Les mots de passe sont brisés: il existe un meilleur moyen d'authentifier les utilisateurs

Il semble que chaque semaine, nous lisons des histoires deentreprises et sites Web compromis et données de consommateurs volées. Pour beaucoup d'entre nous, les pires introductions par effraction se produisent lorsque des mots de passe sont volés. Le LastPass Hack est l’une des attaques les plus récentes. À bien des égards, il s’agit d’une forme de terrorisme numérique qui ne fait que croître. L'authentification à deux facteurs et la biométrie sont de bons correctifs pour le problème, mais ils ignorent les problèmes fondamentaux liés à la gestion de la connexion. Nous avons les outils pour résoudre le problème, mais ils n’ont pas été appliqués correctement.

Mot de passe oublié

Photo de polomex - http://flic.kr/p/cCzxju

Pourquoi nous enlevons nos chaussures aux États-Unis mais pas en Israël

Tous ceux qui voyagent aux États-Unis saventsur la sécurité TSA. Nous enlevons nos manteaux, évitons les liquides et nos chaussures avant de passer la sécurité. Nous avons une liste d'interdiction de vol basée sur des noms. Ce sont des réactions à des menaces spécifiques. Ce n’est pas ainsi qu’un pays comme Israël assure la sécurité. Je n’ai pas piloté El-Al (compagnies aériennes nationales israéliennes), mais des amis me parlent des entretiens qu’ils passent par la sécurité. Les agents de sécurité codent les menaces en fonction de caractéristiques et de comportements personnels.

Signe Tsa disant aux enfants qu'ils ne doivent pas enlever leurs chaussures

Photo de Ben Popken

Nous adoptons l'approche TSA pour les comptes en ligneC’est pourquoi nous avons tous les problèmes de sécurité. L'authentification à deux facteurs est un début. Pourtant, lorsque nous ajoutons un deuxième facteur à nos comptes, nous sommes plongés dans un faux sentiment de sécurité. Ce deuxième facteur protège contre le vol de mon mot de passe, une menace spécifique. Mon deuxième facteur pourrait-il être compromis? Sûr. Mon téléphone pourrait être volé ou un logiciel malveillant pourrait compromettre mon deuxième facteur.

Le facteur humain: ingénierie sociale

9849 Viss People piratage 2.0

Photo de Kevin Baird

Même avec des approches à deux facteurs, les humains restentavoir la possibilité de remplacer les paramètres de sécurité. Il y a quelques années, un pirate informatique persistant a convaincu Apple de réinitialiser l'identifiant Apple d'un écrivain. GoDaddy a été amené à donner un nom de domaine qui permettait une prise de contrôle de compte Twitter. Mon identité a été fusionnée accidentellement avec un autre Dave Greenbaum suite à une erreur humaine sur MetLife. Cette erreur m'a presque conduit à annuler les assurances habitation et automobile de l'autre Dave Greenbaum.

Même si un humain ne remplace pas un facteur à deux facteursparamètre, ce deuxième jeton est juste un autre obstacle pour l'attaquant. C’est un jeu pour un pirate informatique. Si je sais que, lorsque vous vous connectez à votre Dropbox, pour lequel j'ai besoin d'un code d'autorisation, tout ce que j'ai à faire est d'obtenir ce code de votre part. Si je ne reçois pas vos messages texte (SIM-pirater quelqu'un?), Je dois simplement vous convaincre de me communiquer ce code. Ce n’est pas sorcier. Puis-je vous convaincre de rendre ce code? Peut-être. Nous faisons davantage confiance à nos téléphones qu'à nos ordinateurs. C’est la raison pour laquelle les gens s’attachent à des choses comme un faux message de connexion iCloud.

Une autre histoire vraie qui m'est arrivée deux fois. Ma compagnie de carte de crédit a remarqué une activité suspecte et m'a appelé. Génial! C’est une approche comportementale dont je parlerai plus tard. Cependant, ils m'ont demandé de donner mon numéro de carte de crédit complet par téléphone avec un appel que je n'ai pas passé. Ils ont été choqués, j'ai refusé de leur donner le numéro. Un responsable m'a dit qu'ils recevaient rarement des plaintes de clients. La plupart des appelants se contentent de donner le numéro de carte de crédit. Aie. Cela pourrait être n'importe quelle personne néfaste à l'autre bout essayant d'obtenir mes données personnelles.

