Hasła są zepsute: istnieje lepszy sposób uwierzytelnienia użytkowników

Wydaje się, że co tydzień czytamy historiezagrożone firmy i strony internetowe oraz kradzież danych konsumentów. Dla wielu z nas najgorsze włamania mają miejsce w przypadku kradzieży haseł. LastPass Hack jest jednym z najnowszych ataków. W pewnym sensie jest to forma terroryzmu cyfrowego, która tylko się powiększa. Uwierzytelnianie dwuskładnikowe i biometria to miłe łatki do problemu, ale ignorują podstawowe problemy związane z zarządzaniem logowaniem. Mamy narzędzia do rozwiązania problemu, ale nie zostały one właściwie zastosowane.

Zdjęcie: polomex - http://flic.kr/p/cCzxju

Dlaczego zdejmujemy buty w Stanach Zjednoczonych, ale nie w Izraelu?

Każdy, kto przyleciał do Stanów Zjednoczonych, wieo bezpieczeństwie TSA. Zdejmujemy płaszcze, unikamy płynów i zdejmujemy buty przed przejściem przez zabezpieczenia. Mamy listę zakazu lotów na podstawie nazwisk. Są to reakcje na określone zagrożenia. Nie w taki sposób kraj taki jak Izrael zapewnia bezpieczeństwo. Nie latałem z El-Al (narodowymi liniami lotniczymi Izraela), ale przyjaciele opowiadają mi o wywiadach, przez które przechodzą. Funkcjonariusze ds. Bezpieczeństwa kodują zagrożenia na podstawie cech osobistych i zachowań.

Zdjęcie Ben Popken

Stosujemy podejście TSA do kont internetowychi dlatego mamy wszystkie problemy z bezpieczeństwem. Uwierzytelnianie dwuskładnikowe to początek. Jednak gdy dodamy drugi czynnik do naszych kont, jesteśmy w pogrążeni w fałszywym poczuciu bezpieczeństwa. Ten drugi czynnik chroni przed kradzieżą mojego hasła - szczególne zagrożenie. Czy mój drugi czynnik może zostać zagrożony? Pewnie. Mój telefon może zostać skradziony lub złośliwe oprogramowanie może zagrozić mojemu drugiemu czynnikowi.

Czynnik ludzki: inżynieria społeczna

Zdjęcie: Kevin Baird

Nawet przy podejściach dwuskładnikowych ludzie wciążmieć możliwość zastąpienia ustawień zabezpieczeń. Kilka lat temu pracowity haker przekonał Apple do zresetowania Apple ID pisarza. GoDaddy został oszukany w zamianie nazwy domeny, która umożliwiła przejęcie konta na Twitterze. Moja tożsamość została przypadkowo połączona z innym Dave'em Greenbaumem z powodu błędu ludzkiego w MetLife. Ten błąd prawie spowodował, że anulowałem ubezpieczenie domu i auto drugiego Dave'a Greenbauma.

Nawet jeśli człowiek nie zastąpi dwuskładnikowegoustawienie, ten drugi żeton jest kolejną przeszkodą dla atakującego. To gra dla hakera. Jeśli wiem, kiedy logujesz się do Dropbox, dla którego potrzebuję kodu autoryzacyjnego, wszystko, co muszę zrobić, to pobrać ten kod od ciebie. Jeśli nie otrzymam ode mnie SMS-ów (ktoś włamuje się na kartę SIM?), Muszę cię przekonać, byś wydał mi ten kod. To nie jest nauka rakietowa. Czy mogę cię przekonać do oddania tego kodu? Możliwie. Ufamy naszym telefonom bardziej niż naszym komputerom. Dlatego ludzie lubią takie rzeczy, jak fałszywy komunikat logowania do usługi iCloud.

Kolejna prawdziwa historia, która przytrafiła mi się dwa razy. Moja firma wydająca karty kredytowe zauważyła podejrzane działania i zadzwoniła do mnie. Świetny! To podejście behawioralne, o którym powiem później. Poprosili mnie jednak o podanie mojego pełnego numeru karty kredytowej przez telefon w połączeniu, którego nie wykonałem. Byli zszokowani, że odmówiłem podania im numeru. Menedżer powiedział mi, że rzadko otrzymują skargi od klientów. Większość dzwoniących przekazuje tylko numer karty kredytowej. Ojej. Może to być każda nikczemna osoba z drugiej strony, która próbuje uzyskać moje dane osobowe.

Hasła nas nie chronią

Zdjęcie od ditatompel

W naszym życiu mamy też zbyt wiele hasełwiele miejsc. Medium już pozbyło się haseł. Większość z nas wie, że powinniśmy mieć unikalne hasło do każdej strony. Takie podejście to zdecydowanie zbyt wiele, by prosić naszych mizernych, ziemskich mózgów żyjących w pełnym i bogatym cyfrowym życiu. Menedżery haseł (analogowe lub cyfrowe) pomagają zapobiegać przypadkowym hakerom, ale nie są wyrafinowanym atakiem. Do licha, hakerzy nie potrzebują nawet haseł, aby uzyskać dostęp do naszych indywidualnych kont. Po prostu włamują się do baz danych przechowujących informacje (Sony, Target, rząd federalny).

Weź lekcję od wystawców kart kredytowych

Mimo że algorytmy mogą być nieco wyłączone,firmy kredytowe mają właściwy pomysł. Sprawdzają nasze wzorce zakupów i lokalizację, aby wiedzieć, czy używasz swojej karty. Jeśli kupisz gaz w Kansas, a następnie kupisz garnitur w Londynie, to problem.

