Οι κωδικοί πρόσβασης είναι σπασμένοι: Υπάρχει καλύτερος τρόπος για τον έλεγχο των χρηστών

Κάθε εβδομάδα φαίνεται ότι διαβάζουμε ιστορίεςτων εταιρειών και των ιστότοπων και να κλαπούν τα δεδομένα των καταναλωτών. Για πολλούς από εμάς, οι χειρότερες εισβολές είναι όταν κλέβονται κωδικοί πρόσβασης. Το LastPass Hack είναι μία από τις πιο πρόσφατες επιθέσεις. Με πολλούς τρόπους, είναι μια μορφή ψηφιακής τρομοκρατίας που αυξάνεται μόνο. Ο έλεγχος ταυτότητας δύο στοιχείων και τα βιομετρικά στοιχεία είναι ωραία μπαλώματα του προβλήματος, αλλά αγνοούν τα θεμελιώδη ζητήματα που σχετίζονται με τη διαχείριση σύνδεσης. Έχουμε τα εργαλεία για την επίλυση του προβλήματος, αλλά δεν έχουν εφαρμοστεί σωστά.

Ξεχάσατε τον κωδικό σας

Φωτογραφία από το polomex - http://flic.kr/p/cCzxju

Γιατί βγάζουμε τα παπούτσια μας στις Ηνωμένες Πολιτείες αλλά όχι στο Ισραήλ

Όποιος πετάει στις Ηνωμένες Πολιτείες ξέρεισχετικά με την ασφάλεια TSA. Βγάζουμε τα παλτά μας, αποφεύγουμε τα υγρά και βγάζουμε τα παπούτσια μας προτού περάσουμε από την ασφάλεια. Έχουμε μια λίστα χωρίς μύγα που βασίζεται σε ονόματα. Αυτές είναι αντιδράσεις σε συγκεκριμένες απειλές. Αυτός δεν είναι ο τρόπος που μια χώρα όπως το Ισραήλ κάνει ασφάλεια. Δεν έχω πετάξει τον El-Al (τις εθνικές αεροπορικές εταιρείες του Ισραήλ), αλλά οι φίλοι μου λένε για τις συνεντεύξεις που διέρχονται από την ασφάλεια. Οι απειλές του κώδικα ασφαλείας βασίζονται σε προσωπικά χαρακτηριστικά και συμπεριφορές.

Το σημάδι Tsa λέει στα παιδιά ότι δεν χρειάζεται να βγάλουν τα παπούτσια τους μακριά

Φωτογραφία από τον Ben Popken

Παίρνουμε την προσέγγιση TSA στους λογαριασμούς στο διαδίκτυοκαι γι 'αυτό έχουμε όλα τα προβλήματα ασφάλειας. Ο έλεγχος ταυτότητας δύο παραγόντων είναι μια αρχή. Ωστόσο, όταν προσθέτουμε ένα δεύτερο παράγοντα στους λογαριασμούς μας, παρασυρόμαστε από μια ψεύτικη αίσθηση ασφάλειας. Αυτός ο δεύτερος παράγοντας προστατεύει από κάποιον που κλέβει τον κωδικό μου - μια συγκεκριμένη απειλή. Μπορεί ο δεύτερος παράγοντας μου να παραβιαστεί; Σίγουρος. Το τηλέφωνό μου θα μπορούσε να κλαπεί ή το κακόβουλο λογισμικό θα μπορούσε να θέσει σε κίνδυνο τον δεύτερο παράγοντα.

