Lozinke su razbijene: Postoji bolji način za provjeru autentičnosti korisnika

Čini se da svaki tjedan čitamo priče o tometvrtke i web stranice su ugrožene i podaci o potrošačima ukradeni. Za mnoge od nas najgora je provala kada su lozinke ukradene. Hack LastPass jedan je od novijih napada. Na neki način to je oblik digitalnog terorizma koji samo raste. Dvofaktorska provjera autentičnosti i biometrija dobra su zakrpa problema, ali oni zanemaruju temeljna pitanja vezana za upravljanje prijavom. Imamo alate za rješavanje problema, ali nisu pravilno primijenjeni.

Zaboravili ste lozinku

Fotografirao polomex - http://flic.kr/p/cCzxju

Zašto skinemo cipele u Sjedinjenim Državama, ali ne i u Izraelu

Svi koji su letjeli u Sjedinjenim Državama znajuo sigurnosti TSA-e. Skidamo kapute, izbjegavamo tekućine i skidamo cipele prije nego što prođemo kroz sigurnost. Imamo popis nedopuštenih leta na temelju imena. To su reakcije na konkretne prijetnje. To nije način na koji zemlja poput Izraela osigurava sigurnost. Nisam letio El-Al (izraelske nacionalne aviokompanije), ali prijatelji mi pričaju o intervjuima kroz koje prolaze u sigurnosti. Službenici osiguranja šifriraju prijetnje na temelju osobnih karakteristika i ponašanja.

Tsa znak govori djeci da ne moraju skinuti cipele

Fotografirao Ben Popken

Primjenjujemo TSA pristup internetskim računimai zbog toga imamo sve sigurnosne probleme. Dvofaktorska provjera identiteta je početak. Ali kad svom računu dodamo drugi faktor, uvučeni smo u lažni osjećaj sigurnosti. Taj drugi faktor štiti od krađe moje lozinke - određene prijetnje. Može li se ugroziti moj drugi faktor? Naravno. Moj bi telefon mogao biti ukraden ili je zlonamjerni softver mogao ugroziti moj drugi faktor.

Ljudski faktor: Socijalni inženjering

9849 Viss People Hacking 2.0

Fotografirao Kevin Baird

Čak i kod dvofaktorskih pristupa, ljudi i daljeimaju mogućnost nadjačavanja sigurnosnih postavki. Prije nekoliko godina marljiv haker uvjerio je Apple da resetira pisačev Apple ID. GoDaddy je bio prevaran u pretvaranju imena domene koje je omogućilo preuzimanje Twitter računa. Moj je identitet slučajno spojen s drugim Daveom Greenbaumom zbog ljudske pogreške u MetLifeu. Ova pogreška gotovo je rezultirala time što sam otkazao kućno i auto osiguranje drugog Davea Greenbauma.

Čak i ako čovjek ne prevlada dva faktorapostavljanje, taj drugi žeton je samo još jedna prepreka za napadača. To je igra za hakera. Ako znam kada se prijavite na svoj Dropbox, za to mi treba autorizacijski kod, onda sve što trebam učiniti je dobiti taj kod od vas. Ako ne primim vaše tekstualne poruke usmjerene prema meni (nekome SIM-ovac?), Moram vas uvjeriti da mi pustite taj kod. To nije raketna znanost. Mogu li vas uvjeriti da vratite taj kôd? Možda. Mi vjerujemo našim telefonima više nego našim računalima. Zato ljudi padaju na stvari poput lažne poruke o prijavi na iCloud.

Još jedna istinita priča koja mi se dogodila dva puta. Tvrtka za kreditne kartice primijetila je sumnjivu aktivnost i nazvala me. Sjajno! To je pristup koji se temelji na ponašanju, o kojem ću kasnije govoriti. Međutim, od mene su tražili da dam svoj puni broj kreditne kartice putem telefona s pozivom koji nisam uputio. Bili su šokirani, odbio sam im dati broj. Menadžer mi je rekao da rijetko dobivaju pritužbe kupaca. Većina pozivatelja samo predaje broj kreditne kartice. Joj. To bi mogla bilo koja zlobna osoba na drugom kraju pokušati dobiti moje osobne podatke.

