รหัสผ่านใช้งานไม่ได้: มีวิธีที่ดีกว่าในการตรวจสอบสิทธิ์ผู้ใช้

ดูเหมือนทุกสัปดาห์เรากำลังอ่านเรื่องราวของบริษัท และเว็บไซต์ที่ถูกบุกรุกและข้อมูลผู้บริโภคถูกขโมย สำหรับพวกเราหลายคนการทำลายที่แย่ที่สุดคือเมื่อรหัสผ่านถูกขโมย LastPass Hack เป็นหนึ่งในการโจมตีล่าสุด มันเป็นรูปแบบหนึ่งของการก่อการร้ายแบบดิจิทัลที่กำลังเติบโตเพียงอย่างเดียว การรับรองความถูกต้องด้วยสองปัจจัยและไบโอเมตริกเป็นแพทช์ที่ดีสำหรับปัญหา แต่พวกเขาไม่สนใจประเด็นพื้นฐานที่เกี่ยวข้องกับการจัดการการเข้าสู่ระบบ เรามีเครื่องมือในการแก้ปัญหา แต่ไม่ได้ใช้อย่างถูกต้อง

ภาพถ่ายโดย polomex - http://flic.kr/p/cCzxju

ทำไมเราถึงถอดรองเท้าในสหรัฐอเมริกา แต่ไม่ใช่ในอิสราเอล

ใครก็ตามที่บินในสหรัฐอเมริกาก็รู้เกี่ยวกับความปลอดภัย TSA เราถอดเสื้อหลีกเลี่ยงของเหลวและถอดรองเท้าก่อนผ่านการรักษาความปลอดภัย เรามีรายการที่ไม่มีการบินตามชื่อ สิ่งเหล่านี้เป็นปฏิกิริยาต่อการคุกคามที่เฉพาะเจาะจง นั่นไม่ใช่วิธีที่ประเทศเช่นอิสราเอลปลอดภัย ฉันไม่ได้บิน El-Al (สายการบินแห่งชาติของอิสราเอล) แต่เพื่อนบอกฉันเกี่ยวกับการสัมภาษณ์ที่พวกเขาผ่านไปอย่างปลอดภัย เจ้าหน้าที่รักษาความปลอดภัยรหัสคุกคามตามลักษณะส่วนบุคคลและพฤติกรรม

ป้าย Tsa บอกเด็ก ๆ ว่าพวกเขาไม่ต้องถอดรองเท้า

ภาพถ่ายโดย Ben Popken

เรากำลังใช้วิธี TSA ไปยังบัญชีออนไลน์และนั่นคือสาเหตุที่เรามีปัญหาด้านความปลอดภัยทั้งหมด การรับรองความถูกต้องด้วยสองปัจจัยคือการเริ่มต้น แต่เมื่อเราเพิ่มปัจจัยที่สองให้กับบัญชีของเราเราจะรู้สึกถึงความปลอดภัยที่ผิดพลาด ปัจจัยที่สองนั้นป้องกันใครบางคนที่ขโมยรหัสผ่านของฉันซึ่งเป็นภัยคุกคามที่เฉพาะเจาะจง ปัจจัยที่สองของฉันอาจถูกบุกรุกได้หรือไม่? แน่ใจ โทรศัพท์ของฉันอาจถูกขโมยหรือมัลแวร์อาจส่งผลต่อปัจจัยที่สองของฉัน

ปัจจัยมนุษย์: วิศวกรรมสังคม

ภาพถ่ายโดย Kevin Baird

แม้ด้วยวิธีการสองปัจจัยมนุษย์ยังคงมีความสามารถในการแทนที่การตั้งค่าความปลอดภัย ไม่กี่ปีที่ผ่านมาแฮกเกอร์ที่มีความอุตสาหะโน้มน้าวใจ Apple ให้รีเซ็ต Apple ID ของผู้เขียน GoDaddy ถูกหลอกให้เปลี่ยนชื่อโดเมนที่เปิดใช้งานการครอบครองบัญชี Twitter ตัวตนของฉันถูกผสานเข้ากับ Dave Greenbaum อีกคนโดยบังเอิญเนื่องจากความผิดพลาดของมนุษย์ที่ MetLife ความผิดพลาดนี้ส่งผลให้ฉันยกเลิกบ้านและประกันภัยรถยนต์ของ Dave Greenbaum อื่น ๆ

