Hesla jsou přerušená: Existuje lepší způsob, jak autentizovat uživatele

Každý týden se zdá, že čteme příběhyjsou ohroženy společnosti a webové stránky a ukradeny údaje o spotřebitelích. Pro mnoho z nás jsou nejhorší vloupání při odcizení hesel. LastPass Hack je jedním z novějších útoků. Je to možná forma digitálního terorismu, která jen roste. Dvojfaktorová autentizace a biometrie jsou pěknými záplatami k problému, ale ignorují základní problémy související se správou přihlášení. Máme nástroje k vyřešení problému, ale nebyly správně aplikovány.

Zapomněli jste heslo

Foto: polomex - http://flic.kr/p/cCzxju

Proč svlékáme boty ve Spojených státech, ale ne v Izraeli

Každý, kdo letěl ve Spojených státech, to vío zabezpečení TSA. Sundáme si kabáty, vyhýbáme se tekutinám a sundáme si boty, než projdeme bezpečností. Máme bezletový seznam založený na jménech. To jsou reakce na konkrétní hrozby. To není způsob, jakým země jako Izrael zajišťuje bezpečnost. Letěl jsem El-Al (izraelské národní letecké společnosti), ale přátelé mi vyprávějí o rozhovorech, které prochází v bezpečí. Bezpečnostní pracovníci kódují hrozby na základě osobních charakteristik a chování.

Značka Tsa říká dětem, že si nemusí sundat boty

Foto: Ben Popken

Zvažujeme přístup TSA k online účtůma proto máme všechny bezpečnostní problémy. Dvoufaktorové ověření je začátek. Přesto, když přidáme druhý faktor k našim účtům, dostáváme se do falešného pocitu bezpečí. Tento druhý faktor chrání před někoho, kdo mi ukradl heslo - konkrétní hrozbu. Mohl by být můj druhý faktor ohrožen? Tak určitě. Můj telefon by mohl být ukraden nebo malware by mohl ohrozit můj druhý faktor.

Lidský faktor: Sociální inženýrství

9849 Viss People Hacking 2.0

Foto: Kevin Baird

Dokonce iu dvoufaktorových přístupů jsou lidé stálemají možnost potlačit nastavení zabezpečení. Před několika lety přesvědčivý hacker přesvědčil Apple, aby resetoval Appleovo ID spisovatele. GoDaddy byl podváděn v převedení doménového jména, které umožnilo převzetí účtu Twitter. Moje identita byla náhodně sloučena s dalším Daveem Greenbaumem kvůli lidské chybě v MetLife. Tato chyba málem vedla k tomu, že jsem zrušil pojištění domácnosti a auto druhého Davea Greenbauma.

I když člověk nepřepíše dva faktorynastavení, tento druhý token je jen další překážkou pro útočníka. Je to hra pro hackera. Pokud vím, když se přihlásím do Dropboxu, pro který potřebuji autorizační kód, pak vše, co musím udělat, je získat ten kód od tebe. Pokud se mi vaše textové zprávy nedostanou na mě (SIM-hack někdo?), Musím vás přesvědčit, abyste mi tento kód uvolnili. Tohle není raketová věda. Mohu vás přesvědčit, abyste ten kód vrátili? Možná. Důvěřujeme našim telefonům více než našim počítačům. Proto lidé padají na věci, jako je falešná přihlašovací zpráva iCloud.

Další pravdivý příběh, který se mi dvakrát stal. Moje společnost vydávající kreditní karty si všimla podezřelé činnosti a zavolala mi. Skvělý! To je přístup založený na chování, o kterém budu mluvit později. Požádali mě však, abych s telefonem s celým číslem kreditní karty telefonicky neuskutečnil hovor. Byli v šoku, odmítl jsem jim dát číslo. Manažer mi řekl, že zřídka dostávají stížnosti od zákazníků. Většina volajících pouze předá číslo kreditní karty. Ouch. To by mohl být jakýkoli nešťastný člověk na druhém konci, který by se snažil získat moje osobní údaje.

