Parolele sunt sparte: Există o modalitate mai bună de a autentifica utilizatorii

Se pare că în fiecare săptămână citim poveșticompaniile și site-urile web sunt compromise și datele despre consumatori fiind furate. Pentru mulți dintre noi, cele mai grave dezvăluiri sunt atunci când sunt furate parolele. Hackul LastPass fiind unul dintre atacurile mai recente. În unele cazuri, este o formă de terorism digital care se dezvoltă doar. Autentificarea și biometria cu doi factori sunt corecții frumoase ale problemei, dar ignoră problemele fundamentale legate de gestionarea autentificării. Avem instrumentele pentru rezolvarea problemei, dar nu au fost aplicate corect.

Ti-ai uitat parola

Fotografie de polomex - http://flic.kr/p/cCzxju

De ce ne scoatem pantofii în Statele Unite, dar nu în Israel

Oricine a zburat în Statele Unite știedespre securitatea TSA. Ne scoatem hainele, evităm lichidele și ne scoatem pantofii înainte de a trece prin securitate. Avem o listă fără zboruri bazate pe nume. Acestea sunt reacții la amenințări specifice. Acesta nu este modul în care o țară precum Israel își asigură securitatea. Nu am zburat El-Al (companiile aeriene naționale ale Israelului), dar prietenii îmi spun despre interviurile prin care trec în securitate. Agenții de securitate codează amenințările pe baza caracteristicilor și comportamentelor personale.

Semnul care le spune copiilor că nu trebuie să-și scoată pantofii

Fotografie de Ben Popken

Aducem abordarea TSA pentru conturile onlineși de aceea avem toate problemele de securitate. Autentificarea cu doi factori este un început. Cu toate acestea, atunci când adăugăm un al doilea factor în conturile noastre, am fost preocupați de un fals sentiment de securitate. Acest al doilea factor protejează împotriva cuiva de a-mi fura parola - o amenințare specifică. Ar putea fi al doilea factor al meu compromis? Sigur. Telefonul meu ar putea fi furat sau malware-ul ar putea compromite al doilea factor.

Factorul uman: Inginerie socială

9849 Viss People Hacking 2.0

Fotografie de Kevin Baird

Chiar și cu abordări în doi factori, oamenii sunt încăau capacitatea de a trece peste setările de securitate. La câțiva ani în urmă, un hacker harnic l-a convins pe Apple să reseteze ID-ul Apple al unui scriitor. GoDaddy a fost păcălit să transforme un nume de domeniu care a permis preluarea unui cont Twitter. Identitatea mea a fost contopită accidental cu un alt Dave Greenbaum din cauza unei greșeli umane la MetLife. Această greșeală aproape că a dus la anularea asigurării pentru locuință și auto a celuilalt Dave Greenbaum.

Chiar dacă un om nu trece peste un factor cu doi factorisetarea, acel al doilea jeton este doar un alt obstacol pentru atacator. Este un joc pentru un hacker. Dacă știu când te conectezi la Dropbox-ul tău pentru care am nevoie de un cod de autorizare, atunci tot ce trebuie să fac este să primesc codul de la tine. Dacă nu vă primesc mesajele text către mine (hack-ul SIM?), Trebuie doar să vă conving să-mi eliberați codul. Aceasta nu este știința rachetelor. Aș putea să vă conving să dați codul respectiv? Eventual. Avem încredere în telefoanele noastre mai mult decât în ​​calculatoarele noastre. Acesta este motivul pentru care oamenii se confruntă cu lucruri precum un mesaj fals de conectare iCloud.

O altă poveste adevărată care mi s-a întâmplat de două ori. Compania mea de carduri de credit a observat o activitate suspectă și m-a sunat. Grozav! Este o abordare bazată pe comportament, despre care voi vorbi mai târziu. Cu toate acestea, mi-au cerut să dau numărul complet al cărții de credit la telefon cu un apel pe care nu l-am făcut. Au fost șocați, am refuzat să le dau numărul. Un manager mi-a spus că primesc rareori reclamații de la clienți. Majoritatea apelanților predau doar numărul cardului de credit. Ouch. Asta ar putea fi orice persoană nefastă pe celălalt capăt, încercând să-mi iau datele personale.

