Slaptažodžiai yra sugadinti: yra geresnis būdas autentifikuoti vartotojus

Atrodo, kad kiekvieną savaitę mes skaitome istorijas apiepakenkta įmonėms ir tinklalapiams, o pavogti vartotojų duomenys. Daugeliui iš mūsų blogiausias įsilaužimas įvyksta tada, kai pavogiami slaptažodžiai. „LastPass Hack“ yra vienas iš paskutinių išpuolių. Tam tikrais būdais tai yra skaitmeninio terorizmo forma, kuri tik auga. Dviejų veiksnių autentifikavimas ir biometriniai duomenys yra gražūs problemos pataisymai, tačiau jie nepaiso pagrindinių klausimų, susijusių su prisijungimo valdymu. Mes turime priemonių problemai išspręsti, tačiau jos nebuvo tinkamai pritaikytos.

Pamiršai slaptažodį

„Polomex“ nuotrauka - http://flic.kr/p/cCzxju

Kodėl mes nusimauname batus JAV, bet ne Izraelyje?

Visi, kas skraido iš JAV, žinoapie TSA saugumą. Mes nusirengiame paltus, vengiame skysčių ir nusiauname batus prieš eidami saugumą. Mes turime sąrašą, kuriame neskraidoma pagal vardus. Tai yra reakcija į konkrečias grėsmes. Tai ne tas būdas, kaip Izraelis vykdo saugumą. Aš neskraidinau „El-Al“ (Izraelio nacionalinės oro linijos), bet draugai man pasakoja apie pokalbius, kuriuose jie lankosi saugiai. Saugumo pareigūnai grasina užfiksuoti asmenines savybes ir elgesį.

Šis ženklas sako vaikams, kad jie neturi nusiauti batų

Beno Popkeno nuotrauka

Mes naudojame TSA požiūrį į internetines paskyrasir todėl mes turime visas saugumo problemas. Dviejų veiksnių autentifikavimas yra pradžia. Vis dėlto, kai prie savo sąskaitų pridedame antrą faktorių, mus užklupo klaidingas saugumo jausmas. Antrasis veiksnys apsaugo nuo to, kad kas nors pavogtų mano slaptažodį - konkrečią grėsmę. Ar gali būti pakenkta antrajam mano veiksniui? Aišku. Mano telefonas gali būti pavogtas arba kenkėjiška programinė įranga gali pakenkti mano antrajam veiksniui.

Žmogiškasis faktorius: socialinė inžinerija

9849 Viss žmonių įsilaužimas 2.0

Kevino Bairdo nuotrauka

Net taikydami dviejų veiksnių požiūrį, žmonės vis tiekturi galimybę nepaisyti saugos nustatymų. Po kelerių metų atkaklus įsilaužėlis įtikino „Apple“ iš naujo nustatyti rašytojo „Apple ID“. „GoDaddy“ buvo apgautas, kad pavertė domeno vardą, kuris įgalino „Twitter“ paskyros perėmimą. Mano tapatybė buvo atsitiktinai sujungta su kitu Dave'u Greenbaumu dėl žmogiškos klaidos „MetLife“. Dėl šios klaidos aš atšaukiau kito Dave'o Greenbaumo namus ir automobilio draudimą.

Net jei žmogus nepaneigia dviejų faktoriųnustatant, tas antrasis žetonas yra tik dar viena užpuoliko kliūtis. Tai žaidimas įsilaužėjui. Jei prisijungdamas prie „Dropbox“ žinau, kad man reikia autorizacijos kodo, tada viskas, ką turiu padaryti, yra gauti šį kodą iš jūsų. Jei negaunu jūsų tekstinių pranešimų, nukreiptų į mane (kam nors nulaužti SIM kortelę?), Aš tiesiog turiu įtikinti jus, kad man paleistumėte šį kodą. Tai nėra raketų mokslas. Ar galėčiau jus įtikinti, kad grąžintumėte tą kodą? Galima. Mes labiau pasitikime savo telefonais nei kompiuteriais. Štai kodėl žmonės susiduria su netikru „iCloud“ prisijungimo pranešimu.

Dar viena tikra istorija, kuri man nutiko du kartus. Mano kreditinių kortelių įmonė pastebėjo įtartiną veiklą ir paskambino man. Puiku! Tai elgesys pagrįstas požiūris, apie kurį kalbėsiu vėliau. Tačiau jie paprašė manęs, kad nepateikčiau skambučio, nurodyčiau visą kredito kortelės numerį telefonu. Jie buvo sukrėsti, aš atsisakiau jiems suteikti numerį. Vadovas pasakojo, kad jie retai sulaukia klientų skundų. Daugelis skambinančiųjų tiesiog perduoda kredito kortelės numerį. Oi. Tai galėjo būti bet koks nemandagus asmuo, bandęs gauti mano asmeninius duomenis.