Ο Ανθρώπινος Παράγοντας: Κοινωνική Μηχανική

9849 Viss People Hacking 2.0

Φωτογραφία από τον Kevin Baird

Ακόμη και με προσεγγίσεις δύο παραγόντων, οι άνθρωποι ακόμαέχουν τη δυνατότητα να παρακάμπτουν τις ρυθμίσεις ασφαλείας. Πριν από μερικά χρόνια, ένας εργάτης χάκερ έπεισε την Apple να επαναφέρει την ταυτότητα του συγγραφέα της Apple. Το GoDaddy εξαπατήθηκε να μετατρέψει ένα όνομα τομέα που επέτρεψε την εξαγορά του λογαριασμού Twitter. Η ταυτότητά μου συγχωνεύθηκε τυχαία με έναν άλλο Dave Greenbaum λόγω ενός ανθρώπινου λάθους στη MetLife. Αυτό το λάθος είχε σχεδόν ως αποτέλεσμα να ακυρώσω την ασφάλιση κατοικίας και αυτοκινήτου του άλλου Dave Greenbaum.

Ακόμα κι αν ένας άνθρωπος δεν ξεπερνά έναν παράγοντα δύοαυτό το δεύτερο μαρκάρισμα είναι απλώς ένα άλλο εμπόδιο για τον εισβολέα. Είναι ένα παιχνίδι για έναν χάκερ. Αν γνωρίζω πότε θα συνδεθείτε στο Dropbox σας για τον οποίο χρειάζομαι έναν κωδικό εξουσιοδότησης, τότε το μόνο που χρειάζεται να κάνω είναι να πάρω αυτόν τον κώδικα από εσάς. Αν δεν λάβω τα μηνύματα κειμένου μου κατευθυνόμενα (SIM-hack anyone), απλώς πρέπει να σε πείσω να απελευθερώσεις αυτόν τον κώδικα σε μένα. Αυτό δεν είναι επιστήμη πυραύλων. Θα μπορούσα να σας πείσω να δώσετε αυτόν τον κωδικό; Πιθανώς. Ελπίζουμε τα τηλέφωνά μας περισσότερο από τους υπολογιστές μας. Αυτός είναι ο λόγος για τον οποίο οι άνθρωποι πέφτουν για πράγματα όπως ένα ψεύτικο μήνυμα σύνδεσης iCloud.

Μια άλλη αληθινή ιστορία που μου συνέβη δύο φορές. Η εταιρεία της πιστωτικής μου κάρτας παρατήρησε ύποπτη δραστηριότητα και μου τηλεφώνησε. Μεγάλος! Αυτή είναι μια προσέγγιση βασισμένη στη συμπεριφορά για την οποία θα μιλήσω αργότερα. Ωστόσο, με ζήτησαν να δώσω τον πλήρη αριθμό της πιστωτικής μου κάρτας μέσω τηλεφώνου με μια κλήση που δεν έκανα. Ήταν συγκλονισμένοι και αρνήθηκα να τους δώσω τον αριθμό. Ένας διευθυντής μου είπε ότι σπάνια λαμβάνουν παράπονα από πελάτες. Οι περισσότεροι καλούντες απλώς παραδίδουν τον αριθμό της πιστωτικής κάρτας. Ωχ. Αυτό θα μπορούσε να ήταν οποιοδήποτε κακόβουλο άτομο από την άλλη πλευρά προσπαθώντας να πάρει τα προσωπικά μου δεδομένα.

Οι κωδικοί πρόσβασης δεν μας προστατεύουν

Κρύπτη

Φωτογραφία από ditatompel

Έχουμε πάρα πολλούς κωδικούς πρόσβασης στη ζωή μας επίσηςπολλά μέρη. Το μέσο έχει ήδη ξεφορτωθεί τους κωδικούς πρόσβασης. Οι περισσότεροι από εμάς γνωρίζουμε ότι πρέπει να έχουμε έναν μοναδικό κωδικό πρόσβασης για κάθε τοποθεσία. Αυτή η προσέγγιση είναι πολύ μεγάλη για να ζητήσουμε από τους αδίστακτους εγκέφαλους μας που ζουν μια πλούσια και πλούσια ψηφιακή ζωντανή. Οι διαχειριστές κωδικών πρόσβασης (αναλογικές ή ψηφιακές) βοηθούν στην πρόληψη των περιστασιακών χάκερ, αλλά όχι σε πολύπλοκες επιθέσεις. Heck, οι χάκερ δεν χρειάζονται καν κωδικούς πρόσβασης για να έχουν πρόσβαση στους μεμονωμένους λογαριασμούς μας. Μόλις εισέλθουν στις βάσεις δεδομένων που αποθηκεύουν τις πληροφορίες (Sony, Target, Federal Government).

