Heslá sú prerušené: Existuje lepší spôsob, ako overiť totožnosť používateľov

Každý týždeň sa zdá, že čítame príbehyspoločnosti a webové stránky, ktoré sú ohrozené, a odcudzené údaje o spotrebiteľoch. Pre mnohých z nás sú najhoršie vlámania v prípade odcudzenia hesiel. LastPass Hack je jedným z najnovších útokov. Možno je to forma digitálneho terorizmu, ktorá iba rastie. Dvojfaktorová autentifikácia a biometria sú peknými záplatami k problému, ignorujú však základné problémy súvisiace so správou prihlásení. Máme nástroje na vyriešenie problému, ale neboli správne aplikované.

Zabudol si heslo

Foto: polomex - http://flic.kr/p/cCzxju

Prečo si vyzliekame topánky v USA, ale nie v Izraeli

Každý, kto je leteckou spoločnosťou v USA, to vieo bezpečnosti TSA. Zložíme si kabáty, vyhneme sa tekutinám a zložíme si topánky, než pôjdeme cez bezpečnosť. Máme zoznam bezletových letov na základe mien. Toto sú reakcie na konkrétne hrozby. To nie je spôsob, akým krajina ako Izrael robí bezpečnosť. Nebol som preletený El-Al (izraelské národné letecké spoločnosti), ale priatelia mi hovoria o rozhovoroch, ktoré absolvujú v bezpečí. Bezpečnostní dôstojníci kódujú hrozby na základe osobných charakteristík a správania.

Značka Tsa hovorí deťom, že si nemusia vyzliecť topánky

Foto: Ben Popken

Zvažujeme prístup TSA k online účtoma preto máme všetky bezpečnostné problémy. Dvojfaktorová autentifikácia je začiatok. Keď však na naše účty pridáme druhý faktor, dostávame sa do falošného pocitu bezpečia. Tento druhý faktor chráni pred tým, ako niekto ukradne moje heslo - konkrétne ohrozenie. Môže byť môj druhý faktor ohrozený? Istá. Môj telefón by mohol byť ukradnutý alebo malvér by mohol ohroziť môj druhý faktor.

Ľudský faktor: sociálne inžinierstvo

9849 Viss People Hacking 2.0

Foto: Kevin Baird

Aj pri dvojfaktorových prístupoch sú ľudia stálemajú možnosť prepísať nastavenie zabezpečenia. Pred niekoľkými rokmi, usilovný hacker presvedčil Apple, aby resetoval Appleove ID spisovateľa. GoDaddy bol oklamaný, aby zmenil doménové meno, ktoré umožnilo prevzatie účtu Twitter. Moja identita bola náhodne zlúčená s ďalším Dave Greenbaumom kvôli ľudskej chybe v spoločnosti MetLife. Táto chyba takmer vyústila do zrušenia poistenia domácnosti a auto druhého Dave Greenbaum.

Aj keď človek neprepíše dva faktorynastavenie, tento druhý token je len ďalšou prekážkou pre útočníka. Je to hra pre hackerov. Ak viem, keď sa prihlásim do Dropboxu, pre ktorý potrebujem autorizačný kód, potom všetko, čo musím urobiť, je získať ten kód od teba. Ak sa mi vaše textové správy nedostanú nasmerované na mňa (SIM-hack niekto?), Len vás musím presvedčiť, aby ste mi tento kód uvoľnili. Toto nie je raketová veda. Môžem vás presvedčiť, aby ste vrátili tento kód? Možno. Dôverujeme našim telefónom viac ako našim počítačom. Preto ľudia padajú na veci, ako je falošná prihlasovacia správa iCloud.

Ďalší pravdivý príbeh, ktorý sa mi dvakrát stal. Moja spoločnosť vydávajúca kreditné karty si všimla podozrivú aktivitu a zavolala mi. Skvelé! To je prístup založený na správaní, o ktorom budem hovoriť neskôr. Požiadali ma však, aby som pri telefonickom hovore, ktorý som neuskutočnil, telefonicky zadal celé číslo svojej kreditnej karty. Boli šokovaní, že som im odmietla dať číslo. Manažér mi povedal, že zriedka dostávajú sťažnosti od zákazníkov. Väčšina volajúcich len odovzdá číslo kreditnej karty. Ouch. Mohla to byť akákoľvek nekalá osoba na druhej strane, ktorá by sa snažila získať moje osobné údaje.

