पासवर्ड टूट गए हैं: उपयोगकर्ताओं को प्रमाणित करने का एक बेहतर तरीका है

हर हफ्ते ऐसा लगता है, हम की कहानियाँ पढ़ रहे हैंकंपनियों और वेबसाइटों से समझौता किया जा रहा है और उपभोक्ता डेटा चोरी हो रहा है। हम में से कई के लिए, पासवर्ड चोरी होने पर सबसे खराब ब्रेक-इन्स हैं। लास्टपास हैक हाल के हमलों में से एक है। मायनों में, यह डिजिटल आतंकवाद का एक रूप है जो केवल बढ़ रहा है। दो-कारक प्रमाणीकरण और बायोमेट्रिक्स समस्या के लिए अच्छे पैच हैं, लेकिन वे लॉगिन प्रबंधन से संबंधित मूलभूत मुद्दों की अनदेखी करते हैं। हमारे पास समस्या को हल करने के लिए उपकरण हैं, लेकिन वे ठीक से लागू नहीं किए गए हैं।

पोलीमेक्स द्वारा फोटो - http://flic.kr/p/cCzxju

क्यों हम संयुक्त राज्य अमेरिका में अपने जूते उतार लेते हैं लेकिन इजरायल में नहीं

कोई भी व्यक्ति जो संयुक्त राज्य में बहता है वह जानता हैTSA सुरक्षा के बारे में। हम अपने कोट उतारते हैं, तरल पदार्थों से बचते हैं, और सुरक्षा से गुजरने से पहले अपने जूते उतार देते हैं। हमारे पास नामों के आधार पर नो-फ्लाई सूची है। ये विशिष्ट खतरों के लिए प्रतिक्रियाएं हैं। इजरायल जैसा देश सुरक्षा नहीं करता है। मैंने एल-अल (इज़राइल की राष्ट्रीय एयरलाइंस) को नहीं उड़ाया, लेकिन दोस्तों ने मुझे उन साक्षात्कारों के बारे में बताया जो वे सुरक्षा में गुजरते हैं। सुरक्षा अधिकारी कोड व्यक्तिगत विशेषताओं और व्यवहारों के आधार पर धमकी देते हैं।

बेन पॉपेन द्वारा फोटो

हम टीएसए दृष्टिकोण को ऑनलाइन खातों में ले जा रहे हैंऔर इसलिए हमें सुरक्षा संबंधी सभी समस्याएं हैं। दो-कारक प्रमाणीकरण एक शुरुआत है। फिर भी जब हम अपने खातों में एक दूसरा कारक जोड़ते हैं, तो हम सुरक्षा की झूठी भावना से ग्रस्त हो जाते हैं। वह दूसरा कारक मेरे पासवर्ड को चुराने वाले किसी विशिष्ट खतरे से बचाता है। क्या मेरे दूसरे कारक से समझौता किया जा सकता है? ज़रूर। मेरा फोन चोरी हो सकता है या मैलवेयर मेरे दूसरे कारक से समझौता कर सकता है।

द ह्यूमन फैक्टर: सोशल इंजीनियरिंग

केविन बेयर्ड द्वारा फोटो

दो-कारक दृष्टिकोण के साथ भी, मनुष्य अभी भीसुरक्षा सेटिंग्स को ओवरराइड करने की क्षमता है। कुछ साल पहले, एक मेहनती हैकर ने Apple को एक लेखक की Apple ID रीसेट करने के लिए मना लिया। GoDaddy को एक डोमेन नाम के रूप में परिवर्तित किया गया, जिसने एक ट्विटर अकाउंट टेकओवर किया। मेटलाइफ में एक मानवीय गलती के कारण मेरी पहचान को एक और डेव ग्रीनबाम के साथ विलय कर दिया गया। इस गलती के कारण मुझे लगभग डेव ग्रीनबाम का घर और ऑटो बीमा रद्द करना पड़ा।