Lozinke nas ne štite

Kripta

Fotografiju ditatompel

I u životu imamo previše lozinkimnogo mjesta. Medium se već riješio lozinke. Većina nas zna da bismo trebali imati jedinstvenu lozinku za svako web mjesto. Takav je pristup previše tražen od naših luđačkih mozgova zemaljskog punog i bogatog digitalnog života. Upravitelji zaporkama (analogni ili digitalni) pomažu u sprečavanju povremenih hakera, ali nisu sofisticirani napad. Pakao, hakeri uopće ne trebaju lozinke za pristup našim pojedinačnim računima. Oni se samo probijaju u baze podataka koje pohranjuju podatke (Sony, Target, Federalna vlada).

Uzmi lekciju od tvrtki s kreditnim karticama

Iako su algoritmi možda malo isključeni,kreditne kompanije imaju pravu ideju. Oni pregledavaju naše obrasce kupnje i lokaciju kako bi saznali upotrebljavate li vašu karticu. Ako kupite benzin u Kansasu, a kupite odijelo u Londonu, to je problem.

London

Fotografiju kozumel

Zašto to ne možemo primijeniti na našim internetskim računima? Neke tvrtke nude upozorenja iz stranih IP adresa (kudos za LastPass radi omogućavanja korisnicima da postavljaju željene zemlje za pristup). Ako su moj telefon, računalo, tablet i ručni uređaj svi u Kansasu, trebao bih biti obaviješten ako imam pristup računu negdje drugdje. U najmanju ruku, te bi mi tvrtke trebale postaviti nekoliko dodatnih pitanja prije nego što pretpostave da sam ono što sam rekao. Ova vrata su posebno potrebna za Google, Apple i Facebook račune koji autentificiraju OAuth na druge račune. Google i Facebook upozoravaju na neobične aktivnosti, ali obično su samo upozorenje, a upozorenja nisu zaštita. Tvrtka za izdavanje mojih kreditnih kartica ne odgovara na transakciju dok ne provjere tko sam. Jednostavno ne kažu "Hej ... mislio sam da bi trebao znati". Moji mrežni računi ne bi trebali upozoravati, trebali bi blokirati neuobičajene aktivnosti. Najnoviji potez sigurnosti kreditne kartice je prepoznavanje lica. Naravno, netko može odvojiti vrijeme da vam pokuša umnožiti lice, ali čini se da tvrtke s kreditnim karticama teže rade na zaštiti nas.

Naši pametni pomoćnici (i uređaji) su bolja obrana

Fotografiju Foomandoonian - http://flic.kr/p/7vn1x9

Fotografiju Foomandoonian

Siri, Alexa, Cortana i Google znaju tonustvari o nama. Oni inteligentno predviđaju kuda idemo, gdje smo bili i što volimo. Ovi pomoćnici kombiniraju naše fotografije kako bi organizirali naš odmor, sjećaju se tko su nam prijatelji, pa čak i glazbu koja nam se sviđa. To je jezivo na jednoj razini, ali vrlo korisno u našem svakodnevnom životu. Ako se vaši Fitbit podaci mogu upotrijebiti na sudu, mogu se koristiti i za vašu identifikaciju.

Kada postavljate mrežni račun,tvrtke vam postavljaju glupa pitanja kao što su ime vašeg ljubimca u srednjoj školi ili učitelja trećeg razreda. Naša sjećanja nisu toliko čvrsta kao računalo. Na ta se pitanja ne može pouzdati kako bi potvrdili naš identitet. Ranije sam bio zaključan sa računa, jer, primjerice, moj omiljeni restoran 2011. nije moj omiljeni restoran.

Google je napravio prvi korak u tomebihevioralni pristup sa Smart Lock za tablete i Chromebooke. Ako ste tko kažete da jeste, vjerojatno imate telefon u blizini. Apple je stvarno bacio loptu pomoću iCloud haka, omogućujući tisuće pokušaja s iste IP adrese.

