Wachtwoorden zijn verbroken: er is een betere manier om gebruikers te authenticeren

Elke week lijken we verhalen te lezen overbedrijven en websites worden aangetast en consumentengegevens worden gestolen. Voor velen van ons zijn de ergste inbraken wanneer wachtwoorden worden gestolen. De LastPass Hack is een van de recentere aanvallen. In veel opzichten is het een vorm van digitaal terrorisme die alleen maar groeit. Twee-factor authenticatie en biometrie zijn leuke patches voor het probleem, maar ze negeren de fundamentele problemen met betrekking tot login management. We hebben de tools om het probleem op te lossen, maar ze zijn niet correct toegepast.

Uw wachtwoord vergeten

Foto door polomex - http://flic.kr/p/cCzxju

Waarom we onze schoenen uitdoen in de Verenigde Staten, maar niet in Israël

Iedereen die in de Verenigde Staten vliegt, weet hetover TSA-beveiliging. We doen onze jassen uit, vermijden vloeistoffen en trekken onze schoenen uit voordat we door de beveiliging gaan. We hebben een vliegverbod op basis van namen. Dit zijn reacties op specifieke bedreigingen. Zo werkt een land als Israël niet. Ik heb El-Al (de nationale luchtvaartmaatschappijen van Israël) niet gevlogen, maar vrienden vertellen me over de interviews die ze in beveiliging afleggen. De beveiligingsmedewerkers coderen bedreigingen op basis van persoonlijke kenmerken en gedrag.

Tsa-teken vertelt kinderen dat ze hun schoenen niet uit hoeven te doen

Foto door Ben Popken

We hanteren de TSA-benadering voor online accountsen daarom hebben we alle beveiligingsproblemen. Twee-factor authenticatie is een begin. Maar wanneer we een tweede factor aan onze accounts toevoegen, zijn we in slaap gesust door een vals gevoel van veiligheid. Die tweede factor beschermt tegen iemand die mijn wachtwoord steelt - een specifieke bedreiging. Kan mijn tweede factor zijn aangetast? Zeker. Mijn telefoon kan worden gestolen of malware kan mijn tweede factor in gevaar brengen.

The Human Factor: Social Engineering

9849 Viss People Hacking 2.0

Foto door Kevin Baird

Zelfs met tweefactorenbenaderingen, nog steeds mensende mogelijkheid hebben om beveiligingsinstellingen te negeren. Een paar jaar geleden overtuigde een ijverige hacker Apple om de Apple ID van een schrijver te resetten. GoDaddy werd misleid om een ​​domeinnaam om te draaien die een overname van een Twitter-account mogelijk maakte. Mijn identiteit is per ongeluk samengevoegd met een andere Dave Greenbaum vanwege een menselijke fout bij MetLife. Deze fout resulteerde bijna in het opzeggen van de opstal- en autoverzekering van de andere Dave Greenbaum.

Zelfs als een mens een twee-factor niet opheftinstellen, is dat tweede token gewoon een zoveelste hindernis voor de aanvaller. Het is een spel voor een hacker. Als ik weet wanneer je je aanmeldt bij je Dropbox waarvoor ik een autorisatiecode nodig heb, hoef ik alleen die code van je te krijgen. Als ik je sms-berichten niet naar mij ontvang (SIM-hack iemand?), Moet ik je gewoon overtuigen om die code aan mij vrij te geven. Dit is geen raketwetenschap. Kan ik u overtuigen om die code terug te geven? Mogelijk. We vertrouwen onze telefoons meer dan onze computers. Daarom vallen mensen voor dingen als een nep iCloud-aanmeldingsbericht.

Nog een waargebeurd verhaal dat me twee keer overkwam. Mijn creditcardbedrijf zag verdachte activiteiten en belde me. Super goed! Dat is een gedragsmatige aanpak waar ik het later over zal hebben. Ze vroegen me echter om mijn volledige creditcardnummer via de telefoon te geven met een telefoongesprek dat ik niet had gemaakt. Ze waren geschokt dat ik weigerde hen het nummer te geven. Een manager vertelde me dat ze zelden klachten krijgen van klanten. De meeste bellers overhandigen gewoon het creditcardnummer. Ouch. Dat kan elke snode persoon aan de andere kant zijn die mijn persoonlijke gegevens probeert te krijgen.

