Passord er ødelagte: Det er en bedre måte å autentisere brukere

Hver uke ser det ut til at vi leser historier omselskaper og nettsteder blir kompromittert og forbrukerdata blir stjålet. For mange av oss er de verste innbruddene når passord blir stjålet. The LastPass Hack er et av de nyere angrepene. På mange måter er det en form for digital terrorisme som bare vokser. To-faktor autentisering og biometri er fine oppdateringer på problemet, men de ignorerer de grunnleggende problemene knyttet til påloggingsadministrasjon. Vi har verktøyene for å løse problemet, men de har ikke blitt brukt på riktig måte.

Glemt passordet

Foto av polomex - http://flic.kr/p/cCzxju

Hvorfor tar vi av oss skoene i USA, men ikke i Israel

Alle som er fløyet i USA vet detom TSA-sikkerhet. Vi tar av oss strøkene, unngår væske og tar av oss skoene før vi går gjennom sikkerhet. Vi har en ikke-fly-liste basert på navn. Dette er reaksjoner på spesifikke trusler. Det er ikke slik et land som Israel gjør sikkerhet. Jeg har ikke fløyet El-Al (Israels nasjonale flyselskaper), men venner forteller meg om intervjuene de gjennomgår i sikkerhet. Sikkerhetsoffiserene koder trusler basert på personlige egenskaper og atferd.

Tsa-skilt som forteller barna at de ikke trenger å ta av seg skoene

Foto av Ben Popken

Vi tar TSA-tilnærmingen til online-kontoerog det er derfor vi har alle sikkerhetsproblemene. To-faktor autentisering er en start. Likevel, når vi legger til en annen faktor til kontoene våre, blir vi sluppet inn i en falsk følelse av sikkerhet. Den andre faktoren beskytter mot at noen stjeler passordet mitt - en spesifikk trussel. Kan min andre faktor bli kompromittert? Sikker. Telefonen min kan bli stjålet, eller malware kan gå ut over min andre faktor.

The Human Factor: Social Engineering

9849 Viss People Hacking 2.0

Foto av Kevin Baird

Selv med to-faktor tilnærminger, mennesker fremdeleshar muligheten til å overstyre sikkerhetsinnstillingene. For noen år tilbake overbeviste en flittig hacker Apple om å tilbakestille forfatterens Apple ID. GoDaddy ble lurt til å snu et domenenavn som muliggjorde overtakelse av en Twitter-konto. Identiteten min ble tilfeldigvis slått sammen med en annen Dave Greenbaum på grunn av en menneskelig feil hos MetLife. Denne feilen resulterte nesten i at jeg kansellerte bolig- og bilforsikringen til den andre Dave Greenbaum.

Selv om et menneske ikke overstyrer en to-faktorinnstillingen, det andre symbolet er bare et hinder for angriperen. Det er et spill for en hacker. Hvis jeg vet når du logger på Dropboxen din at jeg trenger en autorisasjonskode til, så trenger jeg bare å få den koden fra deg. Hvis jeg ikke får tekstmeldingene dine rettet til meg (SIM-hack noen?), Trenger jeg bare å overbevise deg om å gi ut koden til meg. Dette er ikke rakettvitenskap. Kan jeg overbevise deg om å gi den koden tilbake? Muligens. Vi stoler på telefonene våre mer enn datamaskinene våre. Det er derfor folk faller for ting som en falsk iCloud-påloggingsmelding.

En annen sann historie som skjedde meg to ganger. Kredittkortselskapet mitt la merke til mistenkelig aktivitet og ringte meg. Flott! Det er en atferdsbasert tilnærming jeg skal snakke om senere. Imidlertid ba de meg om å gi mitt fulle kredittkortnummer over telefonen med en samtale jeg ikke ringte. De ble sjokkerte. Jeg nektet å gi dem nummeret. En leder fortalte at de sjelden får klager fra kunder. De fleste innringere overleverer bare kredittkortnummeret. Au. Det kan være en hvilken som helst ondskapsfull person i den andre enden som prøvde å skaffe meg personopplysninger.