Hesla nás nechrání

Krypta

Foto: ditatompel

V našem životě máme příliš mnoho heselmnoho míst. Médium se již zbavilo hesel. Většina z nás ví, že bychom měli mít jedinečné heslo pro každý web. Tento přístup je příliš velký na to, abych požádal naše maličké pozemské mozky, které žijí plný a bohatý digitální život. Správci hesel (analogových nebo digitálních) pomáhají předcházet náhodným hackerům, ale ne sofistikovanému útoku. Heck, hackeři ani nepotřebují hesla pro přístup k našim individuálním účtům. Prostě se vloupají do databází, ve kterých jsou uloženy informace (Sony, Target, Federal Government).

Udělejte si lekci od společností vydávajících kreditní karty

Přestože algoritmy mohou být trochu mimo,úvěrové společnosti mají správnou představu. Dívají se na naše nákupní vzorce a polohu, aby věděli, zda to používáte pomocí vaší karty. Pokud si koupíte plyn v Kansasu a poté si koupíte oblek v Londýně, je to problém.

Londýn

Foto kozumel

Proč to nemůžeme použít na naše online účty? Některé společnosti nabízejí upozornění ze zahraničních IP (kudos na LastPass za umožnění uživatelům nastavit preferované země pro přístup). Pokud jsou můj telefon, počítač, tablet a zápěstí v Kansasu, měl bych být upozorněn, pokud je můj účet přístupný někde jinde. Tyto společnosti by mi měly přinejmenším položit několik dalších otázek, než se domnívají, že jsem tím, kdo říkám, že jsem. Toto gatekeeping je obzvláště nutné pro účty Google, Apple a Facebook, které OAuth ověřují jiné účty. Google a Facebook dávají upozornění na neobvyklou aktivitu, ale obvykle jsou pouze varováním a varování nejsou ochranou. Moje společnost vydávající kreditní karty říká transakci ne, dokud neověří, kdo jsem. Prostě neříkají „Hej… myslel si, že bys to měl vědět“. Moje online účty by neměly varovat, měly by blokovat neobvyklou aktivitu. Nejnovějším obratem v zabezpečení kreditní karty je rozpoznávání obličeje. Jistě, někdo si může udělat čas, aby se pokusil duplikovat vaši tvář, ale zdá se, že společnosti vydávající kreditní karty tvrdě pracují na ochraně nás.

Naši inteligentní pomocníci (a zařízení) jsou lepší obranou

Foto Foomandoonian - http://flic.kr/p/7vn1x9

Foto: Foomandoonian

Siri, Alexa, Cortana a Google znají tunuvěci o nás. Inteligentně předpovídají, kam jdeme, kam jsme byli a co se nám líbí. Tito pomocníci kombinují naše fotografie, aby si uspořádali dovolenou, vzpomněli si, kdo jsou naši přátelé, a dokonce i hudbu, která se nám líbí. Je strašidelný na jedné úrovni, ale v každodenním životě je velmi užitečný. Pokud lze vaše údaje Fitbit použít u soudu, lze je také použít k identifikaci vás.

Když nastavujete online účet,společnosti se vás zeptají na hloupé výzvy, jako je jméno vašeho miláčku na střední škole nebo vašeho třetího učitele. Naše vzpomínky nejsou tak pevné jako počítač. Na tyto otázky se nelze spolehnout při ověřování naší identity. Dříve jsem byl z účtů uzamčen, protože moje oblíbená restaurace v roce 2011 například dnes není moje oblíbená restaurace.

Google v tomto kroku učinil první krokbehaviorální přístup pomocí Smart Lock pro tablety a Chromebooky. Pokud jste tím, kdo říkáte, že jste, máte pravděpodobně svůj telefon poblíž. Apple opravdu upustil míč s hackem iCloud, umožňující tisíce pokusů ze stejné IP adresy.