แม้ว่ามนุษย์จะไม่แทนที่ปัจจัยสองประการการตั้งค่าโทเค็นที่สองนั้นเป็นเพียงสิ่งกีดขวางสำหรับผู้โจมตี เป็นเกมสำหรับแฮ็กเกอร์ หากฉันรู้ว่าเมื่อคุณเข้าสู่ระบบ Dropbox ของคุณที่ฉันต้องการรหัสการอนุญาตสำหรับสิ่งที่ฉันต้องทำคือได้รับรหัสนั้นจากคุณ หากฉันไม่ได้รับข้อความของคุณส่งถึงฉัน (ซิมแฮ็คใครใช่ไหม) ฉันแค่ต้องโน้มน้าวให้คุณปล่อยรหัสนั้นให้ฉัน นี่ไม่ใช่วิทยาศาสตร์จรวด ฉันสามารถโน้มน้าวให้คุณส่งคืนรหัสนั้นได้หรือไม่? อาจ เราเชื่อถือโทรศัพท์ของเรามากกว่าคอมพิวเตอร์ของเรา นั่นเป็นเหตุผลที่ผู้คนต่างตกหลุมกับสิ่งต่าง ๆ เช่นข้อความเข้าสู่ระบบ iCloud ปลอม

อีกเรื่องจริงที่เกิดขึ้นกับฉันสองครั้ง บริษัท บัตรเครดิตของฉันสังเกตเห็นกิจกรรมที่น่าสงสัยและเรียกฉัน ที่ดี! นั่นเป็นวิธีการตามพฤติกรรมที่ฉันจะพูดถึงในภายหลัง อย่างไรก็ตามพวกเขาขอให้ฉันระบุหมายเลขบัตรเครดิตของฉันทางโทรศัพท์ด้วยการโทรที่ฉันไม่ได้ทำ พวกเขาตกใจฉันปฏิเสธที่จะให้หมายเลข ผู้จัดการบอกฉันว่าพวกเขาไม่ค่อยได้รับคำร้องเรียนจากลูกค้า ผู้โทรส่วนใหญ่เพียงส่งหมายเลขบัตรเครดิต อุ๊ยตาย นั่นอาจเป็นบุคคลที่ชั่วร้ายในอีกด้านหนึ่งพยายามรับข้อมูลส่วนบุคคล

รหัสผ่านไม่ได้ปกป้องเรา

ภาพถ่ายโดย ditatompel

เรามีรหัสผ่านจำนวนมากเกินไปในชีวิตของเราเช่นกันหลายที่. Medium ได้กำจัดรหัสผ่านไปแล้ว พวกเราส่วนใหญ่รู้ว่าเราควรมีรหัสผ่านเฉพาะสำหรับทุกไซต์ วิธีการดังกล่าวเป็นวิธีที่มากเกินไปที่จะขอสมองที่อ่อนแอของเราที่อาศัยอยู่ในโลกดิจิตอลที่สมบูรณ์และสมบูรณ์ ตัวจัดการรหัสผ่าน (แอนะล็อกหรือดิจิทัล) ช่วยป้องกันแฮกเกอร์ชั่วคราว แต่ไม่ใช่การโจมตีขั้นสูง เฮ้แฮ็กเกอร์ไม่จำเป็นต้องใช้รหัสผ่านเพื่อเข้าถึงบัญชีของเรา พวกเขาเจาะเข้าไปในฐานข้อมูลที่เก็บข้อมูล (Sony, Target, Federal)

รับบทเรียนจาก บริษัท บัตรเครดิต

แม้ว่าอัลกอริทึมอาจจะปิดไปเล็กน้อยบริษัท เครดิตมีความคิดที่ถูกต้อง พวกเขาดูรูปแบบการซื้อและสถานที่ของเราเพื่อดูว่าคุณใช้บัตรของคุณหรือไม่ หากคุณซื้อแก๊สในแคนซัสแล้วซื้อสูทที่ลอนดอนนั่นเป็นปัญหา