Zdjęcie: kozumel

Dlaczego nie możemy zastosować tego do naszych kont online? Niektóre firmy oferują powiadomienia z zagranicznych adresów IP (podziękowania dla LastPass za umożliwienie użytkownikom dostępu do preferowanych krajów). Jeśli mój telefon, komputer, tablet i urządzenie na rękę znajdują się w Kansas, powinienem zostać powiadomiony, jeśli moje konto jest dostępne w innym miejscu. Firmy te powinny przynajmniej zadać mi kilka dodatkowych pytań, zanim założą, że jestem tym, za kogo się podaje. Tego rodzaju odszukiwanie jest szczególnie potrzebne w przypadku kont Google, Apple i Facebook, które uwierzytelniają się na innych kontach przez OAuth. Google i Facebook ostrzegają o nietypowych działaniach, ale zwykle są to tylko ostrzeżenia, a ostrzeżenia nie stanowią ochrony. Moja firma wydająca karty kredytowe odmawia transakcji, dopóki nie zweryfikuje, kim jestem. Po prostu nie mówią „Hej… myślałem, że powinieneś wiedzieć”. Moje konta internetowe nie powinny ostrzegać, powinny blokować nietypowe działania. Najnowszym zwrotem w zabezpieczeniach kart kredytowych jest rozpoznawanie twarzy. Jasne, ktoś może poświęcić trochę czasu, aby spróbować powielić twoją twarz, ale wydaje się, że firmy wydające karty kredytowe ciężko pracują, aby nas chronić.

Nasi inteligentni asystenci (i urządzenia) są lepszą obroną

Zdjęcie Foomandoonian

Siri, Alexa, Cortana i Google znają mnóstworzeczy o nas. Inteligentnie przewidują, dokąd idziemy, gdzie byliśmy i co lubimy. Ci asystenci przeczesują nasze zdjęcia, aby zorganizować nasze wakacje, pamiętać, kim są nasi przyjaciele, a nawet muzykę, którą lubimy. To przerażające na jednym poziomie, ale bardzo przydatne w naszym codziennym życiu. Jeśli Twoje dane Fitbit można wykorzystać w sądzie, można je również wykorzystać do identyfikacji.

Kiedy zakładasz konto online,firmy zadają ci głupie pytania, takie jak imię ukochanej licealistki lub nauczyciela trzeciej klasy. Nasze wspomnienia nie są tak solidne jak komputer. Nie można polegać na tych pytaniach w celu weryfikacji naszej tożsamości. Wcześniej byłem zablokowany, ponieważ moja ulubiona restauracja w 2011 roku nie jest na przykład moją ulubioną restauracją.

Google zrobił pierwszy krok w tym kierunkupodejście behawioralne dzięki Smart Lock na tablety i Chromebooki. Jeśli jesteś tym, za kogo się podajesz, prawdopodobnie masz telefon blisko siebie. Apple naprawdę upuściło piłkę dzięki hackowi iCloud, umożliwiając tysiące prób z tego samego adresu IP.

Zamiast zastanawiać się, którego utworu chcemy posłuchać, chcę, aby te urządzenia chroniły moją tożsamość na kilka sposobów.

1. Wiesz gdzie jestem: Dzięki GPS w moim telefonie komórkowym zna moją lokalizację. Powinien być w stanie powiedzieć innym moim urządzeniom: „Hej, to spoko, wpuść go.” Jeśli korzystam z roamingu Timbuktu, nie powinieneś ufać mojemu hasłu, a może nawet drugiemu czynnikowi.
2. Wiesz co robię: Wiesz, kiedy się loguję i co, więc czas zadać mi jeszcze kilka pytań. „Przykro mi, Dave, nie mogę tego zrobić” powinna być odpowiedzią, gdy zwykle nie pytam cię o otwarcie drzwi zatoki.
3. Wiesz, jak mnie zweryfikować: „Mój głos to mój paszport, sprawdź mnie.„Nie, każdy może to skopiować. Zamiast tego zadaj mi pytania, na które łatwo jest mi odpowiedzieć i zapamiętać, ale które trudno znaleźć w Internecie. Nazwisko panieńskie mojej matki może być łatwe do znalezienia, ale tam, gdzie w zeszłym tygodniu zjadłem lunch z mamą, nie jest (spójrz na mój kalendarz). Tam, gdzie spotkałem moją ukochaną licealistkę, łatwo zgadnąć, ale który film, który widziałem w zeszłym tygodniu, nie jest łatwy do znalezienia (wystarczy sprawdzić moje potwierdzenia e-mailem).
4. Wiesz jak wyglądam: Facebook rozpoznaje mnie po głowie, a Mastercard może wykryć moją twarz. To są lepsze sposoby na sprawdzenie, kim jestem.

Wiem, że niewiele firm wdrażatakie rozwiązania, ale to nie znaczy, że nie mogę ich pożądać. Zanim złożysz skargę - tak, mogą zostać zhakowane. Problemem dla hakerów będzie wiedzieć, jakiego zestawu dodatkowych środków używa usługa online. Pewnego dnia może zadać pytanie, a następnego zrobić selfie.

Apple robi duży nacisk, aby chronić moją prywatnośći doceniam to. Jednak po zalogowaniu mojego Apple ID czas Siri proaktywnie mnie chroni. Google Now i Cortana również mogą to zrobić. Może ktoś już to rozwija, a Google robi pewne postępy w tej dziedzinie, ale potrzebujemy tego teraz! Do tego czasu musimy być bardziej czujni w ochronie naszych rzeczy. Poszukaj pomysłów na ten temat w przyszłym tygodniu.