Passwörter sind kaputt: Es gibt eine bessere Möglichkeit, Benutzer zu authentifizieren

Jede Woche lesen wir anscheinend Geschichten vonUnternehmen und Websites werden kompromittiert und Verbraucherdaten gestohlen. Für viele von uns ist der schlimmste Einbruch der Diebstahl von Passwörtern. Der LastPass-Hack ist einer der jüngsten Angriffe. In gewisser Weise ist es eine Form des digitalen Terrorismus, die nur wächst. Zwei-Faktor-Authentifizierung und Biometrie sind nützliche Patches für das Problem, ignorieren jedoch die grundlegenden Probleme im Zusammenhang mit der Anmeldeverwaltung. Wir haben die Tools, um das Problem zu lösen, aber sie wurden nicht ordnungsgemäß angewendet.

Haben Sie Ihr Passwort vergessen

Foto von polomex - http://flic.kr/p/cCzxju

Warum wir unsere Schuhe in den Vereinigten Staaten, aber nicht in Israel ausziehen

Wer in den USA geflogen ist, weißüber die TSA-Sicherheit. Wir ziehen unsere Mäntel aus, vermeiden Flüssigkeiten und ziehen unsere Schuhe aus, bevor wir die Sicherheitskontrollen durchlaufen. Wir haben eine Flugverbotsliste basierend auf Namen. Dies sind Reaktionen auf bestimmte Bedrohungen. So macht ein Land wie Israel keine Sicherheit. Ich bin nicht mit El-Al (Israels nationale Fluggesellschaft) geflogen, aber Freunde erzählen mir von den Interviews, die sie zur Sicherheit durchlaufen. Die Sicherheitsbeauftragten codieren Bedrohungen basierend auf persönlichen Merkmalen und Verhaltensweisen.

Tsa-Zeichen, das Kindern sagt, dass sie ihre Schuhe nicht ausziehen müssen

Foto von Ben Popken

Wir verfolgen den TSA-Ansatz für Online-Kontenund deshalb haben wir alle Sicherheitsprobleme. Zwei-Faktor-Authentifizierung ist ein Anfang. Wenn wir unseren Konten jedoch einen zweiten Faktor hinzufügen, werden wir in ein falsches Sicherheitsgefühl versetzt. Dieser zweite Faktor schützt vor dem Diebstahl meines Passworts - eine spezielle Bedrohung. Könnte mein zweiter Faktor gefährdet sein? Sicher. Mein Handy könnte gestohlen werden oder Malware könnte meinen zweiten Faktor gefährden.

Der menschliche Faktor: Social Engineering

9849 Viss People Hacking 2.0

Foto von Kevin Baird

Auch bei Zwei-Faktor-Ansätzen bleibt der Menschhaben die Möglichkeit, Sicherheitseinstellungen zu überschreiben. Vor einigen Jahren überzeugte ein fleißiger Hacker Apple, die Apple-ID eines Schriftstellers zurückzusetzen. GoDaddy wurde dazu verleitet, einen Domainnamen umzudrehen, der die Übernahme eines Twitter-Kontos ermöglichte. Aufgrund eines menschlichen Fehlers bei MetLife wurde meine Identität versehentlich mit einem anderen Dave Greenbaum zusammengeführt. Dieser Fehler führte fast dazu, dass ich die Haus- und Autoversicherung des anderen Dave Greenbaum stornierte.

Auch wenn ein Mensch einen Zweifaktor nicht außer Kraft setztDas Setzen dieses zweiten Tokens ist nur eine weitere Hürde für den Angreifer. Es ist ein Spiel für einen Hacker. Wenn ich weiß, dass ich bei der Anmeldung in Ihrer Dropbox einen Autorisierungscode benötige, muss ich nur diesen Code von Ihnen erhalten. Wenn ich Ihre Textnachrichten nicht an mich weiterleiten kann (SIM-Hack?), Muss ich Sie nur davon überzeugen, diesen Code für mich freizugeben. Dies ist keine Raketenwissenschaft. Könnte ich Sie überzeugen, diesen Code zurückzugeben? Möglicherweise. Wir vertrauen unseren Handys mehr als unseren Computern. Deshalb fallen die Leute auf Dinge wie eine gefälschte iCloud-Login-Nachricht herein.

Eine andere wahre Geschichte, die mir zweimal passiert ist. Mein Kreditkartenunternehmen bemerkte verdächtige Aktivitäten und rief mich an. Groß! Das ist ein verhaltensbasierter Ansatz, über den ich später sprechen werde. Sie haben mich jedoch gebeten, meine vollständige Kreditkartennummer telefonisch mitzuteilen, wenn ich nicht angerufen habe. Sie waren schockiert, ich weigerte mich, ihnen die Nummer zu geben. Ein Manager sagte mir, dass sie selten Beschwerden von Kunden bekommen. Die meisten Anrufer geben lediglich die Kreditkartennummer weiter. Autsch. Das könnte jede schändliche Person am anderen Ende sein, die versucht, an meine persönlichen Daten zu kommen.

