Heslá sú prerušené: Existuje lepší spôsob, ako autentifikovať používateľov

Zdá sa, že každý týždeň čítame príbehy o ohrození spoločností a webových stránok a odcudzení údajov o spotrebiteľoch. Pre mnohých z nás sú najhoršie vlámania v prípade odcudzenia hesiel. LastPass Hack je jedným z posledných útokov. Možno je to forma digitálneho terorizmu, ktorá iba rastie. Dvojfaktorová autentifikácia a biometrie sú pekné záplaty k problému, ignorujú však základné problémy súvisiace so správou prihlásení. Máme nástroje na vyriešenie problému, ale neboli správne aplikované.

Prečo si vyzliekame topánky v USA, ale nie v Izraeli

Každý, kto sa prepravuje v Spojených štátoch, vie o bezpečnosti TSA. Zložíme si kabáty, vyhneme sa tekutinám a zložíme si topánky, než pôjdeme cez bezpečnosť. Máme zoznam bezletových letov na základe mien. Toto sú reakcie na konkrétne hrozby. To nie je spôsob, akým krajina ako Izrael robí bezpečnosť. Nebol som preletený El-Al (izraelské národné letecké spoločnosti), ale priatelia mi hovoria o rozhovoroch, ktoré absolvujú v bezpečí. Bezpečnostní dôstojníci kódujú hrozby na základe

osobné vlastnosti a správanie.

Zvažujeme prístup TSA k online účtom, a preto máme všetky bezpečnostné problémy. Dvojfaktorová autentifikácia je začiatok. Keď však na naše účty pridáme druhý faktor, dostávame sa do falošného pocitu bezpečia. Tento druhý faktor chráni pred tým, ako niekto ukradne moje heslo - špecifickú hrozbu. Môže byť môj druhý faktor ohrozený? Samozrejme. Môj telefón by mohol byť ukradnutý alebo malvér by mohol ohroziť môj druhý faktor.

Ľudský faktor: sociálne inžinierstvo

Aj pri dvojfaktorových prístupoch majú ľudia stále možnosť prepísať nastavenie zabezpečenia. Pred niekoľkými rokmi, usilovný hacker presvedčil Apple, aby resetoval Appleove ID spisovateľa. Do toho, ocko bol podvedený na zmenu názvu domény, ktorý umožnil prevzatie účtu Twitter. Moja identita bola náhodou sa spojil s ďalším Dave Greenbaumom kvôli ľudskej chybe v spoločnosti MetLife. Táto chyba takmer vyústila do zrušenia poistenia domácnosti a auto druhého Dave Greenbaum.

Aj keď človek neprepíše nastavenie dvoch faktorov, druhý token je len ďalšou prekážkou pre útočníka. Je to hra pre hackerov. Ak viem, keď sa prihlásim do Dropboxu, pre ktorý potrebujem autorizačný kód, potom všetko, čo musím urobiť, je získať ten kód od teba. Ak nedostanem vaše textové správy na mňa (SIM niekto zasekne?), Len vás musím presvedčiť, aby ste mi tento kód vydali. Toto nie je raketová veda. Môžem vás presvedčiť, aby ste vrátili tento kód? Možno. Dôverujeme našim telefónom viac ako našim počítačom. Preto ľudia padajú na veci ako falošná prihlasovacia správa iCloud.

Ďalší pravdivý príbeh, ktorý sa mi dvakrát stal. Moja spoločnosť vydávajúca kreditné karty si všimla podozrivú aktivitu a zavolala mi. Skvelé! To je prístup založený na správaní, o ktorom budem hovoriť neskôr. Požiadali ma však, aby som telefonicky uviedol celé číslo svojej kreditnej karty s telefonátom, ktorý som neuskutočnil. Boli šokovaní, že som im odmietla dať číslo. Manažér mi povedal, že zriedka dostávajú sťažnosti od zákazníkov. Väčšina volajúcich len odovzdá číslo kreditnej karty. Ouch. Mohla to byť akákoľvek nekalá osoba na druhej strane, ktorá by sa snažila získať moje osobné údaje.

Heslá nás nechránia

Máme príliš veľa hesiel v našom živote na príliš mnohých miestach. Médium už existuje zbavil sa hesiel. Väčšina z nás vie, že by sme mali mať jedinečné heslo pre každú stránku. Tento prístup je príliš veľký na to, aby sme sa pýtali na naše maličké pozemské mozgy, ktoré žijú v plnom a bohatom digitálnom živote. Správcovia hesiel (analógový alebo digitálne) pomáhajú predchádzať náhodným hackerom, ale nie sofistikovaný útok. Heck, hackeri nepotrebujú ani heslá na prístup k našim individuálnym účtom. Jednoducho sa dostanú do databáz, v ktorých sú uložené informácie (Sony, Target, Federal Government).

Urobte si lekciu od spoločností vydávajúcich kreditné karty

Aj keď algoritmy môžu byť trochu mimo, úverové spoločnosti majú správny nápad. Pozerajú sa na naše nákupné vzorce a polohu, aby zistili, či používate kartu. Ak si kúpite plyn v Kansase a potom si kúpite oblek v Londýne, je to problém.

