Adgangskoder er ødelagte: Der er en bedre måde at autentificere brugere

Hver uge ser det ud til, at vi læser historier omvirksomheder og websteder, der kompromitteres, og at forbrugerdata stjæles. For mange af os er de værste indbrud, når adgangskoder stjæles. LastPass Hack er et af de nyere angreb. På måske måder er det en form for digital terrorisme, der kun vokser. Tofaktorautentisering og biometri er gode opdateringer til problemet, men de ignorerer de grundlæggende problemer i forbindelse med loginhåndtering. Vi har værktøjerne til at løse problemet, men de er ikke blevet anvendt korrekt.

Glemt din adgangskode

Foto af polomex - http://flic.kr/p/cCzxju

Hvorfor vi tager vores sko af i USA, men ikke i Israel

Alle, der er fløjet i USA, kender detom TSA-sikkerhed. Vi tager vores frakker, undgår væsker og tager vores sko, inden vi går gennem sikkerhed. Vi har en liste med ingen flyve baseret på navne. Dette er reaktioner på specifikke trusler. Det er ikke sådan, et land som Israel gør sikkerhed. Jeg har ikke fløjet El-Al (Israels nationale flyselskaber), men venner fortæller mig om de interviews, de gennemgår i sikkerhed. Sikkerhedsansvarlige koder trusler baseret på personlige egenskaber og opførsel.

Tsa-tegn, der fortæller børnene, at de ikke skal tage skoene af

Foto af Ben Popken

Vi tager TSA-metoden til online-kontiog det er derfor, vi har alle sikkerhedsproblemer. To-faktor godkendelse er en start. Men når vi tilføjer en anden faktor til vores konti, bliver vi sluppet ind i en falsk følelse af sikkerhed. Den anden faktor beskytter mod, at nogen stjæler mit kodeord - en bestemt trussel. Kan min anden faktor blive kompromitteret? Jo da. Min telefon kunne blive stjålet, eller malware kan gå på kompromis med min anden faktor.

The Human Factor: Social Engineering

9849 Viss People Hacking 2.0

Foto af Kevin Baird

Selv med to-faktor tilgange er mennesker stadighar muligheden for at tilsidesætte sikkerhedsindstillinger. For et par år tilbage overbeviste en flittig hacker Apple om at nulstille forfatterens Apple ID. GoDaddy blev narret til at vende et domænenavn, der muliggjorde overtagelse af en Twitter-konto. Min identitet blev ved et uheld fusioneret med en anden Dave Greenbaum på grund af en menneskelig fejl hos MetLife. Denne fejl resulterede næsten i, at jeg annullerede hus- og bilforsikringen for den anden Dave Greenbaum.

Selv hvis et menneske ikke tilsidesætter en to-faktorindstilling, det andet token er bare endnu en hindring for angriberen. Det er et spil for en hacker. Hvis jeg ved, når du logger ind på din Dropbox, at jeg har brug for en godkendelseskode til, er det eneste, jeg skal gøre, at få denne kode fra dig. Hvis jeg ikke får dine tekstbeskeder rettet til mig (SIM-hack nogen?), Skal jeg bare overbevise dig om at frigive denne kode til mig. Dette er ikke raketvidenskab. Kunne jeg overbevise dig om at give den kode tilbage? Eventuelt. Vi stoler mere på vores telefoner end vores computere. Derfor falder folk for ting som en falsk iCloud login-meddelelse.

En anden sand historie, der skete for mig to gange. Mit kreditkortselskab bemærkede mistænksom aktivitet og ringede til mig. Store! Det er en adfærdsbaseret tilgang, jeg vil tale om senere. De bad mig dog om at give mit fulde kreditkortnummer over telefonen med et opkald, jeg ikke foretog. De var chokeret. Jeg nægtede at give dem nummeret. En manager fortalte mig, at de sjældent får klager fra kunder. De fleste opkaldere overleverer kun kreditkortnummeret. Av. Det kunne have været enhver uærlig person i den anden ende, der forsøgte at få mine personlige data.