Passwörter schützen uns nicht

Krypta

Foto von ditatompel

Wir haben zu viele Passwörter in unserem Lebenviele Orte. Medium hat bereits Passwörter entfernt. Die meisten von uns wissen, dass wir für jede Site ein eindeutiges Passwort haben sollten. Dieser Ansatz ist viel zu viel verlangt von unseren mickrigen Erdenbürgern, die ein volles und reiches digitales Leben führen. Passwort-Manager (analog oder digital) helfen dabei, zufällige Hacker abzuwehren, aber keine raffinierten Angriffe. Die Hacker benötigen nicht einmal Passwörter, um auf unsere individuellen Konten zuzugreifen. Sie brechen einfach in die Datenbanken ein, in denen die Informationen gespeichert sind (Sony, Target, Federal Government).

Nehmen Sie eine Lektion von den Kreditkartenunternehmen

Auch wenn die Algorithmen ein wenig ausfallen könnten,Kreditunternehmen haben die richtige Idee. Sie überprüfen unsere Kaufmuster und Standorte, um festzustellen, ob Sie Ihre Karte verwenden. Wenn Sie in Kansas Benzin kaufen und dann in London einen Anzug kaufen, ist das ein Problem.

London

Foto von kozumel

Warum können wir dies nicht auf unsere Online-Konten anwenden? Einige Unternehmen bieten Warnungen von ausländischen IPs an (Lob an LastPass, damit Benutzer bevorzugte Länder für den Zugriff festlegen können). Wenn sich mein Telefon, Computer, Tablet und Armbandgerät in Kansas befinden, sollte ich benachrichtigt werden, wenn auf mein Konto an einer anderen Stelle zugegriffen wird. Zumindest sollten diese Unternehmen mir einige zusätzliche Fragen stellen, bevor sie davon ausgehen, dass ich der bin, von dem ich sage, dass ich ich bin. Dieses Gatekeeping wird insbesondere für Google-, Apple- und Facebook-Konten benötigt, die sich bei anderen Konten von OAuth authentifizieren. Google und Facebook warnen vor ungewöhnlichen Aktivitäten, in der Regel handelt es sich jedoch nur um eine Warnung, und Warnungen sind kein Schutz. Meine Kreditkartenfirma sagt Nein zu der Transaktion, bis sie überprüft hat, wer ich bin. Sie sagen nur nicht "Hey ... dachte du solltest es wissen". Meine Online-Konten sollten nicht gewarnt, sondern für ungewöhnliche Aktivitäten gesperrt werden. Die neueste Variante der Kreditkartensicherheit ist die Gesichtserkennung. Sicher, jemand kann sich die Zeit nehmen, um zu versuchen, Ihr Gesicht zu duplizieren, aber Kreditkartenunternehmen scheinen härter zu arbeiten, um uns zu schützen.

Unsere intelligenten Assistenten (und Geräte) sind eine bessere Verteidigung

Foto von Foomandoonian - http://flic.kr/p/7vn1x9

Foto von Foomandoonian

Siri, Alexa, Cortana und Google kennen eine MengeZeug über uns. Sie sagen intelligent voraus, wohin wir gehen, wo wir waren und was wir mögen. Diese Assistenten kämmen unsere Fotos, um unseren Urlaub zu organisieren, erinnern sich, wer unsere Freunde sind, und sogar an die Musik, die wir mögen. Es ist auf einer Ebene gruselig, aber in unserem täglichen Leben sehr nützlich. Wenn Ihre Fitbit-Daten vor Gericht verwendet werden können, können sie auch zur Identifizierung von Ihnen verwendet werden.

Wenn Sie ein Online-Konto einrichten,Unternehmen stellen Ihnen dumme Fragen wie den Namen Ihres Liebsten von der High School oder Ihres Lehrers der dritten Klasse. Unsere Erinnerungen sind nicht so solide wie die eines Computers. Diese Fragen können nicht zur Überprüfung unserer Identität herangezogen werden. Ich wurde bereits zuvor gesperrt, weil mein Lieblingsrestaurant im Jahr 2011 heute beispielsweise nicht mehr mein Lieblingsrestaurant ist.

Google hat den ersten Schritt getanVerhaltensansatz mit Smart Lock für Tablets und Chromebooks. Wenn Sie derjenige sind, für den Sie sich ausgeben, haben Sie wahrscheinlich Ihr Telefon in Ihrer Nähe. Apple hat mit dem iCloud-Hack den Ball wirklich fallen lassen und Tausende von Versuchen von derselben IP-Adresse aus zugelassen.

