Salasanat ovat hajonneet: On parempi tapa todentaa käyttäjät

Joka viikko näyttää siltä, ​​että luemme tarinoitayritykset ja verkkosivustot vaarantuvat ja kuluttajatiedot varastetaan. Monille meistä pahimmat sisäänajonnot tapahtuvat, kun salasanat varastetaan. LastPass-hakkeri on yksi viimeisimmistä hyökkäyksistä. Toisinaan se on digitaalisen terrorismin muoto, joka vain kasvaa. Kaksitekijäinen todennus ja biometriset tiedot ovat hienoja paikkoja ongelmaan, mutta ne jättävät huomioimatta sisäänkirjautumisen hallintaan liittyvät peruskysymykset. Meillä on välineet ongelman ratkaisemiseksi, mutta niitä ei ole sovellettu oikein.

Unohditko salasanasi

Kuva: polomex - http://flic.kr/p/cCzxju

Miksi otamme kengät pois Yhdysvalloissa, mutta ei Israelissa

Kuka tahansa, joka lentää Yhdysvalloissa, tietääTSA-tietoturvasta. Riisuamme turkkiimme, vältetään nesteitä ja riisutaan kengätmme ennen turvallisuuden läpikäymistä. Meillä on nimien perusteella no-fly-luettelo. Nämä ovat reaktioita erityisiin uhkiin. Se ei ole tapa, jolla Israelin kaltainen maa turvaa. En ole lentänyt El-Aliin (Israelin kansalliset lentoyhtiöt), mutta ystävät kertovat minulle haastatteluista, joita he käyvät turvallisuudessa. Turvallisuushenkilöt koodittavat uhat henkilökohtaisten ominaisuuksien ja käyttäytymisen perusteella.

Tsa-merkki, joka kertoo lapsille, ettei heidän tarvitse ottaa kengäänsä pois

Kuva: Ben Popken

Käytämme TSA-lähestymistapaa verkkotileihinja siksi meillä on kaikki turvallisuusongelmat. Kaksitekijäinen todennus on alku. Kun kuitenkin lisäämme toisen tekijän tiliisi, meitä huijataan väärään turvatunteeseen. Tämä toinen tekijä suojaa sitä, että joku varastaa salasanani - erityinen uhka. Voisiko toinen tekijä vaarantua? Varma. Puhelimesi voidaan varastaa tai haittaohjelma saattaa vaarantaa toisen tekijän.

Inhimillinen tekijä: Sosiaalitekniikka

9849 Kaikki ihmiset hakkerointi 2.0

Kuva Kevin Baird

Jopa kaksifaktorisissa lähestymistavoissa ihmiset ovat edelleenkyky ohittaa suojausasetukset. Muutama vuosi sitten, ahkera hakkeri vakuutti Applen palauttamaan kirjoittajan Apple ID: n. GoDaddy oli huijattu muuttamaan verkkotunnusta, joka mahdollisti Twitter-tilin haltuunoton. Henkilöllisyyteni sulautettiin vahingossa toisen Dave Greenbaumin kanssa MetLife-inhimillisen virheen vuoksi. Tämä virhe johti melkein siihen, että peruin toisen Dave Greenbaumin koti- ja autovakuutuksen.

Vaikka ihminen ei ohittaisi kahta tekijääAsettaminen, toinen merkki on vain yksi este hyökkääjälle. Se on peli hakkereille. Jos tiedän kirjautuessasi Dropboxiin, että tarvitsen valtuuskoodin, niin tarvitsen vain saada se sinulta. Jos en saa tekstiviestejäsi ohjaamaan minulle (SIM-hakkero ketään?), Minun on vain vakuutettava sinut vapauttamaan kyseinen koodi minulle. Tämä ei ole rakettitiede. Voinko vakuuttaa sinut antamaan tämän koodin takaisin? Mahdollisesti. Luotamme puhelimiin enemmän kuin tietokoneisiin. Siksi ihmiset menevät esimerkiksi väärennettyjen iCloud-kirjautumisviestien vuoksi.

Toinen tosi tarina, joka tapahtui minulle kahdesti. Luottokorttiyhtiöni huomasi epäilyttävää toimintaa ja soitti minulle. Loistava! Se on käyttäytymiseen perustuva lähestymistapa, josta puhun myöhemmin. He kuitenkin pyysivät minua antamaan täyden luottokorttinumeroni puhelimitse puhelimella, jota en tehnyt. He olivat järkyttyneitä, en kieltäytynyt antamasta heille numeroa. Johtaja kertoi minulle, että he saavat harvoin valituksia asiakkailta. Suurin osa soittajista luovuttaa vain luottokorttinumeron. Auts. Se voi olla kuka tahansa huono henkilö, joka yritti saada henkilökohtaisia ​​tietojani.