Passord beskytter oss ikke

Crypt

Foto av ditatompel

Vi har for mange passord i livet vårt ogsåmange steder. Medium har allerede kvitt seg med passord. De fleste av oss vet at vi bør ha et unikt passord for hvert nettsted. Denne tilnærmingen er altfor mye til å be om våre tunge jordiske hjerner som lever et fyldig og rikt digitalt liv. Passordledere (analoge eller digitale) er med på å forhindre tilfeldige hackere, men ikke et sofistikert angrep. Pokker, hackerne trenger ikke engang passord for å få tilgang til våre individuelle kontoer. De bryter bare inn i databasene som lagrer informasjonen (Sony, Target, Federal Government).

Ta en leksjon fra kredittkortselskapene

Selv om algoritmene kanskje er litt av,kredittselskaper har den rette ideen. De ser på kjøpemønsteret og plasseringen vår for å vite om det er du som bruker kortet ditt. Hvis du kjøper bensin i Kansas og deretter kjøper en dress i London, er det et problem.

London

Foto av kozumel

Hvorfor kan vi ikke bruke dette på online-kontoene våre? Noen selskaper tilbyr varsler fra utenlandske IP-er (kudos til LastPass for å la brukere angi foretrukne land for tilgang). Hvis telefonen, datamaskinen, nettbrettet og håndleddet enheten er alle i Kansas, bør jeg varsles hvis kontoen min er tilgjengelig et annet sted. I det minste bør disse selskapene stille meg noen ekstra spørsmål før de antar at jeg er den jeg sier jeg er. Denne gatekeeping er spesielt nødvendig for Google-, Apple- og Facebook-kontoer som autentiserer til andre kontoer av OAuth. Google og Facebook gir advarsler for uvanlig aktivitet, men de er vanligvis bare et advarsel, og advarsler er ikke beskyttelse. Kredittkortselskapet mitt sier nei til transaksjonen før de har bekreftet hvem jeg er. De sier bare ikke “Hei… trodde du skulle vite det”. Mine online-kontoer skal ikke advare, de skal blokkere for uvanlig aktivitet. Den nyeste vri på kredittkortsikkerhet er ansiktsgjenkjenning. Visst, noen kan ta seg tid til å prøve å duplisere ansiktet ditt, men kredittkortselskapene ser ut til å jobbe hardere for å beskytte oss.

Våre smarte assistenter (og enheter) er et bedre forsvar

Foto av Foomandoonian - http://flic.kr/p/7vn1x9

Foto av Foomandoonian

Siri, Alexa, Cortana og Google vet massevis avting om oss. De spår intelligent hvor vi skal, hvor vi har vært og hva vi liker. Disse assistentene kammer bildene våre for å organisere ferien, husk hvem vennene våre er og til og med musikken vi liker. Det er skummelt på ett plan, men veldig nyttig i hverdagen vår. Hvis Fitbit-dataene dine kan brukes i en domstol, kan de også brukes til å identifisere deg.

Når du setter opp en online konto,selskaper stiller deg stumme utfordringsspørsmål som navnet på high school-kjæresten din eller læreren din i tredje klasse. Minnene våre er ikke så bunnsolid som en datamaskin. Disse spørsmålene kan ikke stole på for å bekrefte identiteten vår. Jeg har blitt sperret uten kontoer før fordi for eksempel favorittrestauranten min i 2011 ikke er favorittrestauranten min i dag.

Google har tatt det første skrittet i detteatferdsmessig tilnærming med Smart Lock for nettbrett og Chromebook. Hvis du er den du sier du er, har du sannsynligvis telefonen din i nærheten. Apple droppet virkelig ballen med iCloud-hacket, noe som ga tusenvis av forsøk fra samme IP-adresse.