Anstatt herauszufinden, welchen Song wir als nächstes hören möchten, möchte ich, dass diese Geräte meine Identität auf verschiedene Arten schützen.

    1. Du weißt wo ich bin: Mit dem GPS meines Mobiltelefons kann ich meinen Standort ermitteln. Es sollte in der Lage sein, meinen anderen Geräten mitzuteilen, dass "Hey, es ist cool, lass ihn rein."
    2. Du weißt was ich tue: Sie wissen, wann und mit was ich mich anmelde. Es ist an der Zeit, mir noch ein paar Fragen zu stellen. "Es tut mir leid, Dave, das kann ich nicht", sollte die Antwort sein, wenn ich Sie normalerweise nicht auffordere, die Türen der Pod-Bucht zu öffnen.
    3. Sie wissen, wie Sie mich verifizieren können: „Meine Stimme ist mein Reisepass, überprüfe mich.”Nein, das kann jeder kopieren. Stellen Sie mir stattdessen Fragen, die für mich leicht zu beantworten und zu merken sind, aber im Internet nur schwer zu finden sind. Der Mädchenname meiner Mutter ist zwar leicht zu finden, aber wo ich letzte Woche mit meiner Mutter zu Mittag gegessen habe, ist nicht so (siehe Kalender). Es ist leicht zu erraten, wo ich meinen geliebten Schüler getroffen habe, aber welchen Film ich letzte Woche gesehen habe, ist nicht leicht zu finden (überprüfen Sie einfach meine E-Mail-Belege).
    4. Sie wissen, wie ich aussehe: Facebook erkennt mich am Hinterkopf und Mastercard erkennt mein Gesicht. Dies sind bessere Methoden, um zu überprüfen, wer ich bin.

Ich weiß, dass nur sehr wenige Unternehmen dies umsetzenLösungen wie diese, aber das heißt nicht, dass ich sie nicht begehren kann. Bevor Sie sich beschweren - ja, diese können gehackt werden. Das Problem für die Hacker wird sein, zu wissen, welche sekundären Maßnahmen ein Onlinedienst verwendet. Es könnte an einem Tag eine Frage stellen, am nächsten ein Selfie machen.

Apple unternimmt große Anstrengungen, um meine Privatsphäre zu schützenund das weiß ich zu schätzen. Sobald jedoch meine Apple ID angemeldet ist, ist es an der Zeit, dass Siri mich proaktiv schützt. Google Now und Cortana können das auch. Vielleicht entwickelt das schon jemand und Google macht einige Fortschritte in diesem Bereich, aber wir brauchen das jetzt! Bis dahin müssen wir beim Schutz unserer Sachen etwas wachsamer sein. Suchen Sie nach Ideen für die nächste Woche.

0

Ähnliche Artikel

In Pandora müssen einige Benutzer ihre Kennwörter zurücksetzen
Nachrichten

Pandora benötigt einige Benutzer, um ihre Kennwörter zurückzusetzen.

Gehackte Twitter-Konten: Setzt mehr Passwörter zurück als nötig
Nachrichten

Twitter Accounts gehackt: Setzt mehr Passwörter zurück als ..

6,5 Millionen durchgesickerte LinkedIn-Passwörter: So ändern Sie Ihre jetzt
Nachrichten

6,5 Millionen LinkedIn Passwörter durchgesickert: So ändern Sie ..

DreamHost gehackt: WordPress fordert Benutzer auf, Kennwörter zu ändern
Nachrichten

DreamHost gehackt: WordPress fordert Benutzer auf, sich zu ändern

So erhalten Sie vergessene FTP-Passwörter von Filezilla
Wie man

So erhalten Sie vergessene FTP-Passwörter von Filezilla ..

So zeigen Sie gespeicherte Google-Passwörter an und löschen sie
Wie man

So zeigen Sie gespeicherte Google-Passwörter an und löschen sie.

Verwalten von Kennwörtern mit dem Edge-Browser in Windows 10
Wie man

Verwalten von Kennwörtern mit dem Edge-Browser in Windows 10

Google Two Factor Authentication - Erstellen Sie anwendungsspezifische Einmalpasswörter
Wie man

Google Two Factor Authentication - Erstellen ..

So schützen Sie Firefox-Passwörter mit einem Master-Passwort
Wie man

So schützen Sie Firefox-Passwörter mit einem Master-Passwort

Firefox: So sehen Sie Ihre gespeicherten Passwörter
Wie man

Firefox: So zeigen Sie Ihre gespeicherten Passwörter an

Hinterlasse einen Kommentar