Místo toho, abych zjistil, kterou skladbu chceme poslouchat, chci tato zařízení několika způsoby chránit moji identitu.

    1. Víte, kde jsem: Díky GPS mého mobilního telefonu to zná moji polohu. Mělo by to být schopno říct mým dalším zařízením „Hej, je to v pohodě, pusťte ho dovnitř.“ Pokud se pohybuji v Timbuktu, neměli byste mi opravdu věřit mému heslu a možná ani mému druhému faktoru.
    2. Víš, co dělám: Víš, když se přihlásím as čím, takže je čas položit mi pár dalších otázek. "Omlouvám se Dave, nemůžu to udělat" měla by být odpověď, když vás normálně nepožádám o otevření dveří pod zátokou.
    3. Víte, jak mě ověřit: "Můj hlas je můj pas, ověř mě."„Ne, to může kdokoli zkopírovat. Místo toho se mě zeptejte na otázky, na které je snadné odpovědět a zapamatovat si, ale je těžké je najít na internetu. Mateřské jméno mé matky se dá snadno najít, ale tam, kde jsem minulý týden snědl oběd s mámou, není (podívejte se na můj kalendář). Kde jsem se setkal s mým srdcem na střední škole, je snadné uhodnout, ale který film, který jsem viděl minulý týden, není snadné najít (stačí zkontrolovat své e-mailové účty).
    4. Víš, jak vypadám: Facebook mě dokáže poznat zezadu na hlavě a Mastercard může detekovat mou tvář. To jsou lepší způsoby, jak ověřit, kdo jsem.

Vím, že implementuje jen velmi málo společnostířešení, jako je toto, ale to neznamená, že si za ně nemůžu přát. Než si stěžujete - ano, mohou být hacknuti. Problémem hackerů bude vědět, která sada sekundárních opatření online služba používá. Možná se jednoho dne zeptá, ale příští si vezměte selfie.

Apple dělá velký tlak na ochranu mého soukromía já si toho vážím. Jakmile je však moje Apple ID přihlášeno, je čas, aby mě Siri aktivně chránil. Google Now a Cortana to mohou také udělat. Možná to někdo již vyvíjí a Google v této oblasti dělá pokroky, ale nyní to potřebujeme! Až do této doby musíme být při ochraně našich věcí ostražitější. Podívejte se na nějaké nápady, které příští týden.

0

Podobné články

Pandora potřebuje, aby někteří uživatelé resetovali svá hesla
Zprávy

Pandora potřebuje, aby někteří uživatelé resetovali svá hesla.

Účty Twitter hacknuté: Obnoví více hesel, než je nutné
Zprávy

Účty Twitter hacknuté: Resetuje více hesel než ..

6,5 milionu hesel LinkedIn unikla: Jak změnit vaše nyní
Zprávy

6,5 milionu propuštěných hesel LinkedIn: Jak změnit ..

DreamHost Hacked: WordPress říká uživatelům, aby změnili hesla
Zprávy

DreamHost Hacked: WordPress říká uživatelům, aby se změnili ..

Jak retreovat zapomenutá hesla FTP z Filezilla
Jak

Jak retreovat zapomenutá hesla FTP z Filezilla ..

Jak zobrazit a odstranit uložená hesla Google
Jak

Jak zobrazit a odstranit uložená hesla Google ..

Jak spravovat hesla pomocí prohlížeče hran v systému Windows 10
Jak

Jak spravovat hesla pomocí prohlížeče hran v systému Windows 10 ..

Google Two Factor Authentication - Vytvořte jednorázová hesla pro konkrétní aplikaci
Jak

Google Two Factor Authentication - Vytvořit ..

Jak chránit hesla Firefox pomocí hlavního hesla
Jak

Jak chránit hesla Firefox pomocí hlavního hesla ..

Firefox: Jak zobrazit uložená hesla
Jak

Firefox: Jak zobrazit uložená hesla ..

Zanechat komentář