ภาพถ่ายโดย kozumel

ทำไมเราไม่สามารถใช้สิ่งนี้กับบัญชีออนไลน์ของเรา บาง บริษัท มีการแจ้งเตือนจาก IP ต่างประเทศ (ความรุ่งโรจน์ถึง LastPass เพื่อให้ผู้ใช้สามารถตั้งค่าประเทศที่ต้องการสำหรับการเข้าถึง) หากโทรศัพท์คอมพิวเตอร์แท็บเล็ตและอุปกรณ์ข้อมือของฉันทั้งหมดอยู่ในแคนซัสฉันควรได้รับการแจ้งเตือนหากมีการเข้าถึงบัญชีของฉันที่อื่น อย่างน้อยที่สุด บริษัท เหล่านี้ควรถามคำถามเพิ่มเติมสองสามข้อก่อนที่พวกเขาจะคิดว่าฉันเป็นใคร ประตูรั้วนี้เป็นสิ่งจำเป็นอย่างยิ่งสำหรับบัญชี Google, Apple และ Facebook ที่รับรองความถูกต้องกับบัญชีอื่น ๆ โดย OAuth Google และ Facebook ให้คำเตือนสำหรับกิจกรรมที่ผิดปกติ แต่มักจะเป็นเพียงแค่คำเตือนและคำเตือนนั้นไม่ได้รับการป้องกัน บริษัท บัตรเครดิตของฉันบอกว่าไม่ทำธุรกรรมจนกว่าพวกเขาจะตรวจสอบว่าฉันเป็นใคร พวกเขาแค่ไม่พูดว่า“ เฮ้…คิดว่าคุณควรรู้” บัญชีออนไลน์ของฉันไม่ควรเตือนพวกเขาควรปิดกั้นสำหรับกิจกรรมที่ผิดปกติ การรักษาความปลอดภัยของบัตรเครดิตใหม่ล่าสุดคือการจดจำใบหน้า แน่นอนว่ามีใครบางคนอาจใช้เวลาในการพยายามเลียนแบบใบหน้าของคุณ แต่ บริษัท บัตรเครดิตดูเหมือนว่าจะทำงานหนักขึ้นเพื่อปกป้องเรา

ผู้ช่วยที่ชาญฉลาดของเรา (และอุปกรณ์) เป็นระบบป้องกันที่ดีกว่า

ภาพถ่ายโดย Foomandoonian

Siri, Alexa, Cortana และ Google รู้อะไรมากมายสิ่งที่เกี่ยวกับเรา พวกเขาคาดการณ์อย่างชาญฉลาดว่าเราจะไปที่ไหนเราจะไปที่ไหนและชอบอะไร ผู้ช่วยเหล่านี้รวมรูปภาพของเราเพื่อจัดระเบียบวันหยุดพักผ่อนของเราจำได้ว่าใครเป็นเพื่อนของเราและแม้แต่เพลงที่เราชอบ มันน่าขนลุกในระดับหนึ่ง แต่มีประโยชน์มากในชีวิตประจำวันของเรา หากข้อมูล Fitbit ของคุณสามารถนำไปใช้ในศาลได้ก็สามารถนำมาใช้เพื่อระบุตัวคุณได้

เมื่อคุณตั้งค่าบัญชีออนไลน์บริษัท ต่างๆจะถามคำถามท้าทายกับคุณเช่นชื่อของคนรักโรงเรียนมัธยมหรือครูชั้นประถมศึกษาปีที่สามของคุณ ความทรงจำของเราไม่เหมือนหินอย่างคอมพิวเตอร์ คำถามเหล่านี้ไม่สามารถเชื่อถือได้เพื่อยืนยันตัวตนของเรา ฉันถูกล็อคบัญชีก่อนหน้านี้เพราะร้านอาหารที่ฉันโปรดปรานในปี 2554 ไม่ใช่ร้านอาหารที่ฉันชอบในวันนี้

Google ได้ดำเนินการขั้นตอนแรกในเรื่องนี้แนวทางเชิงพฤติกรรมด้วย Smart Lock สำหรับแท็บเล็ตและ Chromebooks หากคุณเป็นคนที่คุณพูดคุณอาจจะมีโทรศัพท์อยู่ใกล้คุณ แอปเปิ้ลทิ้งลูกบอลด้วยแฮ็ค iCloud ซึ่งอนุญาตให้ลองหลายพันครั้งจากที่อยู่ IP เดียวกัน