Prečo to nemôžeme uplatniť na naše online účty? Niektoré spoločnosti ponúkajú upozornenie zo zahraničných IP (kudos na LastPass), aby umožnili používateľom nastaviť preferované krajiny pre prístup). Ak sú môj telefón, počítač, tablet a zápästie v Kansase, mal by som byť upozornený, ak je môj účet prístupný niekde inde. Tieto spoločnosti by mi mali prinajmenšom položiť niekoľko ďalších otázok skôr, ako sa domnievajú, že som tým, kto hovorím. Toto gatekeeping je potrebné najmä pre účty Google, Apple a Facebook, ktoré sa autentifikujú na iné účty prostredníctvom protokolu OAuth. Google a Facebook varovať pred neobvyklou činnosťou, zvyčajne sú však iba varovaním a varovania nie sú ochranou. Moja spoločnosť vydávajúca kreditné karty k transakcii hovorí nie, kým neoveria, kto som. Jednoducho nehovoria „Hej... myslel si, že by si to mal vedieť“. Moje online účty by nemali varovať, mali by blokovať nezvyčajnú aktivitu. Najnovší zvrat v oblasti zabezpečenia kreditných kariet je rozpoznávanie tváre. Iste, niekto môže mať čas na to, aby sa pokúsil duplikovať vašu tvár, ale zdá sa, že spoločnosti vydávajúce kreditné karty tvrdšie pracujú na ochrane nás.

Naši inteligentní asistenti (a zariadenia) sú lepšou obranou

Siri, Alexa, Cortana a Google o nás vedia veľa vecí. Inteligentne predpovedajú, kam ideme, kam sme boli a čo sa nám páči. Títo asistenti vyčesávajú naše fotografie, aby si usporiadali dovolenku, pamätali si, kto sú naši priatelia a dokonca aj hudbu, ktorú máme radi. Je strašidelný na jednej úrovni, ale v našom každodennom živote je veľmi užitočný. Ak je možné vaše údaje Fitbit použiť na súde, môžu to tak byť používa sa na vašu identifikáciu.

Pri zriaďovaní online účtu vám spoločnosti kladú otázky, ako sú hlúpe výzvy, ako je meno vášho miláčika na strednej škole alebo vášho učiteľa v treťom ročníku. Naše spomienky nie sú také pevné ako počítač. Na tieto otázky sa nemožno spoľahnúť pri overovaní našej totožnosti. Už som bol predtým zablokovaný z účtov, pretože moja obľúbená reštaurácia v roku 2011 napríklad dnes nie je moja obľúbená reštaurácia.

Spoločnosť Google urobila prvý krok v tomto prístupe správania pomocou funkcie Smart Lock pre tablety a Chromebooky. Ak ste tým, koho hovoríte, pravdepodobne máte telefón nablízku. Apple naozaj spadol loptu s iCloud hack, čo umožňuje tisíce pokusov z tej istej adresy IP.

Namiesto toho, aby som zistil, ktorú skladbu chceme počúvať ďalej, chcem, aby tieto zariadenia chránili moju identitu niekoľkými spôsobmi.

1. Vieš, kde som: Vďaka GPS môjho mobilného telefónu pozná moju polohu. Malo by to byť schopné povedať mojim ďalším zariadeniam: „Hej, je to v pohode, pustite ho.“ Ak som v roamingu Timbuktu, nemali by ste skutočne veriť môjmu heslu a možno ani môjmu druhému faktoru.
2. Vieš čo robím: Vieš, keď sa prihlásim as čím, takže je čas položiť mi pár ďalších otázok. „Ospravedlňujem sa Dave, nemôžem to urobiť“ mala by byť odpoveď, keď ťa zvyčajne nežiadam, aby si otvoril dvere pod stojanom.
3. Viete, ako ma overiť: "Môj hlas je môj pas, over ma." Nie, môže to niekto skopírovať. Namiesto toho mi položte otázky, ktoré sú pre mňa ľahké zodpovedať a zapamätať, ale ťažko sa dajú nájsť na internete. Nájdenie priezviska mojej matky môže byť ľahké, ale tam, kde som minulý týždeň zjedol obed s mamou, nie je (pozri môj kalendár). Kde som sa stretol s mojím miláčikom na strednej škole, sa dá ľahko uhádnuť, ale ktorý film, ktorý som videl minulý týždeň, sa nedá ľahko nájsť (stačí skontrolovať svoje e-mailové potvrdenky).
4. Vieš, ako vyzerám: Facebook ma dokáže spoznať zadnej časti mojej hlavy a Mastercard dokáže zistiť moju tvár. Toto sú lepšie spôsoby, ako overiť, kto som.

Viem, že len veľmi málo spoločností implementuje takéto riešenia, ale to neznamená, že im nemôžem žiadať. Predtým, ako sa sťažujete - áno, môžu byť napadnuté. Problémom hackerov bude vedieť, ktorá skupina sekundárnych opatrení online služba používa. Jeden deň to môže položiť otázku, ale nasledujúci deň si zobrať selfie.

Apple vyvíja veľký tlak na ochranu môjho súkromia a to si vážim. Po prihlásení môjho Apple ID ma však Siri aktívne chráni. Google Now a Cortana to môžu tiež urobiť. Možno to už niekto rozvíja a spoločnosť Google v tejto oblasti robí určité pokroky, ale teraz to potrebujeme! Dovtedy musíme byť trochu ostražití pri ochrane našich vecí. Pozrite sa na nejaké nápady, ktoré sa budúci týždeň.