Les mots de passe ne nous protègent pas

Crypte

Photo de ditatompel

Nous avons trop de mots de passe dans notre vie aussiplusieurs places. Medium s'est déjà débarrassé des mots de passe. La plupart d'entre nous savons que nous devrions avoir un mot de passe unique pour chaque site. Cette approche est beaucoup trop demander à nos chétifs cerveaux qui vivent dans un live numérique riche et riche. Les gestionnaires de mots de passe (analogiques ou numériques) aident à prévenir les pirates occasionnels, mais pas les attaques sophistiquées. Heck, les pirates n’ont même pas besoin de mots de passe pour accéder à nos comptes individuels. Ils viennent tout juste de pénétrer dans les bases de données qui stockent les informations (Sony, Target, Gouvernement fédéral).

Prenez une leçon des sociétés émettrices de cartes de crédit

Même si les algorithmes sont un peu lointains,les sociétés de crédit ont la bonne idée. Ils examinent nos habitudes d’achat et d’emplacement pour savoir si vous utilisez votre carte. Si vous achetez de l’essence au Kansas, puis un costume à Londres, c’est un problème.

Londres

Photo de kozumel

Pourquoi ne pouvons-nous pas appliquer cela à nos comptes en ligne? Certaines entreprises proposent des alertes provenant d’IP étrangers (félicitations à LastPass pour avoir laissé les utilisateurs définir les pays de prédilection pour l’accès). Si mon téléphone, mon ordinateur, ma tablette et mon appareil au poignet sont tous situés au Kansas, je devrais être averti si mon compte est utilisé ailleurs. À tout le moins, ces entreprises devraient me poser quelques questions supplémentaires avant de présumer que je suis ce que je dis. Ce contrôle est particulièrement nécessaire pour les comptes Google, Apple et Facebook qui s’authentifient auprès d’autres comptes via OAuth. Google et Facebook donnent des avertissements pour des activités inhabituelles, mais ils ne sont généralement qu'un avertissement, et les avertissements ne constituent pas une protection. Ma compagnie de carte de crédit dit non à la transaction jusqu'à ce qu'elle vérifie qui je suis. Ils ne disent simplement pas: "Hé ... pensais que tu devrais savoir". Mes comptes en ligne ne doivent pas avertir, ils doivent bloquer les activités inhabituelles. La plus récente modification de la sécurité des cartes de crédit est la reconnaissance faciale. Bien sûr, quelqu'un peut prendre le temps d'essayer de reproduire votre visage, mais les sociétés émettrices de cartes de crédit semblent travailler plus fort pour nous protéger.

Nos assistants intelligents (et nos appareils) constituent une meilleure défense

Photo de Foomandoonian - http://flic.kr/p/7vn1x9

Photo de Foomandoonian

Siri, Alexa, Cortana et Google connaissent une tonne dedes choses sur nous. Ils prédisent intelligemment où nous allons, où nous sommes allés et ce que nous aimons. Ces assistants peignent nos photos pour organiser nos vacances, rappellent qui sont nos amis et même la musique que nous aimons. C’est effrayant à un niveau, mais très utile dans notre vie quotidienne. Si vos données Fitbit peuvent être utilisées devant un tribunal, elles peuvent également être utilisées pour vous identifier.

Lorsque vous créez un compte en ligne,Les entreprises vous posent des questions idiotes telles que le nom de votre amoureuse du lycée ou de votre enseignant de troisième année. Nos souvenirs ne sont pas aussi solides qu'un ordinateur. On ne peut pas compter sur ces questions pour vérifier notre identité. J’ai déjà été mis en lock-out parce que mon restaurant préféré en 2011 n’est pas mon restaurant préféré aujourd’hui, par exemple.

Google a fait le premier pas dans cette voieapproche comportementale avec Smart Lock pour tablettes et Chromebooks. Si vous êtes ce que vous dites, alors vous avez probablement votre téléphone près de vous. Apple a vraiment laissé tomber la balle avec le piratage iCloud, permettant des milliers de tentatives à partir de la même adresse IP.