แทนที่จะหาว่าเพลงไหนที่เราต้องการฟังต่อไปฉันต้องการอุปกรณ์เหล่านี้เพื่อปกป้องตัวตนของฉันในไม่กี่วิธี

คุณรู้ว่าฉันอยู่ที่ไหน: ด้วย GPS ของโทรศัพท์มือถือฉันรู้ตำแหน่งของฉัน มันควรจะบอกอุปกรณ์อื่น ๆ ของฉัน "เฮ้มันเจ๋งมากปล่อยให้เขาเข้ามา" ถ้าฉันอยู่ในโรมมิ่งทิมบุคทูคุณไม่ควรเชื่อรหัสผ่านและอาจเป็นปัจจัยที่สองของฉัน
คุณรู้ว่าฉันทำอะไร: คุณจะรู้ว่าเมื่อฉันเข้าสู่ระบบและกับสิ่งที่ดังนั้นจึงถึงเวลาที่จะถามคำถามอีกสองสาม “ ฉันขอโทษเดฟฉันไม่สามารถทำเช่นนั้นได้” ควรเป็นคำตอบเมื่อฉันไม่ขอให้คุณเปิดประตูช่องใส่ฝัก
คุณรู้วิธียืนยันฉัน: “ เสียงของฉันคือหนังสือเดินทางของฉันยืนยันฉัน” ไม่ทุกคนสามารถคัดลอกได้ ให้ถามคำถามที่ง่ายต่อการตอบและจดจำ แต่หายากบนอินเทอร์เน็ต นามสกุลเดิมของแม่ฉันอาจจะหาง่าย แต่ที่ฉันทานอาหารกลางวันเมื่อสัปดาห์ที่แล้วกับแม่ไม่ได้ (ดูที่ปฏิทินของฉัน) ที่ฉันได้พบกับคนรักไฮสคูลในโรงเรียนของฉันนั้นง่ายต่อการคาดเดา แต่ภาพยนตร์เรื่องใดที่ฉันเห็นเมื่อสัปดาห์ที่แล้วไม่ใช่เรื่องง่ายที่จะค้นหา (เพียงตรวจสอบใบเสร็จอีเมลของฉัน)
คุณรู้ว่าฉันมีลักษณะอย่างไร: Facebook สามารถจำฉันได้จากด้านหลังของหัวและมาสเตอร์การ์ดสามารถตรวจจับใบหน้าของฉัน นี่เป็นวิธีที่ดีกว่าในการยืนยันว่าฉันเป็นใคร

ฉันรู้ว่ามี บริษัท เพียงไม่กี่แห่งที่ใช้งานวิธีแก้ปัญหาเช่นนี้ แต่นั่นไม่ได้หมายความว่าฉันไม่สามารถทำสิ่งเหล่านี้ได้ ก่อนที่คุณจะบ่น - ใช่สิ่งเหล่านี้สามารถถูกแฮ็ก ปัญหาสำหรับแฮ็กเกอร์จะรู้ว่าชุดมาตรการรองที่ใช้ใน Online Service คืออะไร อาจถามคำถามสักวันหนึ่ง แต่ถ่ายเซลฟี่ต่อไป

Apple กำลังผลักดันอย่างยิ่งใหญ่เพื่อปกป้องความเป็นส่วนตัวของฉันและฉันขอบคุณที่ อย่างไรก็ตามเมื่อ Apple ID ของฉันลงชื่อเข้าใช้แล้วก็ถึงเวลาที่ Siri จะปกป้องฉันในเชิงรุก Google Now และ Cortana สามารถทำได้เช่นกัน บางทีบางคนกำลังพัฒนาสิ่งนี้อยู่แล้วและ Google ก็กำลังก้าวไปข้างหน้าในพื้นที่นี้ แต่เราต้องการสิ่งนี้ตอนนี้! จนกว่าจะถึงเวลาดังกล่าวเราจะต้องระมัดระวังมากขึ้นในการปกป้องสิ่งของของเรา มองหาแนวคิดบางอย่างในสัปดาห์หน้า