Heslá nás nechránia

krypta

Foto: ditatompel

Aj v našom živote máme príliš veľa hesielveľa miest. Médium sa už zbavilo hesiel. Väčšina z nás vie, že by sme mali mať jedinečné heslo pre každú stránku. Tento prístup je príliš veľký na to, aby sme sa pýtali na naše maličké pozemské mozgy žijúce plné a bohaté digitálne vysielanie. Správcovia hesiel (analógové alebo digitálne) pomáhajú zabrániť náhodným hackerom, ale nie sofistikovaným útokom. Heck, hackeri nepotrebujú ani heslá na prístup k našim individuálnym účtom. Jednoducho sa dostanú do databáz, v ktorých sú uložené informácie (Sony, Target, Federal Government).

Urobte si lekciu od spoločností vydávajúcich kreditné karty

Aj keď algoritmy môžu byť trochu mimo,úverové spoločnosti majú správny nápad. Pozerajú sa na naše nákupné vzorce a polohu, aby zistili, či používate kartu. Ak si kúpite plyn v Kansase a potom si kúpite oblek v Londýne, je to problém.

Londýn

Foto: kozumel

Prečo to nemôžeme uplatniť na naše online účty? Niektoré spoločnosti ponúkajú varovania zo zahraničných IP (kudos na LastPass), aby umožnili používateľom nastaviť prístupové krajiny. Ak sa môj telefón, počítač, tablet a zápästie nachádzajú v Kansase, mal by som byť upozornený, ak je môj účet prístupný niekde inde. Tieto spoločnosti by mi mali prinajmenšom položiť niekoľko ďalších otázok, skôr ako sa domnievajú, že som tým, kto hovorím. Toto gatekeeping je potrebné najmä pre účty Google, Apple a Facebook, ktoré sa pomocou OAuth autentifikujú do iných účtov. Google a Facebook dávajú upozornenia na neobvyklú aktivitu, zvyčajne však slúžia iba ako varovanie a upozornenia nie sú ochranou. Moja spoločnosť vydávajúca kreditné karty k transakcii hovorí nie, kým neoveria, kto som. Jednoducho nehovoria „Hej ... myslel si, že by si to mal vedieť“. Moje online účty by nemali varovať, mali by blokovať nezvyčajnú aktivitu. Najnovším zvratom v oblasti zabezpečenia kreditných kariet je rozpoznanie tváre. Iste, niekto môže mať čas na to, aby sa pokúsil duplikovať vašu tvár, ale zdá sa, že spoločnosti vydávajúce kreditné karty tvrdšie pracujú na ochrane nás.

Naši inteligentní asistenti (a zariadenia) sú lepšou obranou

Foto: Foomandoonian - http://flic.kr/p/7vn1x9

Foto: Foomandoonian

Siri, Alexa, Cortana a Google vedia tonuo nás. Inteligentne predpovedajú, kam ideme, kam sme boli a čo sa nám páči. Títo asistenti rozčesávajú naše fotografie, aby usporiadali naše dovolenky, nezabudli, kto sú naši priatelia a dokonca aj hudbu, ktorá sa nám páči. Je strašidelný na jednej úrovni, ale v našom každodennom živote je veľmi užitočný. Ak je možné vaše údaje Fitbit použiť na súde, môžete ich tiež použiť na identifikáciu.

Keď nastavujete účet online,spoločnosti sa vás opýtajú na hlúpe otázky, ako je meno vášho stredoškolského miláčika alebo vášho tretieho ročníka. Naše spomienky nie sú také pevné ako počítač. Na tieto otázky sa nemožno spoľahnúť pri overovaní našej totožnosti. Už som bol predtým zablokovaný z účtov, pretože moja obľúbená reštaurácia v roku 2011 napríklad dnes nie je moja obľúbená reštaurácia.

Spoločnosť Google v tomto kroku urobila prvý krokbehaviorálny prístup pomocou inteligentného zámku pre tablety a Chromebooky. Ak ste tým, koho hovoríte, pravdepodobne máte telefón nablízku. Apple naozaj spadol loptu s iCloud hack, ktorý umožňuje tisíce pokusov z rovnakej adresy IP.