Slaptažodžiai mūsų neapsaugo

Kripta

Ditatompel nuotr

Gyvenime taip pat turime per daug slaptažodžiųdaug vietų. Terpė jau atsikrato slaptažodžių. Daugelis iš mūsų žino, kad kiekvienoje svetainėje turėtume turėti unikalų slaptažodį. Toks požiūris yra per daug reikalavimas iš mūsų niūrių žemiškų smegenų, gyvenančių visavertį ir turtingą skaitmeninį gyvenimą. Slaptažodžių tvarkytojai (analoginiai ar skaitmeniniai) padeda išvengti atsitiktinių įsilaužėlių, bet ne sudėtingas išpuolis. Heck, įsilaužėliams net nereikia slaptažodžių, kad galėtume pasiekti mūsų asmenines paskyras. Jie tiesiog įsiveržia į duomenų bazes, kuriose kaupiama informacija („Sony“, „Target“, Federalinė vyriausybė).

Paimkite pamoką iš kredito kortelių bendrovių

Nors algoritmai gali šiek tiek atsilikti,kredito bendrovės turi teisingą idėją. Jie peržiūri mūsų pirkimo modelius ir vietą norėdami sužinoti, ar tai jūs naudojate savo kortelę. Jei perkate dujas Kanzase, o tada perkate lagaminą Londone, tai yra problema.

Londonas

Kozumel nuotrauka

Kodėl negalime to pritaikyti savo internetinėms paskyroms? Kai kurios kompanijos siūlo įspėjimus iš užsienio IP („kudos“ į „LastPass“, kad vartotojams būtų leista nustatyti pageidaujamas prieigos šalis). Jei mano telefonas, kompiuteris, planšetinis kompiuteris ir riešo įrenginys yra Kanzaso valstijoje, turėčiau būti informuotas, jei mano sąskaita bus pasiekiama kur nors kitur. Bent jau šios įmonės turėtų užduoti man keletą papildomų klausimų prieš manant, kad esu tas, kuris sakau, kad esu. Šis duomenų saugojimas yra ypač reikalingas „Google“, „Apple“ ir „Facebook“ paskyroms, kurios autentifikuoja kitas „OAuth“ paskyras. „Google“ ir „Facebook“ įspėja apie neįprastą veiklą, tačiau dažniausiai tai tik įspėjimas, o įspėjimai nėra apsauga. Mano kredito kortelių įmonė sako „ne“ operacijai, kol nepatikrins, kas aš esu. Jie tiesiog nesako „Ei ... maniau, kad turėtum žinoti“. Mano internetinės paskyros neturėtų įspėti, jos turėtų blokuoti dėl neįprastos veiklos. Naujausias kredito kortelių saugumo aspektas yra veido atpažinimas. Žinoma, kažkas gali užtrukti, kad pabandytų dubliuoti jūsų veidą, tačiau kreditinių kortelių įmonės, norėdamos apsaugoti mus, stengiasi.

Mūsų išmanieji padėjėjai (ir įrenginiai) yra geresnė gynyba

„Foomandoonian“ nuotrauka - http://flic.kr/p/7vn1x9

Foomandoonian nuotr

„Siri“, „Alexa“, „Cortana“ ir „Google“ žino daugdaiktai apie mus. Jie protingai nuspėja, kur einame, kur buvome ir kas mums patinka. Šie padėjėjai šukuoja mūsų nuotraukas, norėdami organizuoti mūsų atostogas, prisiminti, kas yra mūsų draugai, ir net muziką, kuri mums patinka. Viename lygmenyje tai yra nepaprastai gražu, tačiau labai naudinga mūsų kasdieniniame gyvenime. Jei jūsų „Fitbit“ duomenys gali būti naudojami teisme, jie taip pat gali būti naudojami jūsų tapatybei nustatyti.

Kai kuriate internetinę paskyrą,įmonės užduoda jums nemandagių iššūkių, pavyzdžiui, jūsų brangiojo ar trečios klasės mokytojo vardą. Mūsų prisiminimai nėra tokie tvirti kaip kompiuteris. Į šiuos klausimus negalima pasikliauti patvirtinant mūsų tapatybę. Aš anksčiau buvau uždarytas iš sąskaitų, nes, pavyzdžiui, mano mėgstamiausias restoranas 2011 m. Nėra mano mėgstamiausias restoranas šiandien.

„Google“ žengė pirmąjį žingsnį šioje srityjeelgesio principą naudojant „Smart Lock“ planšetiniams kompiuteriams ir „Chromebook“ įrenginiams. Jei esate tas, apie kurį sakote, kad esate, greičiausiai telefoną turite šalia. „Apple“ tikrai numetė kamuolį su „iCloud“ įsilaužimu, leisdama tūkstančius bandymų iš to paties IP adreso.