Umjesto da shvatimo koju pjesmu želimo slušati dalje, želim da ti uređaji zaštite moj identitet na nekoliko načina.

    1. Znate gdje sam: S GPS-a mog mobilnog telefona, on zna moju lokaciju. Morao bi moći reći drugim uređajima "Hej, super je, pusti ga unutra." Ako sam u Timbuktu roamingu, ne bi mi trebao vjerovati u moju lozinku, pa čak ni moj drugi faktor.
    2. Znate što ja radim: Znate kad se prijavim i s čime, pa je vrijeme da mi postavite još nekoliko pitanja. "Žao mi je što je Dave, ne mogu to učiniti", trebao bi biti odgovor kada te obično ne zamolim da otvoriš vrata prozora.
    3. Znate kako me provjeriti: "Glas mi je putovnica, potvrdi me."Ne, to može niko kopirati. Umjesto toga, postavite mi pitanja na koja je lako odgovoriti i zapamtiti, ali ih je teško naći na Internetu. Djevojačko prezime moje majke možda je lako pronaći, ali tamo gdje sam jela ručak prošli tjedan s mamom nije (pogledajte moj kalendar). Gdje sam upoznao svoju dragu srednjoškolku, lako je pogoditi, ali koji film koji sam pogledao prošli tjedan nije lako pronaći (samo provjerite moje potvrde e-pošte).
    4. Znate kako izgledam: Facebook me može prepoznati po stražnjoj strani glave, a Mastercard može prepoznati moje lice. Ovo su bolji načini provjere tko sam.

Znam da vrlo malo tvrtki provodirješenja poput ovoga, ali to ne znači da ne mogu poželjeti za njima. Prije nego što se žalite - da, ovo može biti sjeckano. Problem hakera bit će znati koji skup sekundarnih mjera internetska usluga koristi. Moguće je postaviti pitanje jednoga dana, ali sljedećeg snimite selfie.

Apple pravi veliki pritisak da zaštiti moju privatnosti ja to cijenim. Međutim, jednom kad se prijavi moj Apple ID, vrijeme je da me Siri proaktivno zaštiti. Google Now i Cortana to mogu učiniti. Možda to netko već razvija, a Google napreduje na ovom području, ali ovo nam sada treba! Do tog vremena trebamo biti malo pažljiviji u zaštiti svojih stvari. Potražite neke ideje o tome sljedeći tjedan.

0

Slični članci

Pandora treba neke korisnike da resetiraju svoje lozinke
Vijesti

Pandora treba neke korisnike da resetiraju zaporke.

Računari na Twitteru hakirani: resetira više lozinki nego što je potrebno
Vijesti

Računali na hakiranim računima: resetira više lozinki nego ..

Procurilo je 6,5 milijuna LinkedIn lozinki: kako promijeniti svoje
Vijesti

Procurilo 6,5 milijuna LinkedIn lozinki: Kako se promijeniti ..

DreamHost sjeckan: WordPress govori korisnicima da mijenjaju lozinke
Vijesti

DreamHost hakiran: WordPress govori korisnicima da se mijenjaju ..

Kako dohvatiti zaboravljene FTP lozinke s Filezilla
Kako da

Kako dohvatiti zaboravljene FTP lozinke s Filezilla ..

Kako pregledati i brisati spremljene Google lozinke
Kako da

Kako pregledati i izbrisati spremljene Google lozinke ..

Kako upravljati lozinkama pomoću Edge Browser-a u sustavu Windows 10
Kako da

Kako upravljati lozinkama pomoću Edge Browser-a u sustavu Windows 10 ..

Google dvostruka provjera autentičnosti - stvorite jednokratne lozinke za aplikacije
Kako da

Google dvostruka provjera autentičnosti - Stvorite ..

Kako zaštititi Firefox lozinke glavnom lozinkom
Kako da

Kako zaštititi Firefox lozinke glavnom lozinkom ..

Firefox: Kako vidjeti spremljene lozinke
Kako da

Firefox: Kako vidjeti svoje spremljene lozinke ..

Ostavite komentar