Parolele nu ne protejează

Criptă

Foto de ditatompel

Avem prea multe parole în viața noastrămulte locuri. Medium a scăpat deja de parole. Cei mai mulți dintre noi știm că ar trebui să avem o parolă unică pentru fiecare site. Această abordare este prea mult de a cere creierelor noastre pământești care trăiesc un trai digital complet și bogat. Managerii de parole (analogice sau digitale) ajută la prevenirea hackerilor casual, dar nu la un atac sofisticat. Heck, hackerii nu au nevoie nici măcar de parole pentru a accesa conturile noastre individuale. Ei doar intră în bazele de date care stochează informațiile (Sony, Țintă, guvernul federal).

Ia o lecție de la companiile de carduri de credit

Chiar dacă algoritmii ar putea fi puțin opriți,companiile de credit au ideea corectă. Aceștia examinează modelele și locația noastră de cumpărare pentru a ști dacă vă folosește cardul. Dacă cumpărați benzină în Kansas și apoi cumpărați un costum la Londra, aceasta este o problemă.

Londra

Fotografie de kozumel

De ce nu putem aplica acest lucru în conturile noastre online? Unele companii oferă alerte de la IP-uri străine (kudos la LastPass pentru a permite utilizatorilor să stabilească țările preferate pentru acces). Dacă telefonul, computerul, tableta și dispozitivul pentru încheietura mâinii sunt toate în Kansas, atunci ar trebui să fiu notificat dacă contul meu este accesat în altă parte. Cel puțin, aceste companii ar trebui să-mi pună câteva întrebări suplimentare înainte de a presupune că sunt cine spun eu. Această menținere a porții este necesară în special pentru conturile Google, Apple și Facebook care se autentifică în alte conturi de către OAuth. Google și Facebook oferă avertismente pentru o activitate neobișnuită, dar de obicei sunt doar un avertisment, iar avertismentele nu sunt de protecție. Compania mea de cărți de credit nu spune tranzacției până când nu verifică cine sunt. Ei nu spun doar „Hei… a crezut că ar trebui să știi”. Conturile mele online nu ar trebui să avertizeze, ar trebui să blocheze pentru activități neobișnuite. Cea mai nouă răsucire a securității cardurilor de credit este recunoașterea facială. Sigur, cineva își poate lua timpul pentru a încerca să-ți dubleze fața, dar companiile de cărți de credit par să lucreze mai mult pentru a ne proteja.

Asistenții noștri inteligenți (și dispozitivele) sunt o apărare mai bună

Fotografie de Foomandoonian - http://flic.kr/p/7vn1x9

Fotografie de Foomandoonian

Siri, Alexa, Cortana și Google știu o mulțime dechestii despre noi. Ele prezic în mod inteligent unde mergem, unde am fost și ce ne place. Acești asistenți ne pieptănă fotografiile pentru a ne organiza vacanțele, ne amintim cine sunt prietenii noștri și chiar muzica care ne place. Este înfiorător la un nivel, dar foarte util în viața noastră de zi cu zi. Dacă datele dvs. Fitbit pot fi utilizate într-o instanță de judecată, pot fi de asemenea folosite pentru a vă identifica.

Când configurați un cont online,companiile îți pun întrebări stupide, cum ar fi numele iubitului tău de liceu sau al profesorului tău de clasa a treia. Amintirile noastre nu sunt la fel de rock ca un computer. Aceste întrebări nu pot fi invocate pentru a ne verifica identitatea. Am mai fost închis din conturi înainte, deoarece restaurantul meu preferat din 2011 nu este restaurantul meu preferat astăzi, de exemplu.

Google a făcut primul pas în acest sensabordare comportamentală cu Smart Lock pentru tablete și Chromebookuri. Dacă sunteți cine spuneți că sunteți, probabil că veți avea telefonul lângă voi. Apple a aruncat cu adevărat mingea cu hack-ul iCloud, permițând mii de încercări de la aceeași adresă IP.