भले ही एक मानव एक दो-कारक को ओवरराइड नहीं करता हैसेटिंग, कि दूसरा टोकन हमलावर के लिए सिर्फ एक और बाधा है। यह एक हैकर के लिए एक खेल है। अगर मुझे पता है कि जब आप अपने ड्रॉपबॉक्स में लॉग इन करते हैं, तो मुझे इसके लिए एक प्राधिकरण कोड की आवश्यकता होती है, तो मुझे केवल उस कोड को आपसे प्राप्त करने की आवश्यकता है। अगर मुझे आपके पाठ संदेश मुझे नहीं दिए गए (किसी को भी हैक करें?), तो मुझे आपको केवल उस कोड को जारी करने के लिए मनाने की आवश्यकता है। यह रॉकेट साइंस नहीं है। क्या मैं आपको उस कोड को वापस देने के लिए मना सकता हूं? संभवतः। हम अपने कंप्यूटर से ज्यादा अपने फोन पर भरोसा करते हैं। यही कारण है कि लोग नकली iCloud लॉगिन संदेश जैसी चीजों के लिए आते हैं।

एक और सच्ची कहानी जो मेरे साथ दो बार हुई। मेरी क्रेडिट कार्ड कंपनी ने संदिग्ध गतिविधि देखी और मुझे बुलाया। महान! यह एक व्यवहार-आधारित दृष्टिकोण है जिसके बारे में मैं बाद में बात करता हूँ। हालाँकि, उन्होंने मुझे फ़ोन पर अपना पूरा क्रेडिट कार्ड नंबर एक कॉल के साथ देने को कहा, जो मैंने नहीं किया। वे हैरान थे मैंने उन्हें नंबर देने से इनकार कर दिया। एक प्रबंधक ने मुझे बताया कि उन्हें ग्राहकों की शिकायतें बहुत कम आती हैं। ज्यादातर कॉलर्स सिर्फ क्रेडिट कार्ड नंबर सौंपते हैं। आउच। मेरे निजी डेटा को प्राप्त करने की कोशिश में दूसरे छोर पर कोई भी नापाक व्यक्ति हो सकता है।

पासवर्ड हमें सुरक्षित न रखें

फोटो ditatompel द्वारा

हमारे जीवन में भी बहुत सारे पासवर्ड हैंबहुत से स्थान। माध्यम ने पहले ही पासवर्ड से छुटकारा पा लिया है। हम में से अधिकांश जानते हैं कि हमारे पास हर साइट के लिए एक अनूठा पासवर्ड होना चाहिए। यह तरीका एक पूर्ण और समृद्ध डिजिटल जीवन जीने वाले हमारे दंडित पृथ्वी के दिमागों के बारे में पूछने का तरीका है। पासवर्ड मैनेजर (एनालॉग या डिजिटल) कैजुअल हैकर्स को रोकने में मदद करते हैं, लेकिन एक परिष्कृत हमले नहीं। हेक, हैकर्स को हमारे व्यक्तिगत खातों तक पहुँचने के लिए भी पासवर्ड की आवश्यकता नहीं होती है। वे सिर्फ उन डेटाबेस में सेंध लगाते हैं जो जानकारी संग्रहीत करते हैं (सोनी, लक्ष्य, संघीय सरकार)।

क्रेडिट कार्ड कंपनियों से सबक लें

भले ही एल्गोरिदम थोड़ा बंद हो,क्रेडिट कंपनियों के पास सही विचार है। यह जानने के लिए कि क्या आप अपने कार्ड का उपयोग कर रहे हैं, वे हमारे खरीद पैटर्न और स्थान को देखते हैं। यदि आप कैनसस में गैस खरीदते हैं और फिर लंदन में एक सूट खरीदते हैं, तो यह एक समस्या है।

