Паролите са разбити: Има по-добър начин за удостоверяване на потребителите

Изглежда всяка седмица четем истории закомпаниите и уебсайтовете са компрометирани и данните за потребителите са крадени. За много от нас най-лошите пробиви са, когато паролите са откраднати. Последният хак е една от най-новите атаки. В някои начини това е форма на дигитален тероризъм, която само се разраства. Двуфакторната автентификация и биометрията са приятни корекции на проблема, но игнорират основните проблеми, свързани с управлението на вход. Имаме инструменти за решаване на проблема, но те не са приложени правилно.

Забравена парола

Снимка от polomex - http://flic.kr/p/cCzxju

Защо сваляме обувките си в Съединените щати, но не и в Израел

Всеки, който е летял в Съединените щати, знаеза сигурността на TSA. Сваляме палто, избягваме течности и сваляме обувките си, преди да преминем през охрана. Имаме списък без полети въз основа на имена. Това са реакции на конкретни заплахи. Това не е начинът, по който държава като Израел прави сигурността. Не съм летял в Ел Ал (националните авиокомпании на Израел), но приятелите ми разказват за интервютата, през които преминават в сигурността. Служителите по сигурността кодират заплахи въз основа на лични характеристики и поведение.

Знакът Tsa казва на децата, че не трябва да свалят обувките си

Снимка от Бен Попкен

Ние използваме подхода на TSA към онлайн акаунтии затова имаме всички проблеми със сигурността. Двуфакторната автентификация е начало. И въпреки това, когато добавим втори фактор към нашите акаунти, ние сме излъгани в невярно чувство за сигурност. Този втори фактор защитава срещу някой да ми открадне паролата - специфична заплаха. Може ли вторият ми фактор да бъде компрометиран? Сигурен. Моят телефон може да бъде откраднат или злонамерен софтуер може да компрометира втория ми фактор.

Човешкият фактор: Социално инженерство

9849 Viss People Hacking 2.0

Снимка на Кевин Беърд

Дори и при двуфакторни подходи хората все ощеимат възможност да отменят настройките за сигурност. Преди няколко години работлив хакер убеди Apple да нулира Apple ID на писател. GoDaddy беше измамен да преобърне име на домейн, което позволи поглъщането на акаунта в Twitter. Самоличността ми беше случайно слята с друг Дейв Грийнбаум поради човешка грешка в MetLife. Тази грешка почти доведе до отмяна на домашната и автостраховка на другия Дейв Грийнбаум.

Дори ако човек не отмени двуфакторнастройката, този втори жетон е просто още едно препятствие за нападателя. Това е игра за хакер. Ако знам, когато влезете в своя Dropbox, че имам нужда от код за упълномощаване, тогава всичко, което трябва да направя, е да получа този код от вас. Ако не получа вашите текстови съобщения, насочени към мен (SIM-хак някой?), Просто трябва да ви убедя да ми освободите този код. Това не е ракетна наука. Мога ли да ви убедя да върнете този код? Възможно е. Ние се доверяваме на нашите телефони повече от нашите компютри. Ето защо хората попадат за неща като фалшиво съобщение за вход в iCloud.

Още една истинска история, която ми се случи два пъти. Компанията ми с кредитни карти забеляза подозрителна активност и ми се обади. Страхотен! Това е поведенчески базиран подход, за който ще говоря по-късно. Те обаче ме помолиха да дам пълния си номер на кредитна карта по телефона с обаждане, което не съм осъществил. Бяха шокирани, отказах да им дам номера. Мениджър ми каза, че рядко получават оплаквания от клиенти. Повечето обаждащи се просто предават номера на кредитната карта. Ох. Това можеше да бъде всеки злобен човек в другия край, който се опитва да получи моите лични данни.

Паролите не ни защитават

крипта

Снимка от ditatompel

В нашия живот имаме твърде много паролимного места. Medium вече се е отървал от паролите. Повечето от нас знаят, че трябва да имаме уникална парола за всеки сайт. Този подход е твърде много, за да поискаме нашите умопомрачителни земни мозъци, които живеят с пълен и богат цифров живот. Мениджърите на пароли (аналогови или цифрови) помагат да се предотвратят случайни хакери, но не и сложна атака. По дяволите, хакерите дори не се нуждаят от пароли за достъп до нашите индивидуални акаунти. Те просто пробиват в базите данни, които съхраняват информацията (Sony, Target, Федерално правителство).

Вземете урок от компаниите с кредитни карти

Въпреки че алгоритмите може да са малко,кредитните компании имат правилната идея. Те разглеждат нашите модели на пазаруване и местоположението, за да разберат дали използвате картата си. Ако купувате бензин в Канзас и купувате костюм в Лондон, това е проблем.

Лондон

Снимка от kozumel

Защо не можем да приложим това към нашите онлайн акаунти? Някои компании предлагат сигнали от чуждестранни IP адреси (kudos до LastPass за даване на възможност на потребителите да задават предпочитани страни за достъп). Ако моят телефон, компютър, таблет и устройство за китки са всички в Канзас, тогава трябва да бъда уведомен, ако акаунта ми има достъп някъде другаде. Най-малкото тези компании трябва да ми зададат няколко допълнителни въпроса, преди да приемат, че съм този, който казвам, че съм. Тази врата е особено необходима за акаунти в Google, Apple и Facebook, които се удостоверяват с други акаунти от OAuth. Google и Facebook дават предупреждения за необичайна дейност, но те обикновено са само предупреждение, а предупрежденията не са защита. Компанията ми с кредитни карти казва „не“ на транзакцията, докато не проверят кой съм. Те просто не казват "Хей ... мислехте, че трябва да знаете". Моите онлайн акаунти не трябва да предупреждават, те трябва да блокират за необичайна дейност. Най-новият обрат в сигурността на кредитната карта е разпознаването на лица. Разбира се, някой може да отдели време да опита да дублира лицето ви, но компаниите за кредитни карти изглежда работят по-усилено, за да ни защитят.