I stedet for å finne ut hvilken sang vi vil høre på neste gang, vil jeg at disse enhetene beskytter identiteten min på noen få måter.

    1. Du vet hvor jeg er: Med GPS-en til mobiltelefonen min vet den hvor jeg befinner meg. Den skal kunne fortelle de andre enhetene mine "Hei, det er kult, la ham komme inn."
    2. Du vet hva jeg gjør: Du vet når jeg logger på og med hva, så det er på tide å stille meg noen spørsmål til. “Jeg beklager Dave, jeg kan ikke gjøre det” burde være svaret når jeg vanligvis ikke ber deg om å åpne døren til pod-bukten.
    3. Du vet hvordan du kan bekrefte meg: “Stemmen min er passet mitt, bekreft meg.”Nei, noen kan kopiere det. I stedet kan du stille spørsmål som det er lett å svare på og huske, men som er vanskelig å finne på Internett. Min mors pikenavn kan være lett å finne, men hvor jeg spiste lunsj forrige uke med mamma er det ikke (se på kalenderen min). Hvor jeg møtte highschool-kjæresten min er lett å gjette, men hvilken film jeg så forrige uke er ikke lett å finne (bare sjekk e-postkvitteringene mine).
    4. Du vet hvordan jeg ser ut: Facebook kan gjenkjenne meg bakerst på hodet, og Mastercard kan oppdage ansiktet mitt. Dette er bedre måter å bekrefte hvem jeg er.

Jeg vet at veldig få selskaper implementererløsninger som dette, men det betyr ikke at jeg ikke kan begjære dem. Før du klager - ja disse kan bli hacket. Problemet for hackerne vil være å vite hvilke sett med sekundære tiltak en online tjeneste bruker. Det kan stille et spørsmål den ene dagen, men ta en selfie den neste.

Apple gjør et stort trykk for å beskytte personvernet mittog det setter jeg pris på. Når Apple-ID-en min er logget på, er det imidlertid på tide at Siri beskytter meg proaktivt. Google Nå og Cortana kan gjøre det også. Kanskje noen allerede utvikler dette, og Google tar noen skritt på dette området, men vi trenger dette nå! Inntil til dette tidspunktet, må vi være litt mer årvåken når det gjelder å beskytte tingene våre. Se etter noen ideer om det neste uke.

0

Lignende artikler

Pandora trenger noen brukere for å tilbakestille passordene sine
Nyheter

Pandora trenger noen brukere for å tilbakestille passordene ..

Twitter-kontoer som er hacket: Tilbakestiller flere passord enn det som er nødvendig
Nyheter

Twitter-kontoer hacket: Tilbakestiller flere passord enn ..

6,5 millioner LinkedIn-passord lekket: Slik endrer du deg nå
Nyheter

6,5 millioner LinkedIn-passord lekket: Hvordan endre seg ..

DreamHost Hacked: WordPress forteller brukere å endre passord
Nyheter

DreamHost Hacked: WordPress ber brukerne endre ...

Hvordan gjenopprette glemte FTP-passord fra Filezilla
Hvordan

Hvordan gjenopprette glemte FTP-passord fra Filezilla ..

Slik viser og sletter du lagrede Google-passord
Hvordan

Slik viser og sletter du lagrede Google-passord ..

Hvordan håndtere passord med Edge Browser i Windows 10
Hvordan

Hvordan håndtere passord med Edge Browser i Windows 10.

Google-tofaktorautentisering - Lag applikasjonsspesifikke engangs passord
Hvordan

Google tofaktorautentisering - Lag ..

Hvordan beskytte Firefox-passord med et hovedpassord
Hvordan

Slik beskytter du Firefox-passord med et hovedpassord ..

Firefox: Slik ser du de lagrede passordene dine
Hvordan

Firefox: Slik ser du de lagrede passordene dine ..

Legg igjen en kommentar