În loc să-mi dau seama ce melodie vrem să ascultăm, vreau ca aceste dispozitive să-mi protejeze identitatea în câteva feluri.

    1. Știi unde sunt: Cu GPS-ul telefonului meu mobil, îmi știe locația. Ar trebui să fie în măsură să spun celorlalte dispozitive „Hei, e fain, lasă-l să intre.” Dacă mă aflu în roaming în Timbuktu, nu ar trebui să ai încredere în parola mea și, probabil, chiar și în cel de-al doilea factor al meu.
    2. Știi ce fac: Știi când mă conectez și cu ce, așa că este timpul să îmi mai pui câteva întrebări. „Îmi pare rău Dave, nu pot face asta”, ar trebui să fie răspunsul atunci când nu îți cer în mod normal să deschizi ușile de la pod.
    3. Știi să mă verifici: „Vocea mea este pașaportul, verifică-mă.„Nu, oricine poate copia asta. În schimb, pune-mi întrebări care îmi sunt ușor de răspuns și de reținut, dar greu de găsit pe Internet. Numele de fată al mamei mele poate fi ușor de găsit, dar unde am luat prânzul săptămâna trecută cu mama nu este (uită-te la calendarul meu). Unde mi-am cunoscut dragul meu de liceu este ușor de ghicit, dar filmul pe care l-am văzut săptămâna trecută nu este ușor de găsit (trebuie doar să verificați chitanțele de e-mail).
    4. Știi cum arată: Facebook mă poate recunoaște prin spatele capului, iar Mastercard îmi poate detecta fața. Acestea sunt modalități mai bune de a verifica cine sunt.

Știu că foarte puține companii se implementeazăsoluții de genul acesta, dar asta nu înseamnă că nu pot să le poftesc. Înainte de a vă plânge - da, acestea pot fi hackate. Problema pentru hackeri va fi știind ce set de măsuri secundare utilizează un serviciu online. S-ar putea să pună o întrebare într-o zi, dar să-ți faci un selfie în ziua următoare.

Apple face o presiune mare pentru a-mi proteja confidențialitateași apreciez asta. Cu toate acestea, după ce ID-ul meu Apple a fost conectat, este momentul în care Siri mă protejează proactiv. Google Now și Cortana pot face și asta. Poate că cineva dezvoltă deja acest lucru și Google face pași în acest domeniu, dar avem nevoie de asta acum! Până la acest moment, trebuie să fim un pic mai vigilenți în protejarea lucrurilor noastre. Căutați câteva idei despre săptămâna viitoare.

0

Articole similare

Pandora are nevoie de unii utilizatori pentru a-și reseta parolele
Știri

Pandora are nevoie de unii utilizatori pentru a-și reseta parolele ..

Conturi Twitter hacked: resetează mai multe parole decât este necesar
Știri

Conturi Twitter hacked: resetează mai multe parole decât ..

6,5 milioane de parole de LinkedIn scurse: Cum să vă schimbăm acum
Știri

6,5 milioane de parole pe LinkedIn scurgute: cum se schimbă ..

HackH DreamHost: WordPress le spune utilizatorilor să schimbe parolele
Știri

HackH DreamHost: WordPress spune utilizatorilor să se schimbe ..

Cum să retrageți parolele uitate FTP din Filezilla
Howto

Cum să retrageți parolele uitate FTP din Filezilla ..

Cum să vizualizați și să ștergeți parolele Google salvate
Howto

Cum să vizualizați și să ștergeți parolele Google salvate ..

Cum să gestionați parolele cu browserul Edge în Windows 10
Howto

Cum să gestionați parolele cu browserul Edge în Windows 10.

Autentificarea Google Two Factor - Creați parole unice pentru aplicații specifice
Howto

Autentificare Google Factor - Creare ..

Cum să protejați parolele Firefox cu o parolă principală
Howto

Cum să protejați parolele Firefox cu o parolă Master ..

Firefox: Cum să vedeți parolele salvate
Howto

Firefox: Cum să vezi parolele salvate ..

Lasa un comentariu