कोज़ूमेल ​​द्वारा फोटो

हम इसे अपने ऑनलाइन खातों पर लागू क्यों नहीं कर सकते? कुछ कंपनियां विदेशी आईपी (यूडोस टु लास्टपास से यूजर्स को पसंदीदा देशों को एक्सेस के लिए सेट करने देती हैं) से अलर्ट देती हैं। यदि मेरा फोन, कंप्यूटर, टैबलेट और कलाई डिवाइस सभी कंसास में हैं, तो मुझे सूचित किया जाना चाहिए कि क्या मेरा खाता कहीं और एक्सेस किया गया है। बहुत कम से कम, इन कंपनियों को मुझे कुछ अतिरिक्त प्रश्न पूछने चाहिए, इससे पहले कि मैं कहूं कि मैं कौन हूं, मैं कहता हूं। यह गेटकीपिंग विशेष रूप से Google, Apple और Facebook खातों के लिए आवश्यक है, जो OAuth द्वारा अन्य खातों को प्रमाणित करते हैं। Google और फेसबुक असामान्य गतिविधि के लिए चेतावनी देते हैं, लेकिन वे आमतौर पर सिर्फ एक चेतावनी है, और चेतावनी सुरक्षा नहीं है। मेरी क्रेडिट कार्ड कंपनी कहती है कि जब तक वे यह सत्यापित नहीं करेंगे कि मैं कौन हूं। वे सिर्फ यह नहीं कहते हैं कि "अरे ... सोचा था कि आपको पता होना चाहिए"। मेरे ऑनलाइन खातों को चेतावनी नहीं दी जानी चाहिए, उन्हें असामान्य गतिविधि के लिए ब्लॉक करना चाहिए। क्रेडिट कार्ड सुरक्षा के लिए सबसे नया मोड़, चेहरे की पहचान है। निश्चित रूप से, कोई आपके चेहरे की नकल करने की कोशिश करने के लिए समय ले सकता है, लेकिन क्रेडिट कार्ड कंपनियां हमें बचाने के लिए कड़ी मेहनत कर रही हैं।

हमारे स्मार्ट सहायक (और उपकरण) एक बेहतर बचाव हैं

फोटो फूमंडूनियन द्वारा

सिरी, एलेक्सा, कोरटाना और गूगल के एक टन को जानते हैंहमारे बारे में सामान। वे समझदारी से भविष्यवाणी करते हैं कि हम कहां जा रहे हैं, हम कहां हैं और हमें क्या पसंद है। ये सहायक हमारी छुट्टियों को व्यवस्थित करने के लिए हमारी तस्वीरों को कंघी करते हैं, याद रखें कि हमारे दोस्त कौन हैं और यहां तक ​​कि संगीत भी हमें पसंद है। यह एक स्तर पर डरावना है, लेकिन हमारे दैनिक जीवन में बहुत उपयोगी है। यदि आपका Fitbit डेटा कानून की अदालत में इस्तेमाल किया जा सकता है, तो इसका उपयोग आपकी पहचान करने के लिए भी किया जा सकता है।

जब आप एक ऑनलाइन खाता सेट कर रहे होंकंपनियाँ आपसे आपके हाई स्कूल स्वीटहार्ट या आपके थर्ड ग्रेड टीचर के नाम जैसे गूंगे चैलेंज सवाल पूछती हैं। हमारी यादें कंप्यूटर की तरह ठोस नहीं हैं। हमारी पहचान को सत्यापित करने के लिए इन सवालों पर भरोसा नहीं किया जा सकता है। मुझे इससे पहले खातों से बाहर कर दिया गया था क्योंकि 2011 में मेरा पसंदीदा रेस्तरां उदाहरण के लिए आज मेरा पसंदीदा रेस्तरां नहीं है।

गूगल ने इसमें पहला कदम उठाया हैटैबलेट और क्रोमबुक के लिए स्मार्ट लॉक के साथ व्यवहारिक दृष्टिकोण। यदि आप कहते हैं कि आप कौन हैं, तो संभवतः आपके पास आपका फ़ोन है। Apple ने वास्तव में iCloud हैक के साथ गेंद को गिरा दिया, जिससे एक ही आईपी पते से हजारों प्रयास किए जा सकते हैं।