Πάρτε ένα μάθημα από τις εταιρείες πιστωτικών καρτών

Ακόμα κι αν οι αλγόριθμοι μπορεί να είναι λίγο μακριά,οι πιστωτικές εταιρείες έχουν τη σωστή ιδέα. Κοιτάζουν τα μοντέλα αγορών και την τοποθεσία μας για να μάθουμε αν χρησιμοποιείτε την κάρτα σας. Εάν αγοράσετε φυσικό αέριο στο Κάνσας και στη συνέχεια αγοράσετε ένα κοστούμι στο Λονδίνο, αυτό είναι ένα πρόβλημα.

Λονδίνο

Φωτογραφία από το kozumel

Γιατί δεν μπορούμε να το εφαρμόσουμε στους λογαριασμούς μας στο διαδίκτυο; Ορισμένες εταιρείες προσφέρουν ειδοποιήσεις από ξένες διευθύνσεις IP (kudos στο LastPass για να επιτρέψουν στους χρήστες να ορίσουν προτιμώμενες χώρες για πρόσβαση). Εάν το τηλέφωνό μου, ο υπολογιστής μου, ο tablet και ο καρπός μου είναι όλα στο Kansas, τότε θα πρέπει να ενημερώσω αν ο λογαριασμός μου έχει πρόσβαση σε κάποιο άλλο μέρος. Τουλάχιστον, αυτές οι εταιρείες θα πρέπει να μου ζητήσουν μερικές επιπλέον ερωτήσεις προτού υποθέσω ότι είμαι που λέω ότι είμαι. Αυτή η υπηρεσία θυρωρού είναι ιδιαίτερα απαραίτητη για λογαριασμούς Google, Apple και Facebook, οι οποίοι πιστοποιούνται από άλλους λογαριασμούς από την OAuth. Η Google και το Facebook δίνουν προειδοποιήσεις για ασυνήθιστη δραστηριότητα, αλλά είναι συνήθως μια προειδοποίηση και οι προειδοποιήσεις δεν είναι προστασία. Η εταιρεία της πιστωτικής μου κάρτας λέει όχι στη συναλλαγή μέχρι να επιβεβαιώσουν ποιος είμαι. Απλά δεν λένε "Γεια σου ... σκέφτηκα ότι πρέπει να ξέρετε". Οι online λογαριασμοί μου δεν πρέπει να προειδοποιούν, θα πρέπει να μπλοκάρουν για ασυνήθιστη δραστηριότητα. Η πιο πρόσφατη συστροφή στην ασφάλεια πιστωτικών καρτών είναι η αναγνώριση προσώπου. Σίγουρα, κάποιος μπορεί να πάρει το χρόνο για να προσπαθήσει να διπλασιάσει το πρόσωπό σας, αλλά οι εταιρείες πιστωτικών καρτών φαίνεται να εργάζονται σκληρότερα για να μας προστατεύσουν.

Οι έξυπνοι βοηθοί μας (και οι συσκευές) είναι μια καλύτερη άμυνα

Φωτογραφία από τον Foomandoonian - http://flic.kr/p/7vn1x9

Φωτογραφία από τον Foomandoonian

Siri, Alexa, Cortana και Google γνωρίζουν έναν τόνοπράγματα για εμάς. Πρόβλεπαν με έξυπνο τρόπο πού πηγαίνουμε, όπου βρισκόμαστε και τι μας αρέσει. Αυτοί οι βοηθοί χτενίζουν τις φωτογραφίες μας για να οργανώσουν τις διακοπές μας, θυμηθείτε ποιοι είναι οι φίλοι μας και ακόμη και τη μουσική που μας αρέσει. Είναι ανατριχιαστικό σε ένα επίπεδο, αλλά πολύ χρήσιμο στην καθημερινή μας ζωή. Εάν τα δεδομένα Fitbit σας μπορούν να χρησιμοποιηθούν σε δικαστήριο, μπορούν επίσης να χρησιμοποιηθούν για την αναγνώρισή σας.