Užuot išsiaiškinęs, kurią dainą norime klausytis toliau, noriu, kad šie prietaisai keliais būdais apsaugotų mano tapatybę.

    1. Žinai, kur aš esu: Turėdamas mano mobiliojo telefono GPS, jis žino mano vietą. Jis turėtų sugebėti pasakyti kitiems mano įrenginiams: „Ei, šaunu, paleisk jį.“ Jei aš esu Timbuktu tarptinkliniu ryšiu, tu tikrai neturėtum pasitikėti mano slaptažodžiu ir galbūt net mano antruoju veiksniu.
    2. Žinai ką aš darau: Jūs žinote, kada aš prisijungiu ir su kuo, todėl laikas man užduoti dar keletą klausimų. „Aš labai atsiprašau, Deivas, aš negaliu to padaryti“ turėtų būti atsakymas, kai paprastai neprašau jūsų atidaryti podiumo durų durys.
    3. Jūs žinote, kaip mane patvirtinti: „Mano balsas yra mano pasas, patikrink mane.Ne, visi gali tai nukopijuoti. Geriau užduok man klausimų, į kuriuos man lengva atsakyti ir atsiminti, bet kuriuos sunku rasti internete. Mano motinos mergautinę pavardę gali būti lengva rasti, bet ten, kur praėjusią savaitę valgiau priešpiečius su mama, nėra (žiūrėkite į mano kalendorių). Nesunku atspėti, kur sutikau savo brangųjį moksleivį, bet kurį filmą, kurį pamačiau praėjusią savaitę, nėra lengva rasti (tiesiog patikrinkite mano el. Pašto kvitus).
    4. Žinai, kaip aš atrodau: „Facebook“ atpažįsta mane už nugaros, o „Mastercard“ gali aptikti mano veidą. Tai yra geresni būdai patikrinti, kas aš esu.

Aš žinau, kad nedaug bendrovių įgyvendinatokius sprendimus, tačiau tai nereiškia, kad negaliu jų geisti. Prieš skundžiantis - taip, juos galima nulaužti. Piratų problema bus žinoti, kokį antrinių priemonių rinkinį naudoja internetinė paslauga. Vieną dieną gali užduoti klausimą, bet kitą dieną pasiimti asmenukę.

„Apple“ labai stengiasi apsaugoti mano privatumąir aš tai vertinu. Tačiau kai tik prisijungsiu prie mano „Apple ID“, laikas „Siri“ mane aktyviai saugoti. „Google“ dabar ir „Cortana“ taip pat gali tai padaryti. Gal kažkas jau kuria tai, o „Google“ žengia tam tikrus žingsnius šioje srityje, bet mums to reikia dabar! Iki to laiko turime būti šiek tiek budrūs, saugodami savo daiktus. Kitą savaitę ieškokite idėjos.

0

Panašūs straipsniai

„Pandora“ reikia kai kuriems vartotojams iš naujo nustatyti savo slaptažodžius
žinios

„Pandora“ reikia kai kuriems vartotojams iš naujo nustatyti savo slaptažodžius.

„Twitter“ paskyros nulaužtos: atkuriama daugiau slaptažodžių, nei reikia
žinios

„Twitter“ paskyros nulaužtos: atkuriama daugiau slaptažodžių nei ..

Nutekėjo 6,5 mln. „LinkedIn“ slaptažodžių: kaip dabar pakeisti savo
žinios

Nutekėjo 6,5 mln. „LinkedIn“ slaptažodžių: kaip pakeisti.

„DreamHost“ nulaužta: „WordPress“ liepia vartotojams pakeisti slaptažodžius
žinios

„DreamHost“ nulaužta: „WordPress“ liepia vartotojams keistis.

Kaip atgauti pamirštus FTP slaptažodžius iš
Kaip

Kaip atgauti pamirštus FTP slaptažodžius iš Filezilla ..

Kaip peržiūrėti ir ištrinti išsaugotus „Google“ slaptažodžius
Kaip

Kaip peržiūrėti ir ištrinti išsaugotus „Google“ slaptažodžius ..

Kaip valdyti slaptažodžius naudojant „Edge“ naršyklę „Windows 10“
Kaip

Kaip valdyti slaptažodžius naudojant „Edge“ naršyklę „Windows 10“.

„Google“ dviejų faktorių autentifikavimas - sukurkite vienkartinius programos slaptažodžius
Kaip

„Google“ dviejų veiksnių autentifikavimas - sukurkite ..

Kaip apsaugoti "Firefox" slaptažodžius pagrindiniu slaptažodžiu
Kaip

Kaip apsaugoti „Firefox“ slaptažodžius pagrindiniu slaptažodžiu ..

„Firefox“: kaip pamatyti išsaugotus slaptažodžius
Kaip

„Firefox“: kaip pamatyti išsaugotus slaptažodžius ..

Palikite komentarą