パスワードが壊れています:ユーザーを認証するより良い方法があります

毎週のように、私たちはの物語を読んでいます企業やウェブサイトが侵害され、消費者データが盗まれています。私たちの多くにとって、最悪の侵入はパスワードが盗まれたときです。 LastPass Hackは、最近の攻撃の1つです。いろいろな意味で、それは成長しつつあるデジタルテロリズムの一種です。二要素認証と生体認証は問題に対する素晴らしいパッチですが、ログイン管理に関連する基本的な問題を無視します。問題を解決するツールはありますが、適切に適用されていません。

パスワードをお忘れですか

polomexによる写真– http://flic.kr/p/cCzxju

イスラエルではなく米国で靴を脱ぐ理由

アメリカに行った人なら誰でも知っているTSAセキュリティについて。私たちは、セキュリティを通過する前にコートを脱ぎ、液体を避け、靴を脱ぎます。名前に基づいた飛行禁止リストがあります。これらは特定の脅威に対する反応です。それはイスラエルのような国が安全を確保する方法ではありません。エルアル(イスラエルの国営航空会社)を飛行したことはありませんが、友人たちがセキュリティで受けたインタビューについて教えてくれます。セキュリティ担当者は、個人の特性と行動に基づいて脅威をコーディングします。

靴を脱ぐ必要がないことを子供に伝えるTSAサイン

ベン・ポッケンによる写真

オンラインアカウントにTSAアプローチを採用していますそして、それがすべてのセキュリティ問題を抱えている理由です。二要素認証が始まりです。それでも、アカウントに第2要素を追加すると、誤った安心感に陥ります。その2番目の要因は、誰かが私のパスワードを盗むのを防ぎます-特定の脅威です。私の2番目の要因が危険にさらされる可能性はありますか?確かに。携帯電話が盗まれたり、マルウェアが私の2番目の要素を危険にさらす可能性があります。

ヒューマンファクター:ソーシャルエンジニアリング

9849 Viss People Hacking 2.0

写真:ケビン・ベアード

二要素アプローチでも、人間はまだセキュリティ設定を上書きする機能があります。数年前、勤勉なハッカーがAppleにライターのApple IDをリセットするよう説得しました。 GoDaddyは、Twitterアカウントの乗っ取りを可能にするドメイン名を引き継ぐようにだまされました。私の身元は、メットライフでの人為的なミスにより、誤って別のデイブ・グリーンバウムと統合されました。この間違いにより、私は他のデイブ・グリーンバウムの家と自動車保険をキャンセルすることになりました。

人間が2要素をオーバーライドしなくても設定すると、その2番目のトークンは攻撃者にとってもう1つのハードルになります。ハッカー向けのゲームです。 Dropboxにログインするときに認証コードが必要なことがわかっている場合は、そのコードを取得するだけです。テキストメッセージを受け取っていない場合(SIMをハックしますか?)、そのコードを私にリリースするよう説得する必要があります。これはロケット科学ではありません。そのコードを返すよう説得してもらえますか?おそらく。私たちはコンピューターよりも電話を信頼しています。だからこそ、人々は偽のiCloudログインメッセージのようなものに陥ります。

2回私に起こった別の実話。 私のクレジットカード会社は疑わしい活動に気づき、私に電話しました。すばらしいです!これは行動ベースのアプローチで、後で説明します。しかし、彼らは私に電話をかけなかったので、電話で私のクレジットカード番号全体を伝えるように頼んだ。彼らは私が彼らに番号を与えることを拒否したことにショックを受けました。マネージャーから、顧客からの苦情はほとんどないという。ほとんどの発信者は、クレジットカード番号を渡すだけです。痛い。それは、私の個人データを取得しようとする反対側の悪意のある人物である可能性があります。

パスワードは私たちを保護しません

クリプト

ditatompelによる写真

私たちの生活にはあまりにも多くのパスワードがあります多くの場所。 Mediumはすでにパスワードを削除しています。私たちのほとんどは、すべてのサイトに一意のパスワードを設定する必要があることを知っています。このアプローチは、私たちの可愛らしい地球人の脳が完全で豊かなデジタルライブを生きていることを求めるにはあまりにも多すぎます。パスワードマネージャー(アナログまたはデジタル)は、カジュアルなハッカーの防止に役立ちますが、高度な攻撃には役立ちません。ハック、ハッカーは私たちの個々のアカウントにアクセスするためにパスワードさえ必要としません。情報を保存するデータベース(Sony、Target、Federal Government)に侵入します。

クレジットカード会社から教訓を得る

アルゴリズムは少しずれているかもしれませんが、クレジット会社には正しい考えがあります。彼らは私たちの購入パターンと場所を見て、あなたがカードを使用しているかどうかを確認します。カンザスでガスを購入してからロンドンでスーツを購入すると、それは問題です。

ロンドン

写真:kozumel

これをオンラインアカウントに適用できないのはなぜですか? 一部の企業は、外国のIPからのアラートを提供しています(ユーザーがアクセスする優先国を設定できるようにするために、LastPassにクードー)。電話、コンピューター、タブレット、リストデバイスがすべてカンザス州にある場合、自分のアカウントがどこか他の場所からアクセスされた場合、通知を受ける必要があります。少なくとも、これらの企業は、自分が自分が自分だと思っていると仮定する前に、いくつかの追加の質問をする必要があります。このゲートキーピングは、OAuthによって他のアカウントに対して認証を行うGoogle、Apple、およびFacebookアカウントに特に必要です。 GoogleとFacebookは異常なアクティビティに対して警告を発しますが、通常は単なる警告であり、警告は保護されません。私のクレジットカード会社は、彼らが私を確認するまで取引にノーと言います。彼らは「ちょっと…知っておくべきだ」とは言いません。私のオンラインアカウントは警告するべきではなく、異常なアクティビティをブロックする必要があります。クレジットカードのセキュリティに対する最新の工夫は、顔認識です。確かに、誰かがあなたの顔を複製しようとするのに時間をかけることができますが、クレジットカード会社は私たちを保護するためにより懸命に働いているようです。