Όταν δημιουργείτε έναν λογαριασμό στο διαδίκτυο,οι εταιρείες σας ζητούν αλλοτικές ερωτήσεις όπως το όνομα του αγαπημένου σας γυμνασίου ή του δασκάλου σας τρίτου βαθμού. Οι αναμνήσεις μας δεν είναι τόσο σταθερές όσο ο υπολογιστής. Αυτές οι ερωτήσεις δεν μπορούν να βασιστούν στην επαλήθευση της ταυτότητάς μας. Έχω κλειδωθεί από τους λογαριασμούς πριν, επειδή το αγαπημένο μου εστιατόριο το 2011 δεν είναι το αγαπημένο μου εστιατόριο σήμερα για παράδειγμα.

Η Google έχει κάνει το πρώτο βήμα σε αυτόσυμπεριφορικής προσέγγισης με το Smart Lock για tablet και Chromebook. Εάν είστε εσείς που λέτε ότι είστε, τότε πιθανόν να έχετε το τηλέφωνό σας κοντά σας. Η Apple έριξε πραγματικά την μπάλα με το iCloud hack, επιτρέποντας χιλιάδες απόπειρες από την ίδια διεύθυνση IP.

Αντί να υπολογίσουμε ποιο τραγούδι θέλουμε να ακούσουμε στη συνέχεια, θέλω αυτές οι συσκευές να προστατεύσουν την ταυτότητά μου με λίγους τρόπους.

    1. Ξέρεις πού είμαι: Με το GPS του κινητού μου τηλεφώνου, γνωρίζει την τοποθεσία μου. Θα πρέπει να είναι σε θέση να πει τις άλλες συσκευές μου "Hey, είναι δροσερό, αφήστε τον μέσα." Αν είμαι σε Timbuktu περιαγωγής, δεν πρέπει να εμπιστεύεστε πραγματικά τον κωδικό μου και ίσως ακόμη και το δεύτερο παράγοντα μου.
    2. Ξέρεις τι κάνω: Ξέρεις πότε μπαίνω και με τι, έτσι είναι καιρός να με ρωτήσεις μερικές ακόμη ερωτήσεις. "Λυπάμαι ο Ντέιβ, δεν μπορώ να το κάνω αυτό" θα πρέπει να είναι η απάντηση όταν συνήθως δεν σας ζητώ να ανοίξετε τις πόρτες του ποταμού.
    3. Ξέρεις πώς να με επαληθεύεις: "Η φωνή μου είναι το διαβατήριό μου, επαληθεύστε με."Όχι, ο καθένας μπορεί να το αντιγράψει. Αντ 'αυτού, ρωτήστε μου ερωτήσεις που είναι εύκολο να απαντήσω και να θυμηθώ, αλλά δύσκολο να βρω στο Διαδίκτυο. Το πατρικό όνομα της μητέρας μου μπορεί να είναι εύκολο να βρεθεί, αλλά όπου έφαγα μεσημέρι την περασμένη εβδομάδα με τη μαμά δεν είναι (κοιτάξτε το ημερολόγιό μου). Εκεί που γνώρισα το γυμνάσιο μου είναι εύκολο να μαντέψω, αλλά ποια ταινία είδα την περασμένη εβδομάδα δεν είναι εύκολο να βρεθεί (απλώς ελέγξτε τις αποδείξεις ηλεκτρονικού ταχυδρομείου μου).
    4. Ξέρεις τι μοιάζω: Το Facebook μπορεί να με αναγνωρίσει από το πίσω μέρος του κεφαλιού μου και η Mastercard μπορεί να ανιχνεύσει το πρόσωπό μου. Αυτοί είναι καλύτεροι τρόποι επαλήθευσης του ποιος είμαι.