Au lieu de déterminer quelle chanson nous voulons écouter ensuite, je souhaite que ces appareils protègent mon identité de plusieurs manières.

    1. Tu sais où je suis: Avec le GPS de mon téléphone portable, il connaît ma position. Il devrait pouvoir dire à mes autres appareils: «Hé, c’est cool, laissez-le entrer.» Si je suis en itinérance à Tombouctou, vous ne devriez pas vraiment faire confiance à mon mot de passe et peut-être même à mon deuxième facteur.
    2. Tu sais ce que je fais: Vous savez quand je me connecte et avec quoi, alors il est temps de me poser quelques questions supplémentaires. "Je suis désolé Dave, je ne peux pas faire cela" devrait être la réponse lorsque je ne vous demanderai pas normalement d'ouvrir les portes de la baie de pod.
    3. Vous savez comment me vérifier: «Ma voix est mon passeport, vérifiez-moi.”Non, n'importe qui peut copier ça. Au lieu de cela, posez-moi des questions qu'il m'est facile de répondre et de retenir, mais difficiles à trouver sur Internet. Le nom de jeune fille de ma mère est peut-être facile à trouver, mais ma déjeuné la semaine dernière avec maman ne l’est pas (regardez mon calendrier). Il est facile de deviner où j’ai rencontré ma chérie du lycée, mais le film que j’ai vu la semaine dernière n’est pas facile à trouver (il suffit de consulter mes reçus d’email).
    4. Tu sais à quoi je ressemble: Facebook peut me reconnaître à l'arrière de la tête et Mastercard peut détecter mon visage. Ce sont de meilleurs moyens de vérifier qui je suis.

Je sais que très peu d'entreprises mettent en œuvreDes solutions comme celle-ci, mais cela ne veut pas dire que je ne peux pas les désirer. Avant de vous plaindre-oui, ils peuvent être piratés. Le problème pour les pirates sera de savoir quel ensemble de mesures secondaires est utilisé par un service en ligne. Il pourrait poser une question un jour, mais prenez un selfie le lendemain.

Apple fait de gros efforts pour protéger ma vie privéeet j'apprécie ça. Cependant, une fois mon identifiant Apple connecté, il est temps que Siri me protège de manière proactive. Google Now et Cortana peuvent également le faire. Peut-être que quelqu'un est déjà en train de développer cela, et Google fait des progrès dans ce domaine, mais nous en avons besoin maintenant! En attendant, nous devons être un peu plus vigilants dans la protection de nos produits. Cherchez des idées à ce sujet la semaine prochaine.

0

Articles similaires

Pandora a besoin que certains utilisateurs réinitialisent leurs mots de passe
Nouvelles

Pandora a besoin que certains utilisateurs réinitialisent leurs mots de passe.

Comptes Twitter piratés: réinitialise plus de mots de passe que nécessaire
Nouvelles

Comptes Twitter piratés: réinitialise plus de mots de passe que ..

6,5 millions de mots de passe LinkedIn dévoilés: comment changer le vôtre maintenant
Nouvelles

6,5 millions de mots de passe LinkedIn ont fui: comment changer ...

DreamHost piraté: WordPress dit aux utilisateurs de changer les mots de passe
Nouvelles

DreamHost piraté: WordPress dit aux utilisateurs de changer ..

Comment récupérer les mots de passe FTP oubliés de Filezilla
Comment

Comment récupérer les mots de passe FTP oubliés de Filezilla ..

Comment afficher et supprimer les mots de passe Google enregistrés
Comment

Comment afficher et supprimer les mots de passe Google enregistrés?

Comment gérer les mots de passe avec le navigateur Edge dans Windows 10
Comment

Comment gérer les mots de passe avec le navigateur Edge dans Windows 10 ..

Authentification Google à deux facteurs - Création de mots de passe uniques spécifiques à l'application
Comment

Authentification Google à deux facteurs - Créer ..

Comment protéger les mots de passe Firefox avec un mot de passe principal
Comment

Comment protéger les mots de passe Firefox avec un mot de passe principal ..

Firefox: Comment voir vos mots de passe enregistrés
Comment

Firefox: Comment voir vos mots de passe sauvegardés ..

laissez un commentaire