Parolele sunt rupte Există o modalitate mai bună de a autentifica utilizatorii
Fotografie de către polomex - http://flic.kr/p/cCzxju
De ce ne luăm pantofii în Statele Unite, dar nu în Israel
Oricine a zburat în Statele Unite știe despre securitatea TSA. Ne scoatem hainele, evităm lichidele și ne scoatem încălțămintea înainte de a trece prin securitate. Avem o listă fără zbor bazată pe nume. Acestea sunt reacții la amenințări specifice. Nu este așa cum o țară ca Israel face siguranță. Nu am zburat cu El-Al (companiile aeriene naționale ale Israelului), dar prietenii îmi spun despre interviurile pe care le parcurg în domeniul securității. Comandanții securității codifică amenințările pe baza caracteristicilor și comportamentelor personale.
Fotografie de Ben Popken
Luăm abordarea TSA în conturile online și de aceea avem toate problemele de securitate. Autentificarea cu două factori este un început. Totuși, atunci când adăugăm un al doilea factor în conturile noastre, suntem lămurit într-un fals sentiment de securitate. Cel de-al doilea factor protejează împotriva faptului că cineva mi-a furat parola - o amenințare specifică. Ar putea fi compromis al doilea factor? Sigur. Telefonul meu ar putea fi furat sau malware-ul ar putea compromite cel de-al doilea factor.
Factorul uman: Ingineria socială
Fotografie de Kevin Baird
Chiar și cu abordări cu două factori, oamenii au încă abilitatea de a suprascrie setările de securitate. Cu câțiva ani în urmă, un hacker harnic la convins pe Apple să restituie ID-ul scriitorului Apple. GoDaddy a fost înșelat să transforme un nume de domeniu care a permis preluarea unui cont Twitter. Identitatea mea a fuzionat accidental cu un alt Dave Greenbaum din cauza unei greșeli umane la MetLife. Această greșeală aproape a dus la anularea acasă și asigurarea auto a celuilalt Dave Greenbaum.
Chiar dacă un om nu suprascrie un set de două factori, acel al doilea simbol este doar un alt obstacol pentru atacator. Este un joc pentru un hacker. Dacă știu când vă conectați la Dropbox că am nevoie de un cod de autorizare, atunci tot ce trebuie să fac este să obțin codul de la dvs. Dacă nu primesc mesajele mele text direcționate către mine (SIM-hack anyone), trebuie doar să te conving să-mi eliberezi acel cod. Aceasta nu este știința rachetelor. Pot să te conving să dai codul înapoi? Eventual. Avem încredere în telefoanele noastre mai mult decât computerele noastre. De aceea, oamenii cad pentru lucruri ca un mesaj fals iCloud de conectare.
O altă poveste adevărată care mi sa întâmplat de două ori. Compania mea de carduri de credit a observat o activitate suspectă și mi-a sunat. Grozav! Aceasta este o abordare bazată pe comportament pe care o voi vorbi mai târziu. Cu toate acestea, mi-au cerut să-mi dau numărul de card de credit complet prin telefon cu un apel pe care nu l-am făcut. Au fost șocați, am refuzat să le dau numărul. Un manager mi-a spus că rar primesc plângeri din partea clienților. Majoritatea apelanților trebuie să predea numărul cardului de credit. Ouch. Asta ar putea fi orice persoană furioasă în celălalt capăt încercând să obțină datele mele personale.
Parolele nu ne protejează
Fotografie de ditatompel
Avem prea multe parole în viața noastră în prea multe locuri. Mediu a scăpat deja de parole. Mulți dintre noi știu că ar trebui să avem o parolă unică pentru fiecare site. Această abordare este prea mult de întrebat de creierii noștri pământeni care trăiesc o viață digitală plină și bogată. Managerii de parole (analogi sau digitali) ajută la prevenirea hackerilor casual, dar nu la un atac sofisticat. Heck, hackerii nu au nevoie chiar de parole pentru a accesa conturile noastre individuale. Ei doar intră în bazele de date care stochează informațiile (Sony, Target, Guvernul Federal).
Faceți o lecție de la companiile cărții de credit
Chiar dacă algoritmii ar putea fi puțin opriți, companiile de credit au ideea potrivită. Ei se uită la modelele noastre de cumpărături și locația pentru a ști dacă folosiți cardul. Dacă cumperi gaz în Kansas și apoi cumperi un costum la Londra, este o problemă.