Ξέρω ότι πολύ λίγες εταιρείες εφαρμόζουνλύσεις όπως αυτό, αλλά αυτό δεν σημαίνει ότι δεν μπορώ να λαχταρούν γι 'αυτούς. Πριν διαμαρτυρηθείτε - ναι, αυτά μπορούν να χαραχτούν. Το πρόβλημα για τους χάκερς θα είναι να γνωρίζουμε ποια σειρά δευτερευόντων μέτρων χρησιμοποιεί μια ηλεκτρονική υπηρεσία. Θα μπορούσε να κάνει μια ερώτηση μια μέρα, αλλά να πάρει ένα selfie το επόμενο.

Η Apple κάνει μια μεγάλη ώθηση για να προστατεύσει την ιδιωτικότητά μουκαι το εκτιμώ αυτό. Ωστόσο, μόλις συνδεθεί το αναγνωριστικό της Apple μου, ήρθε η ώρα η Siri να με προστατεύει προληπτικά. Το Google Now και η Cortana μπορούν να το κάνουν και αυτό. Ίσως κάποιος να το αναπτύξει ήδη, και η Google κάνει κάποια βήματα στον τομέα αυτό, αλλά χρειαζόμαστε αυτό τώρα! Μέχρι αυτή την εποχή, πρέπει να είμαστε λίγο πιο προσεκτικοί στην προστασία του περιεχομένου μας. Ψάξτε για μερικές ιδέες την επόμενη εβδομάδα.

0

Παρόμοια άρθρα

Η Pandora χρειάζεται κάποιους χρήστες να επαναφέρουν τους κωδικούς τους
Νέα

Η Pandora χρειάζεται κάποιους χρήστες να επαναφέρουν τους κωδικούς τους ..

Twitter Accounts Hacked: Επαναφέρει περισσότερους κωδικούς πρόσβασης από τους απαραίτητους
Νέα

Twitter Λογαριασμοί Hacked: Επαναφέρει περισσότερους κωδικούς από τους ..

6,5 εκατομμύρια κωδικοί πρόσβασης LinkedIn διαρρέουν: Πώς να αλλάξετε τη δική σας τώρα
Νέα

6,5 εκατομμύρια κωδικοί πρόσβασης LinkedIn διαρρέουν: Πώς να αλλάξετε ..

DreamHost Hacked: Το WordPress λέει στους χρήστες να αλλάξουν κωδικούς πρόσβασης
Νέα

DreamHost Hacked: Το WordPress λέει στους χρήστες να αλλάξουν ..

Πώς να Retreive Ξεχάσατε FTP Passwords από Filezilla
Πως να

Πώς να Retreive Ξεχάσατε FTP Passwords από Filezilla ..

Τρόπος προβολής και διαγραφής αποθηκευμένων κωδικών πρόσβασης Google
Πως να

Τρόπος προβολής και διαγραφής αποθηκευμένων κωδικών πρόσβασης Google.

Πώς να διαχειριστείτε κωδικούς πρόσβασης με περιηγητή Edge στα Windows 10
Πως να

Πώς να διαχειριστείτε κωδικούς πρόσβασης με περιηγητή Edge στα Windows 10 ..

Έλεγχος ταυτότητας δύο παραγόντων Google - Δημιουργήστε συγκεκριμένους κωδικούς μίας χρήσης εκτός εφαρμογής
Πως να

Google ταυτότητας δύο παραγόντων - Δημιουργία ..

Πώς να προστατεύσετε τους κωδικούς πρόσβασης του Firefox με έναν κύριο κωδικό πρόσβασης
Πως να

Πώς να προστατεύσετε τους κωδικούς πρόσβασης του Firefox με έναν κύριο κωδικό πρόσβασης.

Firefox: Πώς να δείτε τους αποθηκευμένους κωδικούς σας
Πως να

Firefox: Πώς να δείτε τους αποθηκευμένους κωδικούς σας ..

Αφήστε ένα σχόλιο