यह पता लगाने के बजाय कि हम किस गीत को आगे सुनना चाहते हैं, मैं चाहता हूं कि ये उपकरण कुछ मायनों में मेरी पहचान की रक्षा करें।

1. आप जानते हैं कि मैं कहां हूं: मेरे मोबाइल फ़ोन के GPS के साथ, यह मेरा स्थान जानता है। यह मेरे अन्य उपकरणों को बताने में सक्षम होना चाहिए "अरे, यह अच्छा है, उसे अंदर जाने दो।"
2. तुम्हें पता है कि मैं क्या करता हूं: आप जानते हैं कि मैं कब और किसके साथ लॉग इन करता हूं, इसलिए मुझसे कुछ और सवाल पूछने का समय आ गया है। "मुझे खेद है कि डेव, मैं ऐसा नहीं कर सकता" जब मैं आम तौर पर आपसे पॉड बे दरवाजे खोलने के लिए कहता हूं तो इसका जवाब होना चाहिए।
3. आप जानते हैं कि मुझे कैसे सत्यापित करना है: “मेरी आवाज मेरा पासपोर्ट है, मुझे सत्यापित करें।“नहीं, कोई भी इसे कॉपी कर सकता है। इसके बजाय, मुझसे ऐसे सवाल पूछें जो मेरे लिए जवाब देने और याद रखने में आसान हों, लेकिन इंटरनेट पर खोजने में कठिन हों। मेरी मां का पहला नाम ढूंढना आसान हो सकता है, लेकिन जहां मैंने पिछले हफ्ते माँ के साथ दोपहर का खाना खाया था (अपने कैलेंडर को देखें)। जहाँ मैं अपने हाईस्कूल जानेमन से मिला था, अनुमान लगाना आसान है, लेकिन पिछले हफ्ते मैंने कौन सी फिल्म देखी, यह पता लगाना आसान नहीं है (बस अपनी ईमेल प्राप्तियों की जांच करें)।
4. आप जानते हैं कि मैं कैसा दिखता हूं: फेसबुक मुझे मेरे सिर के पीछे से पहचान सकता है और मास्टरकार्ड मेरे चेहरे का पता लगा सकता है। ये सत्यापित करने के बेहतर तरीके हैं कि मैं कौन हूं।

मुझे पता है कि बहुत कम कंपनियां लागू कर रही हैंइस तरह के समाधान, लेकिन इसका मतलब यह नहीं है कि मैं उनके लिए वासना नहीं कर सकता। इससे पहले कि आप शिकायत करें-हां ये हैक किए जा सकते हैं। हैकर्स के लिए समस्या यह जानकर होगी कि एक ऑनलाइन सेवा किस माध्यमिक उपाय का उपयोग कर रही है। यह एक दिन एक सवाल पूछ सकता है, लेकिन अगले सेल्फी लेना।

Apple मेरी गोपनीयता की रक्षा के लिए एक बड़ा धक्का दे रहा हैऔर मैं उसकी सराहना करता हूं। हालाँकि, एक बार जब मेरी Apple ID लॉग इन हो जाती है, तो यह उस समय होता है जब सिरी लगातार मेरी रक्षा करती है। Google नाओ और कोर्टाना भी ऐसा कर सकते हैं। हो सकता है कि कोई व्यक्ति पहले से ही इसे विकसित कर रहा है, और Google इस क्षेत्र में कुछ प्रगति कर रहा है, लेकिन हमें अभी इसकी आवश्यकता है! ऐसे समय तक, हमें अपने सामान की सुरक्षा के लिए थोड़ा और सतर्क रहने की जरूरत है। अगले सप्ताह उस पर कुछ विचार देखें।