Adgangskoder beskytter ikke os

Crypt

Foto af ditatompel

Vi har også for mange adgangskoder i vores livmange steder. Medium er allerede slet af med adgangskoder. De fleste af os ved, at vi skal have en unik adgangskode til hvert websted. Denne tilgang er alt for meget til at bede om vores tunge jordiske hjerner, der lever et fuldt og rig digitalt live. Adgangskodeadministratorer (analog eller digital) hjælper med at forhindre afslappede hackere, men ikke et sofistikeret angreb. Heck, hackere har ikke engang brug for adgangskoder for at få adgang til vores individuelle konti. De bryder bare ind i databaserne, der gemmer informationen (Sony, Target, Federal Government).

Tag en lektion fra kreditkortselskaberne

Selvom algoritmerne måske er lidt slukket,kreditfirmaer har den rigtige idé. De ser på vores købsmønstre og placering for at vide, om det er du, der bruger dit kort. Hvis du køber gas i Kansas og derefter køber en dragt i London, er det et problem.

London

Foto af kozumel

Hvorfor kan vi ikke anvende dette på vores onlinekonti? Nogle virksomheder tilbyder advarsler fra udenlandske IP'er (kudos til LastPass for at lade brugerne indstille foretrukne lande til adgang). Hvis min telefon, computer, tablet og wrist-enhed alle er i Kansas, skal jeg få besked, hvis der er adgang til min konto et andet sted. I det mindste bør disse virksomheder stille mig et par yderligere spørgsmål, inden de antager, at jeg er den, jeg siger, at jeg er. Denne gatekeeping er især nødvendig for Google-, Apple- og Facebook-konti, der autentificerer til andre konti af OAuth. Google og Facebook giver advarsler om usædvanlig aktivitet, men de er normalt kun en advarsel, og advarsler er ikke beskyttelse. Mit kreditkortselskab siger nej til transaktionen, indtil de har verificeret, hvem jeg er. De siger bare ikke “Hej… troede du skulle vide”. Mine online-konti skal ikke advare, de skal blokere for usædvanlig aktivitet. Den nyeste vending til kreditkortsikkerhed er ansigtsgenkendelse. Selvfølgelig kan nogen tage sig tid til at prøve at duplikere dit ansigt, men kreditkortselskaber ser ud til at arbejde hårdere for at beskytte os.

Vores smarte assistenter (og enheder) er et bedre forsvar

Foto af Foomandoonian - http://flic.kr/p/7vn1x9

Foto af Foomandoonian

Siri, Alexa, Cortana og Google kender masser afting om os. De forudsiger intelligent, hvor vi skal hen, hvor vi har været og hvad vi kan lide. Disse assistenter kæmmer vores fotos for at arrangere vores ferier, husk, hvem vores venner er, og endda den musik, vi kan lide. Det er uhyggeligt på et niveau, men meget nyttigt i vores daglige liv. Hvis dine Fitbit-data kan bruges i en domstol, kan de også bruges til at identificere dig.

Når du opretter en online konto,virksomheder stiller dig stumme udfordringsspørgsmål som navnet på din gymnasiekæreste eller din tredje klasselærer. Vores minder er ikke så bundsolid som en computer. Disse spørgsmål kan ikke stoles på for at bekræfte vores identitet. Jeg har været låst for konti før, fordi min favorit restaurant i 2011 ikke er min favorit restaurant i dag.

Google har taget det første skridt i detteadfærdsmæssig tilgang med Smart Lock til tabletter og Chromebooks. Hvis du er den, du siger, du er, så har du sandsynligvis din telefon i nærheden. Apple droppede virkelig bolden med iCloud-hacket, hvilket tillader tusinder af forsøg fra den samme IP-adresse.

I stedet for at finde ud af, hvilken sang vi vil lytte til næste, vil jeg have, at disse enheder beskytter min identitet på et par måder.