Salasanat eivät suojaa meitä

Krypta

Kuva ditatompel

Meillä on myös liian paljon salasanoja elämässämmemonta paikkaa. Medium on jo päässyt eroon salasanoista. Suurin osa meistä tietää, että jokaisella sivustolla pitäisi olla yksilöivä salasana. Tämä lähestymistapa on aivan liikaa kysyämme raivoisilta maallisilta aivoiltamme, jotka elävät täydellisen ja rikkaan digitaalisen elämän. Salasananhallinnat (analogiset tai digitaaliset) auttavat estämään satunnaisia ​​hakkereita, mutta eivät hienostuneita hyökkäyksiä. Hei, hakkerit eivät edes tarvitse salasanoja pääsyämme henkilökohtaisiin tileihimme. He vain murtautuvat tietokantoihin, jotka tallentavat tietoja (Sony, Target, liittohallitus).

Ota oppitunti luottokorttiyhtiöiltä

Vaikka algoritmit saattavat olla hiukan pois,luottoyhtiöillä on oikea idea. He tutkivat ostotapojamme ja sijaintiasi tietääksesi, käyttääkö korttiasi. Jos ostat kaasua Kansasista ja sitten puku Lontoossa, se on ongelma.

Lontoo

Kuva: kozumel

Miksi emme voi soveltaa tätä verkkotileihimme? Jotkut yritykset tarjoavat ulkomaisten IP-osoitteiden ilmoituksia (kudot LastPassille, jotta käyttäjät voivat asettaa ensisijaiset maat pääsyyn). Jos puhelimeni, tietokoneeni, tabletini ja rannelaitteeni ovat kaikki Kansasissa, minulle tulisi ilmoittaa, jos tiliini käytetään muualla. Ainakin näiden yritysten tulisi kysyä minulta muutama lisäkysymys ennen kuin he luulevat olevani kuka minä sanon olevani. Tätä portinhallintaa tarvitaan erityisesti Google-, Apple- ja Facebook-tileille, jotka todentavat OAuthin muille tileille. Google ja Facebook antavat varoituksia epätavallisesta toiminnasta, mutta ne ovat yleensä vain varoituksia, eivätkä varoitukset ole suoja. Luottokorttiyhtiöni kieltäytyy tapahtumasta, ennen kuin hän tarkistaa kuka olen. He eivät vain sano "Hei ... ajattelin sinun pitäisi tietää". Online-tilini ei saisi varoittaa, sen pitäisi estää epätavallisen toiminnan vuoksi. Uusin kierre luottokorttiturvallisuuteen on kasvojentunnistus. Toki joku voi viedä aikaa yrittää kopioida kasvosi, mutta luottokorttiyhtiöt näyttävät työskentelevän vaikeammin suojelemaan meitä.

Älykkäät avustajamme (ja laitteet) ovat parempi puolustus

Kuva Foomandoonian - http://flic.kr/p/7vn1x9

Kuva: Foomandoonian

Siri, Alexa, Cortana ja Google tietävät paljonjuttuja meistä. He ennustavat älykkäästi minne olemme menossa, missä olemme olleet ja mistä pidämme. Nämä avustajat kampaavat valokuvia järjestämään lomat, muistavat kuka ystävämme ovat ja jopa haluamastamme musiikista. Se on kammottava yhdellä tasolla, mutta erittäin hyödyllinen jokapäiväisessä elämässämme. Jos Fitbit-tietojasi voidaan käyttää tuomioistuimessa, niitä voidaan käyttää myös sinun tunnistamiseen.

Kun luot verkkotiliä,yritykset kysyvät tyhmältä haasteelta kuten lukion kultaseni tai kolmannen luokan opettajan nimi. Muistomme eivät ole niin kiinni kuin tietokone. Näihin kysymyksiin ei voida vedota identiteettimme vahvistamisessa. Minulla ei ole tiliä aiemmin, koska vuoden 2011 suosikkiravintolani ei ole esimerkiksi minun suosikkiravintolani tänään.

Google on ottanut ensimmäisen askeleen tässäkäyttäytymismalli Smart Lock -sovelluksella tableteille ja Chromebookeille. Jos olet kuka sanot olevansa, sinulla on todennäköisesti puhelimesi lähelläsi. Apple todella pudotti pallon iCloud-hakkeroinnilla, mahdollistaen tuhansia yrityksiä samasta IP-osoitteesta.