Namiesto toho, aby som zistil, ktorú skladbu chceme počúvať ďalej, chcem, aby tieto zariadenia chránili moju identitu niekoľkými spôsobmi.

    1. Vieš, kde som: Vďaka GPS môjho mobilného telefónu pozná moju polohu. Malo by to byť schopné povedať mojim ďalším zariadeniam: „Hej, je to v pohode, pustite ho.“ Ak som v roamingu Timbuktu, nemali by ste mi skutočne veriť môjmu heslu a možno ani môjmu druhému faktoru.
    2. Vieš čo robím: Vieš, keď sa prihlásim as čím, takže je čas položiť mi pár ďalších otázok. „Ospravedlňujem sa Dave, nemôžem to urobiť“ mala by byť odpoveď, keď ťa zvyčajne nežiadam, aby si otvoril dvere pod stojanom.
    3. Viete ma overiť: "Môj hlas je môj pas, over ma."„Nie, môže to kopírovať každý. Namiesto toho mi položte otázky, ktoré sú pre mňa ľahké zodpovedať a zapamätať, ale ktoré sa ťažko dajú nájsť na internete. Nájdenie priezviska mojej matky môže byť ľahké, ale tam, kde som minulý týždeň zjedol obed s mamou, nie je (pozri môj kalendár). Kde som sa stretol s mojím miláčikom na strednej škole, sa dá ľahko uhádnuť, ale ktorý film, ktorý som videl minulý týždeň, sa nedá ľahko nájsť (stačí skontrolovať svoje e-mailové potvrdenky).
    4. Vieš, ako vyzerám: Facebook ma dokáže spoznať zozadu a Mastercard môže zistiť moju tvár. Toto sú lepšie spôsoby, ako overiť, kto som.

Viem, že ich implementuje len veľmi málo spoločnostíriešenia, ako je tento, ale to neznamená, že im nemôžem žiadať. Predtým, ako sa sťažujete - áno, môžu byť napadnuté. Problémom hackerov bude vedieť, ktorá skupina sekundárnych opatrení online služba používa. Jeden deň to môže položiť otázku, ale nasledujúci deň si zobrať selfie.

Apple robí veľký tlak na ochranu môjho súkromiaa to si cením. Po prihlásení môjho Apple ID ma však Siri aktívne chráni. Google Now a Cortana to môžu tiež urobiť. Možno to už niekto rozvíja a spoločnosť Google v tejto oblasti robí určité pokroky, ale teraz to potrebujeme! Dovtedy musíme byť pri ochrane našich vecí ostražitejší. Pozrite sa na nejaké nápady, ktoré sa budúci týždeň.

0

Podobné články

Pandora vyžaduje, aby niektorí používatelia obnovili svoje heslá
správy

Pandora vyžaduje, aby niektorí používatelia obnovili svoje heslá.

Účty v službe Twitter hacknuté: Obnoví sa viac hesiel ako potrebných
správy

Hackerské účty napadnuté: obnoví viac hesiel ako ..

6,5 milióna LinkedIn hesiel presakovalo: Ako zmeniť svoje teraz
správy

6,5 milióna hesiel LinkedIn prešlo: Ako zmeniť ..

DreamHost Hacked: WordPress hovorí používateľom, aby zmenili heslá
správy

DreamHost Hacked: WordPress hovorí používateľom, aby sa zmenili ..

Ako napraviť zabudnuté FTP heslá z Filezilla
Ako

Ako retreovať zabudnuté FTP heslá z Filezilla ..

Ako zobraziť a odstrániť uložené heslá Google
Ako

Ako zobraziť a odstrániť uložené heslá Google ..

Ako spravovať heslá pomocou prehliadača hrán v systéme Windows 10
Ako

Ako spravovať heslá pomocou prehľadávača hrán v systéme Windows 10 ..

Google Two Factor Authentication - Vytvorte jednorazové heslá pre konkrétne aplikácie
Ako

Google Two Factor Authentication - Vytvorenie ..

Ako chrániť heslá Firefoxu pomocou hlavného hesla
Ako

Ako chrániť heslá Firefoxu pomocou hlavného hesla.

Firefox: Ako zobraziť uložené heslá
Ako

Firefox: Ako zobraziť uložené heslá ..

Zanechať komentár