Нашите интелигентни асистенти (и устройства) са по-добра защита

Снимка от Foomandoonian - http://flic.kr/p/7vn1x9

Снимка от Foomandoonian

Сири, Алекса, Кортана и Google знаят многонеща за нас. Те интелигентно прогнозират къде отиваме, къде сме били и какво харесваме. Тези асистенти комбинират нашите снимки, за да организират ваканциите си, помнете кои са нашите приятели и дори музиката, която харесваме. Това е страховито на едно ниво, но много полезно в ежедневието ни. Ако вашите данни от Fitbit могат да бъдат използвани в съда, те могат да бъдат използвани и за идентификация.

Когато настройвате онлайн акаунт,компаниите ви задават тъпи предизвикателни въпроси като името на любимия ви от гимназията или вашия учител в трети клас. Спомените ни не са толкова твърди, колкото компютър. На тези въпроси не може да се разчита, за да потвърдим самоличността си. И преди съм бил блокиран, тъй като любимият ми ресторант през 2011 г. не е любимият ми днес ресторант.

Google направи първата стъпка в товаповеденчески подход със Smart Lock за таблети и Chromebook. Ако сте на кого казвате, че сте, значи вероятно имате телефона си близо до себе си. Apple наистина изпусна топката с iCloud хак, позволявайки хиляди опити от един и същ IP адрес.

Вместо да разбера коя песен искаме да слушаме следващата, искам тези устройства да защитят моята идентичност по няколко начина.

    1. Знаеш къде съм: С GPS на мобилния ми телефон той знае местоположението ми. Би трябвало да може да каже на другите ми устройства „Хей, чудесно е, пусни го.“ Ако съм в роуминг на Timbuktu, не трябва наистина да се доверявате на паролата ми и вероятно дори на втория ми фактор.
    2. Знаеш какво правя: Знаеш кога влизам и с какво, така че е време да ми зададеш още няколко въпроса. „Съжалявам, Дейв, не мога да го направя“ трябва да е отговорът, когато обикновено не ви моля да отворите вратите на шушулката.
    3. Знаете как да ме потвърдите: „Гласът ми е паспортът ми, потвърдете ме.„Не, всеки може да го копира. Вместо това, задавайте ми въпроси, на които ми е лесно да отговоря и помня, но трудно да ги намеря в Интернет. Девойското име на майка ми може да е лесно да се намери, но там, където хапнах обяд миналата седмица с мама, не е (вижте календара ми). Къде срещнах любимата си гимназия е лесно да се отгатне, но кой филм, който видях миналата седмица, не е лесно да намерите (просто проверете моите имейл квитанции).
    4. Знаеш как изглеждам: Facebook може да ме разпознае отзад на главата ми, а Mastercard може да разпознае лицето ми. Това са по-добри начини за проверка кой съм.

Знам, че много малко компании изпълняватрешения като това, но това не означава, че не мога да ги желая. Преди да се оплачете - да, те могат да бъдат хакнати. Проблемът за хакерите ще бъде да знаят кой набор от вторични мерки използва онлайн услуга. Може да зададете въпрос един ден, но направете селфи на следващия.

Apple прави голям тласък, за да защити моята поверителности аз оценявам това. Въпреки това, след като влезете в моя идентификационен номер на Apple, е време Siri да ме защитава активно. Google Now и Cortana също могат да го направят. Може би някой вече развива това и Google прави известни стъпки в тази област, но това ни трябва сега! До този момент трябва да сме малко по-бдителни в защитата на нашите неща. Потърсете няколко идеи за тази следваща седмица.

0

Подобни статии

Pandora се нуждае от някои потребители да нулират паролите си
Новини

Pandora се нуждае от някои потребители да нулират паролите си ..

Хакерски акаунти в Twitter: Възстановява повече пароли, отколкото е необходимо
Новини

Профили в хакерство: Възстановява повече пароли от ..

6,5 милиона LinkedIn пароли изтекоха: Как да променим вашите сега
Новини

6,5 милиона LinkedIn пароли изтичаха: Как да се променя ..

DreamHost Hacked: WordPress Казва на потребителите да сменят паролите
Новини

DreamHost Hacked: WordPress Указва на потребителите да се променят ..

Как да възстановим забравени FTP пароли от Filezilla
Как да

Как да възстановим забравените FTP пароли от Filezilla ..

Как да видите и изтриете запазените пароли на Google
Как да

Как да видите и изтриете запазените пароли на Google ..

Как да управлявате пароли с Edge Browser в Windows 10
Как да

Как да управлявате паролите с Edge Browser в Windows 10 ..

Удостоверяване с две фактори на Google - Създайте конкретни еднократни пароли за приложение
Как да

Удостоверяване на Google с два фактора - Създайте ..

Как да защитим паролите на Firefox с главна парола
Как да

Как да защитим паролите на Firefox с главна парола ..

Firefox: Как да видите запазените си пароли
Как да

Firefox: Как да видите запазените си пароли ..

Оставете коментар