βήματα στον τομέα αυτό, αλλά χρειαζόμαστε αυτό τώρα! Μέχρι αυτή την εποχή, πρέπει να είμαστε λίγο πιο επαγρυπνοί για την προστασία του περιεχομένου μας. Ψάξτε για μερικές ιδέες την επόμενη εβδομάδα.