スマートアシスタント(およびデバイス)は優れた防御

Foomandoonianによる写真-http://flic.kr/p/7vn1x9

Foomandoonianによる写真

Siri、Alexa、Cortana、およびGoogleは、私たちについてのもの。彼らは私たちがどこへ行くのか、どこへ行ったのか、何が好きなのかを賢く予測します。これらのアシスタントは私たちの休暇を整理するために私たちの写真をコーミングし、私たちの友人が誰であるか、そして私たちが好きな音楽さえ覚えています。あるレベルでは不気味ですが、私たちの日常生活では非常に役立ちます。 Fitbitデータを法廷で使用できる場合、それを使用して本人確認を行うこともできます。

オンラインアカウントを設定するとき、企業は、高校時代の恋人の名前や3年生の先生のような愚かなチャレンジ質問をします。私たちの記憶はコンピューターほど堅実ではありません。これらの質問に基づいて身元を確認することはできません。たとえば、2011年の私のお気に入りのレストランは、今日の私のお気に入りのレストランではないため、以前はアカウントにアクセスできませんでした。

Googleはこれの最初の一歩を踏み出しましたタブレットやChromebookのSmart Lockを使用した行動アプローチ。あなたがあなたがそうだと言う人なら、おそらくあなたの近くにあなたの電話があるでしょう。 AppleはiCloudハックで実際にボールを落とし、同じIPアドレスから何千回も試行できました。

次に聴きたい曲を特定する代わりに、これらのデバイスが自分の身元をいくつかの方法で保護することを望んでいます。

    1. あなたは私がどこにいるか知っています: 携帯電話のGPSを使用して、私の位置を認識します。 他のデバイスに「おい、かっこいい、入れて」と伝えることができるはずです。もし私がティンブクトゥのローミングをしているなら、あなたは本当に私のパスワードを信用するべきではありません。
    2. あなたは私が何をするか知っています: 私がログインしたとき、何でログインしたか知っているので、今度はいくつか質問をします。 「ごめんなさい、デイブ、できません」は、通常ポッドベイのドアを開けるように頼まないときの答えです。
    3. あなたは私を確認する方法を知っています: 「私の声はパスポートです。確認してください。」いいえ、誰でもコピーできます。代わりに、答えて覚えるのは簡単ですが、インターネットで見つけるのは難しい質問をしてください。母の旧姓は簡単に見つけられるかもしれませんが、先週ママと一緒に昼食を食べた場所はそうではありません(私のカレンダーを見てください)。高校時代の恋人と出会った場所は簡単に推測できますが、先週見たどの映画を見つけるのは簡単ではありません(メールの領収書を確認するだけです)。
    4. あなたは私がどのように見えるか知っています: Facebookは私の頭の後ろで私を認識でき、Mastercardは私の顔を検出できます。これらは、私が誰であるかを確認するより良い方法です。

実装している企業はごくわずかですこのような解決策がありますが、それは私が彼らに欲情できないという意味ではありません。文句を言う前に-はい、これらはハッキングされる可能性があります。ハッカーにとっての問題は、オンラインサービスが使用している二次的な対策のセットを知ることです。ある日質問するかもしれませんが、次の日は自撮りをします。

Appleは私のプライバシーを保護するために大きな力を入れていますそれに感謝します。ただし、Apple IDがログインしたら、Siriが積極的に私を保護します。 Google NowとCortanaでも同様に行えます。誰かがすでにこれを開発していて、Googleはこの分野でいくつかの進歩を遂げているかもしれませんが、今これが必要です!そのような時まで、私たちは私たちのものを保護するためにもう少し警戒する必要があります。来週にいくつかのアイデアを探してください。

0

類似の記事

Pandoraはパスワードをリセットするために一部のユーザーを必要とします
ニュース

Pandoraでは、一部のユーザーにパスワードのリセットが必要です。

Twitterアカウントのハッキング:必要以上のパスワードをリセット
ニュース

ハッキングされたTwitterアカウント:パスワードをリセット

650万のLinkedInパスワードが漏洩:今すぐパスワードを変更する方法
ニュース

650万のLinkedInパスワードの漏洩:変更方法..

ハッキングされたDreamHost:WordPressはユーザーにパスワードを変更するよう指示する
ニュース

ハッキングされたDreamHost:WordPressはユーザーに変更を指示する

Filezillaから忘れたFTPパスワードを取得する方法
方法

Filezillaから忘れたFTPパスワードを取得する方法

保存したGoogleパスワードを表示および削除する方法
方法

保存したGoogleパスワードを表示および削除する方法..

Windows 10でEdge Browserを使用してパスワードを管理する方法
方法

Windows 10.でEdge Browserを使用してパスワードを管理する方法

Google Two Factor Authentication –アプリケーション固有の一時パスワードを作成します
方法

Google Two Factor Authentication –作成..

Firefoxパスワードをマスターパスワードで保護する方法
方法

Firefoxパスワードをマスターパスワードで保護する方法..

Firefox:保存したパスワードを確認する方法
方法

Firefox:保存したパスワードの表示方法..

コメントを残す