Wachtwoorden beschermen ons niet

Crypt

Foto door ditatompel

We hebben ook teveel wachtwoorden in ons levenveel plaatsen. Medium heeft al wachtwoorden verwijderd. De meesten van ons weten dat we voor elke site een uniek wachtwoord moeten hebben. Die aanpak is veel te veel gevraagd van onze nietige aardse hersenen die een volledig en rijk digitaal leven leiden. Wachtwoordbeheerders (analoog of digitaal) helpen toevallige hackers te voorkomen, maar geen geavanceerde aanval. Ach, de hackers hebben zelfs geen wachtwoord nodig om toegang te krijgen tot onze individuele accounts. Ze breken gewoon in in de databases die de informatie opslaan (Sony, Target, Federale overheid).

Neem een ​​les van de creditcardbedrijven

Hoewel de algoritmen misschien wat afwijken,kredietbedrijven hebben het juiste idee. Ze kijken naar onze kooppatronen en locatie om te weten of u uw kaart gebruikt. Als je benzine koopt in Kansas en vervolgens een pak koopt in Londen, is dat een probleem.

Londen

Foto door kozumel

Waarom kunnen we dit niet toepassen op onze online accounts? Sommige bedrijven bieden waarschuwingen van buitenlandse IP's (een pluim voor LastPass waarmee gebruikers voorkeurslanden kunnen instellen voor toegang). Als mijn telefoon, computer, tablet en polsapparaat zich allemaal in Kansas bevinden, moet ik een melding krijgen als mijn account ergens anders wordt geopend. Deze bedrijven moeten me op zijn minst een paar aanvullende vragen stellen voordat ze aannemen dat ik ben wie ik zeg dat ik ben. Deze gatekeeping is vooral nodig voor Google-, Apple- en Facebook-accounts die door OAuth worden geverifieerd bij andere accounts. Google en Facebook geven waarschuwingen voor ongebruikelijke activiteiten, maar ze zijn meestal slechts een waarschuwing en waarschuwingen zijn geen bescherming. Mijn creditcardmaatschappij zegt nee tegen de transactie totdat ze verifiëren wie ik ben. Ze zeggen niet alleen "Hé ... ik dacht dat je het moest weten". Mijn online accounts moeten niet waarschuwen, ze moeten blokkeren voor ongebruikelijke activiteit. De nieuwste draai aan creditcardbeveiliging is gezichtsherkenning. Natuurlijk kan iemand de tijd nemen om te proberen je gezicht te dupliceren, maar creditcardbedrijven lijken harder te werken om ons te beschermen.

Onze slimme assistenten (en apparaten) zijn een betere verdediging

Foto door Foomandoonian - http://flic.kr/p/7vn1x9

Foto door Foomandoonian

Siri, Alexa, Cortana en Google kennen er veel vandingen over ons. Ze voorspellen op intelligente wijze waar we naartoe gaan, waar we zijn geweest en wat we leuk vinden. Deze assistenten kammen onze foto's om onze vakanties te organiseren, onthouden wie onze vrienden zijn en zelfs de muziek die we leuk vinden. Het is eng op één niveau, maar erg handig in ons dagelijks leven. Als uw Fitbit-gegevens kunnen worden gebruikt in een rechtbank, kunnen deze ook worden gebruikt om u te identificeren.

Wanneer u een online account instelt,bedrijven stellen je domme uitdagingen, zoals de naam van je geliefde op de middelbare school of je leraar in de derde klas. Onze herinneringen zijn niet zo solide als een computer. Op deze vragen kan niet worden vertrouwd om onze identiteit te verifiëren. Ik ben eerder buitengesloten van accounts omdat mijn favoriete restaurant in 2011 bijvoorbeeld niet mijn favoriete restaurant vandaag is.

Google heeft hierin de eerste stap gezetgedragsbenadering met Smart Lock voor tablets en Chromebooks. Als je bent wie je zegt dat je bent, dan heb je waarschijnlijk je telefoon bij je in de buurt. Apple liet de bal echt vallen met de iCloud-hack, waardoor duizenden pogingen vanaf hetzelfde IP-adres mogelijk waren.

In plaats van uit te zoeken naar welk nummer we vervolgens willen luisteren, wil ik dat deze apparaten mijn identiteit op een paar manieren beschermen.