    1. Du ved, hvor jeg er: Med min mobiltelefons GPS kender den min placering. Det skal være i stand til at fortælle mine andre enheder "Hej, det er cool, lad ham komme ind." Hvis jeg er i Timbuktu-roaming, skal du ikke rigtig stole på min adgangskode og muligvis endda min anden faktor.
    2. Ved du hvad jeg gør: Du ved, når jeg logger ind og med hvad, så det er tid til at stille mig et par spørgsmål til. ”Jeg er ked af Dave, det kan jeg ikke” burde være svaret, når jeg normalt ikke beder dig om at åbne døre til pod-bugten.
    3. Du ved, hvordan du bekræfter mig: ”Min stemme er mit pas, bekræft mig.”Nej, nogen kan kopiere det. Stil i stedet spørgsmål, som det er let for mig at svare og huske, men som er svært at finde på Internettet. Min mors pigenavn er måske let at finde, men hvor jeg spiste frokost i sidste uge med mor er det ikke (se på min kalender). Hvor jeg mødte min highschool-kæreste er let at gætte, men hvilken film jeg så i sidste uge er ikke let at finde (bare kontrollere mine e-mail-kvitteringer).
    4. Du ved, hvordan jeg ser ud: Facebook kan genkende mig bagpå, og Mastercard kan registrere mit ansigt. Dette er bedre måder at verificere, hvem jeg er.

Jeg ved, at meget få virksomheder implementererløsninger som dette, men det betyder ikke, at jeg ikke kan begjære dem. Før du klager - ja disse kan blive hacket. Problemet for hackerne vil være at vide, hvilke sæt sekundære foranstaltninger en onlinetjeneste bruger. Det stiller måske et spørgsmål den ene dag, men tag en selfie den næste.

Apple laver et stort skub for at beskytte mit privatlivog det værdsætter jeg. Når først mit Apple ID er logget ind, er det imidlertid tid, Siri beskytter mig proaktivt. Google Nu og Cortana kan også gøre det. Måske udvikler nogen allerede dette, og Google gør nogle skridt på dette område, men vi har brug for det nu! Indtil dette tidspunkt er vi nødt til at være lidt mere opmærksomme på at beskytte vores ting. Se efter nogle ideer til det næste uge.

0

Lignende artikler

Pandora har brug for nogle brugere til at nulstille deres adgangskoder
Nyheder

Pandora har brug for nogle brugere til at nulstille deres adgangskoder ..

Twitter-konti hacket: Nulstiller flere adgangskoder end nødvendigt
Nyheder

Twitter-konti hacket: Nulstiller flere adgangskoder end ..

6,5 millioner LinkedIn-adgangskoder lækket: Sådan ændrer du din nu
Nyheder

6,5 millioner LinkedIn-adgangskoder lækket: Sådan ændres ..

DreamHost hacket: WordPress opfordrer brugere til at ændre adgangskoder
Nyheder

DreamHost Hacked: WordPress opfordrer brugere til at ændre sig ..

Sådan gendannes glemte FTP-adgangskoder fra Filezilla
Hvordan

Sådan gendannes glemte FTP-adgangskoder fra Filezilla ..

Sådan vises og slettes gemte Google-adgangskoder
Hvordan

Sådan vises og slettes gemte Google-adgangskoder ..

Sådan administreres adgangskoder med Edge Browser i Windows 10
Hvordan

Sådan administreres adgangskoder med Edge Browser i Windows 10.

Google tofaktorautentisering - Opret applikationsspecifikke engangsadgangskoder
Hvordan

Google tofaktorautentisering - Opret ..

Sådan beskyttes Firefox-adgangskoder med en hovedadgangskode
Hvordan

Sådan beskyttes Firefox-adgangskoder med en hovedadgangskode ..

Firefox: Sådan ser du dine gemte adgangskoder
Hvordan

Firefox: Sådan ser du dine gemte adgangskoder ..

Efterlad en kommentar