Fotografie de kozumel
De ce nu putem aplica acest lucru conturilor noastre online? Unele companii oferă alerte din partea IP-urilor străine (kudos către LastPass pentru a permite utilizatorilor să stabilească țările preferate pentru acces). Dacă telefonul meu, computerul, tableta și dispozitivul pentru încheietura mâinii sunt toate în Kansas, atunci ar trebui să fiu informat dacă contul meu este accesat în altă parte. Cel puțin, aceste companii ar trebui să-mi pună câteva întrebări suplimentare înainte de a presupune că eu sunt cel care spun că sunt. Această operațiune de păstrare este necesară în special pentru conturile Google, Apple și Facebook, care se autentifică în alte conturi de către OAuth. Google și Facebook dau avertismente pentru o activitate neobișnuită, dar de obicei sunt doar un avertisment, iar avertismentele nu sunt protecție. Compania mea de carduri de credit spune nu la tranzacție până când nu verifică cine sunt. Ei nu spun "Hei ... credeai că ar trebui să știi". Conturile mele online nu ar trebui să avertizeze, ar trebui să blocheze pentru activități neobișnuite. Cea mai nouă răsfoire a securității cărților de credit este recunoașterea facială. Sigur, cineva poate lua timp pentru a încerca să vă duplică fața, dar companiile cărții de credit par să lucreze mai mult pentru a ne proteja.
Asistenții noștri inteligenți (și dispozitivele) sunt o apărare mai bună
Fotografie de Foomandoonian
Siri, Alexa, Cortana și Google știu o mulțime de lucruri despre noi. Ei prezic inteligent unde mergem, unde am fost și ce ne place. Acești asistenți împlinesc fotografiile pentru a ne organiza vacanțele, amintiți-vă cine sunt prietenii noștri și chiar muzica care ne place. Este înfiorător pe un singur nivel, dar foarte util în viața noastră de zi cu zi. Dacă datele dvs. Fitbit pot fi utilizate în instanță, acestea pot fi, de asemenea, folosite pentru a vă identifica.
Când creați un cont online, companiile vă întreabă întrebări prost cum ar fi numele iubitului tău de liceu sau al profesorului tău de clasa a treia. Amintirile noastre nu sunt la fel de solide ca un computer. Aceste întrebări nu pot fi invocate pentru a ne confirma identitatea. Am fost blocat din cont înainte, pentru că restaurantul meu preferat în 2011 nu este restaurantul meu preferat astăzi, de exemplu.
Google a făcut primul pas în această abordare comportamentală cu Smart Lock pentru tablete și Chromebookuri. Dacă sunteți ceea ce spuneți că sunteți, probabil că aveți telefonul aproape de dvs. Apple a renunțat într-adevăr mingea cu iCloud hack, permițând mii de încercări de la aceeași adresă IP.
În loc să ne imaginăm ce melodie vrem să ascultăm în continuare, vreau ca aceste dispozitive să-mi protejeze identitatea în câteva moduri.
- Știi unde sunt: cu GPS-ul telefonului meu mobil, știe locația mea. Ar trebui să fie capabil să-mi spună alte dispozitive "Hei, e cool, lasă-l să intre." Dacă sunt în Timbuktu roaming, nu ar trebui să ai încredere în parola mea și poate chiar al doilea factor.
- Știți ce fac: Știți când mă loghez și cu ce, deci e timpul să-mi mai puneți câteva întrebări. "Îmi pare rău, Dave, nu pot face asta" ar trebui să fie răspunsul când nu vă cer în mod normal să deschideți ușile.
- Știi cum să mă verifici: "Vocea mea este pașaportul meu, verifică-mă". Nu, oricine poate copia asta. În schimb, întrebați-mi întrebări care sunt ușor de răspuns și de amintit, dar greu de găsit pe Internet. Numele meu de fată al mamei mele poate fi ușor de găsit, dar unde am mâncat masa de prânz săptămâna trecută, cu mama nu este (uitați-vă la calendarul meu). Unde am întâlnit iubitul meu de liceu este ușor de ghicit, dar filmul pe care l-am văzut săptămâna trecută nu este ușor de găsit (verificați doar facturile mele de e-mail).
- Știți cum arăt: Facebook mă poate recunoaște pe spatele capului, iar Mastercard îmi poate detecta fața. Acestea sunt modalități mai bune de a verifica cine sunt.
Știu că foarte puține companii implementează soluții de genul acesta, dar asta nu înseamnă că nu le pot lăuda. Înainte de a vă plânge - da, acestea pot fi hackate. Problema pentru hackeri va fi să știe ce set de măsuri secundare utilizează un serviciu online. S-ar putea pune o întrebare într-o zi, dar să ia o autoevaluare.
Apple face o impresie mare pentru a-mi proteja intimitatea și apreciez asta. Cu toate acestea, odată ce Apple ID-ul meu este conectat, este timpul ca Siri să mă protejeze proactiv. Google Now și Cortana pot face și acest lucru. Poate că cineva dezvoltă deja acest lucru, iar Google face pași în acest domeniu, dar avem nevoie de asta acum! Până atunci, trebuie să fim puțin mai vigilenți în a ne proteja lucrurile. Căutați câteva idei săptămâna viitoare.