    1. Je weet waar ik ben: Met de GPS van mijn mobiele telefoon weet hij mijn locatie. Het zou in staat moeten zijn om mijn andere apparaten te vertellen: "Hé, het is cool, laat hem binnen." Als ik in Timboektoe roaming ben, moet je mijn wachtwoord en misschien zelfs mijn tweede factor niet echt vertrouwen.
    2. Je weet wat ik doe: Je weet wanneer ik me aanmeld en met wat, dus het is tijd om me nog een paar vragen te stellen. "Het spijt me Dave, dat kan ik niet doen" zou het antwoord moeten zijn als ik normaal niet je vraag om de pod bay-deuren te openen.
    3. Je weet hoe je me kunt verifiëren: “Mijn stem is mijn paspoort, verifieer me."Nee, iedereen kan dat kopiëren. Stel mij in plaats daarvan vragen die ik gemakkelijk kan beantwoorden en onthouden, maar die moeilijk te vinden zijn op internet. De meisjesnaam van mijn moeder is misschien gemakkelijk te vinden, maar waar ik vorige week met mama heb gegeten is dat niet (kijk in mijn kalender). Waar ik mijn lieverd op de middelbare school heb ontmoet, is gemakkelijk te raden, maar welke film ik vorige week zag, is niet gemakkelijk te vinden (controleer gewoon mijn e-mailontvangsten).
    4. Je weet hoe ik eruit zie: Facebook kan me herkennen aan mijn achterhoofd en Mastercard kan mijn gezicht detecteren. Dit zijn betere manieren om te verifiëren wie ik ben.

Ik weet dat maar heel weinig bedrijven implementerenoplossingen zoals deze, maar dat betekent niet dat ik er niet naar kan verlangen. Voordat je klaagt - ja, deze kunnen worden gehackt. Het probleem voor de hackers is dat ze weten welke secundaire maatregelen een online service gebruikt. Het kan de ene dag een vraag stellen, maar de volgende dag een selfie maken.

Apple doet een grote inspanning om mijn privacy te beschermenen dat waardeer ik. Maar zodra mijn Apple ID is ingelogd, wordt het tijd dat Siri me proactief beschermt. Google Now en Cortana kunnen dat ook. Misschien is iemand dit al aan het ontwikkelen, en Google maakt een aantal stappen op dit gebied, maar we hebben dit nu nodig! Tot die tijd moeten we een beetje waakzamer zijn in het beschermen van onze spullen. Kijk daar volgende week naar wat ideeën.

0

Vergelijkbare artikelen

Pandora heeft sommige gebruikers nodig om hun wachtwoord opnieuw in te stellen
Nieuws

Pandora heeft sommige gebruikers nodig om hun wachtwoord opnieuw in te stellen ..

Twitter-accounts gehackt: reset meer wachtwoorden dan nodig
Nieuws

Twitter-accounts gehackt: reset meer wachtwoorden dan ..

6,5 miljoen LinkedIn-wachtwoorden gelekt: hoe verander je nu
Nieuws

6,5 miljoen LinkedIn-wachtwoorden gelekt: hoe te veranderen ..

DreamHost Hacked: WordPress vertelt gebruikers om wachtwoorden te wijzigen
Nieuws

DreamHost Hacked: WordPress laat gebruikers veranderen ...

Hoe u vergeten FTP-wachtwoorden van Filezilla kunt ophalen
Hoe

Vergeten FTP-wachtwoorden ophalen van Filezilla ..

Hoe opgeslagen Google-wachtwoorden te bekijken en te verwijderen
Hoe

Hoe opgeslagen Google-wachtwoorden te bekijken en te verwijderen ..

Hoe wachtwoorden beheren met Edge Browser in Windows 10
Hoe

Hoe wachtwoorden beheren met Edge Browser in Windows 10 ..

Google Two Factor Authentication - Maak applicatiespecifieke eenmalige wachtwoorden
Hoe

Google Two Factor Authentication - Create ..

Hoe Firefox-wachtwoorden te beschermen met een hoofdwachtwoord
Hoe

Hoe Firefox-wachtwoorden te beschermen met een hoofdwachtwoord ...

Firefox: uw opgeslagen wachtwoorden bekijken
Hoe

Firefox: uw opgeslagen wachtwoorden zien ..

laat een reactie achter