Sen sijaan, että mietin, mitä kappaletta haluamme seuraavaksi kuunnella, haluan näiden laitteiden suojaavan henkilöllisyyttäni muutamalla tavalla.

    1. Tiedät missä olen: Matkapuhelimen GPS: n avulla se tietää sijaintini. Sen pitäisi pystyä sanomaan muille laitteilleni "Hei, se on hienoa, anna hänen sisään." Jos olen Timbuktu-verkkovierailussa, sinun ei pitäisi oikeasti luottaa salasanani ja mahdollisesti edes toisen tekijäni.
    2. Tiedät mitä teen: Tiedät milloin kirjaudun sisään ja millaisen kanssa, joten on aika kysyä minulta muutama kysymys. "Olen pahoillani Dave, en osaa tehdä sitä" pitäisi olla vastaus, kun en yleensä pyytä sinua avaamaan pod-lahden ovia.
    3. Tiedät kuinka vahvistaa minut: ”Ääneni on passi, tarkista minut.”Ei, kuka tahansa voi kopioida sen. Kysy sen sijaan kysymyksiä, joihin on helppo vastata ja muistaa, mutta joita on vaikea löytää Internetistä. Äitini tyttönimi voi olla helppo löytää, mutta missä söin viime viikolla lounasta äidin kanssa, ei ole (katso kalenterini). Mistä tapasin lukion kultaseni, on helppo arvata, mutta mitä elokuvaa nähin viime viikolla, ei ole helppo löytää (tarkista vain sähköpostiosoitteeni).
    4. Tiedät miltä näytän: Facebook tunnistaa minut pääni takana ja Mastercard tunnistaa kasvoni. Nämä ovat parempia tapoja varmistaa, kuka olen.

Tiedän, että hyvin harvat yritykset toteuttavattällaisia ​​ratkaisuja, mutta se ei tarkoita, etten voi himota niitä. Ennen kuin valitat - kyllä, ne voidaan hakkeroida. Hakkereiden ongelma on tietäminen, mitä sekundaarisia toimenpiteitä verkkopalvelu käyttää. Se saattaa kysyä kysymyksen yhtenä päivänä, mutta ottaa seuraavana selfie-kuvan.

Apple pyrkii suojaamaan yksityisyyttänija arvostan sitä. Kun Apple-tunnukseni on kirjautunut sisään, on kuitenkin aika, että Siri suojaa minua ennakoivasti. Google Now ja Cortana voivat myös tehdä sen. Ehkä joku kehittää tätä jo, ja Google on edistynyt tällä alalla, mutta tarvitsemme tätä nyt! Siihen saakka meidän on oltava hiukan valppaampia tavaroidemme suojelemisessa. Etsi ideoita siitä ensi viikolla.

0

Samankaltaisia ​​artikkeleita

Pandora tarvitsee joitain käyttäjiä palauttamaan salasanansa
Uutiset

Pandora tarvitsee joitain käyttäjiä palauttamaan salasanansa ..

Twitter-tilit hakkeroitu: nollaa enemmän salasanoja kuin tarvitaan
Uutiset

Twitter-tilit hakkeroitu: nollaa enemmän salasanoja kuin ..

6,5 miljoonaa LinkedIn-salasanaa vuotanut: Kuinka muuttaa nyt
Uutiset

6,5 miljoonaa LinkedIn-salasanaa vuotanut: Miten muuttaa ..

DreamHost hakkeroitu: WordPress kehottaa käyttäjiä vaihtamaan salasanat
Uutiset

DreamHost hakkeroitu: WordPress kehottaa käyttäjiä vaihtamaan ..

Kuinka palauttaa unohtuneet FTP-salasanat Filezillasta
Miten

Kuinka palauttaa unohtuneet FTP-salasanat Filezillasta.

Kuinka tarkastella ja poistaa tallennettuja Google-salasanoja
Miten

Kuinka tarkastella ja poistaa tallennettuja Google-salasanoja ..

Kuinka hallita salasanoja Edge-selaimella Windows 10: ssä
Miten

Kuinka hallita salasanoja Edge-selaimella Windows 10: ssä ..

Google Two Factor Authentication - Luo sovelluskohtaisia ​​kertaluonteisia salasanoja
Miten

Google Two Factor Authentication - Luo ..

Kuinka suojata Firefox-salasanoja pääsalasanalla
Miten

Kuinka suojata Firefox-salasanoja pääsalasanalla ..

Firefox: Tallennettujen salasanojen näkeminen
Miten

Firefox: Tallennettujen salasanojen näkeminen ..

Jätä kommentti