Parolalar Bozuldu: Kullanıcıları Kimlik Doğrulamanın Daha İyi Bir Yolu Var

Her hafta öyle görünüyor ki,ele geçirilen şirketler ve web siteleri ve tüketici verileri çalındı. Birçoğumuz için en kötü girişler parolaların çalındığı zamandır. LastPass Hack daha yeni saldırılardan biri. Belki de büyüyen bir dijital terörizm biçimidir. İki faktörlü kimlik doğrulama ve biyometri, sorunun güzel yamalarıdır, ancak giriş yönetimi ile ilgili temel sorunları görmezden gelirler. Sorunu çözecek araçlarımız var, ancak bunlar doğru şekilde uygulanmadı.

Parolanızı mı unuttunuz

Fotoğraf polomex - http://flic.kr/p/cCzxju

Neden Ayakkabılarımızı Birleşik Devletler'de Çıkartıyoruz ama İsrail'de Çıkmıyoruz

Amerika Birleşik Devletleri'nde uçanlarTSA güvenliği hakkında. Güvenlikten geçmeden önce paltolarımızı çıkarırız, sıvıları önleriz ve ayakkabılarımızı çıkarırız. İsimlere dayalı uçuş olmayan bir listemiz var. Bunlar belirli tehditlere verilen tepkilerdir. İsrail gibi bir ülkenin güvenliği bu şekilde değil. El-Al'ı (İsrail'in ulusal havayolları) uçurmadım, ama arkadaşlar bana güvenlik içinde yaptıkları röportajları anlatıyor. Güvenlik görevlileri, tehditleri kişisel özelliklere ve davranışlara göre kodlar.

Tsa işareti çocuklar ayakkabılarını çıkarmak zorunda değilsiniz söylüyorum

Fotoğrafı çeken Ben Popken

Çevrimiçi hesaplara TSA yaklaşımını uyguluyoruzve bu yüzden tüm güvenlik sorunlarımız var. İki faktörlü kimlik doğrulama bir başlangıçtır. Ancak hesaplarımıza ikinci bir faktör eklediğimizde, yanlış bir güvenlik hissine kapıldık. Bu ikinci faktör şifremi çalan birine karşı koruma sağlar - belirli bir tehdit. İkinci faktörüm tehlikeye girebilir mi? Elbette. Telefonum çalınabilir veya kötü amaçlı yazılım ikinci faktörümden ödün verebilir.

İnsan Faktörü: Sosyal Mühendislik

9849 Viss İnsanlar Hacking 2.0

Fotoğrafı çeken Kevin Baird

İki faktörlü yaklaşımlarda bile insanlar halagüvenlik ayarlarını geçersiz kılma yeteneğine sahip olur. Birkaç yıl önce, çalışkan bir hacker, Apple'ı bir yazarın Apple Kimliğini sıfırlamaya ikna etti. GoDaddy, Twitter hesabının devralınmasını sağlayan bir alan adını ters çevirmek için kandırıldı. MetLife'daki bir insan hatası nedeniyle kimliğim kazara başka bir Dave Greenbaum ile birleştirildi. Bu hata neredeyse diğer Dave Greenbaum'un ev ve oto sigortasını iptal etmeme neden oldu.

Bir insan iki faktörü geçersiz kılmasa bileBu ikinci belirteç, saldırgan için başka bir engeldir. Bir bilgisayar korsanı oyunu. Dropbox'ınıza giriş yaptığınızda bir yetkilendirme koduna ihtiyacım olduğunu biliyorsanız, tek yapmam gereken bu kodu sizden almaktır. Metin mesajlarınızı bana yöneltmezsem (SIM-hack kim?), Sadece bu kodu bana bırakmaya ikna etmem gerekiyor. Bu roket bilimi değil. Seni bu kodu geri vermeye ikna edebilir miyim? Muhtemelen. Telefonlarımıza bilgisayarlarımızdan daha fazla güveniyoruz. Bu yüzden insanlar sahte bir iCloud giriş mesajı gibi şeylere düşüyor.

Bana iki kez olan başka bir gerçek hikaye. Kredi kartı şirketim şüpheli bir etkinlik fark etti ve beni aradı. Harika! Daha sonra bahsedeceğim davranışa dayalı bir yaklaşım. Ancak, yapmadığım bir çağrı ile tam kredi kartı numaramı telefon üzerinden vermemi istediler. Şok oldular onlara numarayı vermeyi reddettim. Bir yönetici nadiren müşterilerden şikayet almak söyledi. Çoğu arayan kredi kartı numarasını verir. Ahh. Diğer taraftan kişisel verilerimi almaya çalışan herhangi bir hain kişi olabilir.

Şifreler Bizi Korumıyor

Mezar odası

Fotoğraf ditatompel

Hayatımızda da çok fazla şifre varbirçok yerde. Medium zaten şifrelerden kurtuldu. Çoğumuz, her site için benzersiz bir parolaya sahip olmamız gerektiğini biliyoruz. Bu yaklaşım, dolu ve zengin bir dijital canlı yaşayan cılız dünyevi beyinlerimizi sormak için çok fazla. Parola yöneticileri (analog veya dijital) sıradan bilgisayar korsanlarının önlenmesine yardımcı olur, ancak karmaşık bir saldırıya neden olmaz. Heck, bilgisayar korsanlarının bireysel hesaplarımıza erişmek için şifreye bile ihtiyacı yok. Sadece bilgileri depolayan veritabanlarına girerler (Sony, Target, Federal Hükümet).

Kredi Kartı Şirketlerinden Ders Alın

Algoritmalar biraz kapalı olsa da,kredi şirketleri doğru fikre sahiptir. Kartınızı kullanıp kullanmadığınızı öğrenmek için satın alma modellerimize ve konumumuza bakarlar. Kansas'ta gaz alıp Londra'da bir takım elbise satın alırsanız, bu bir problemdir.

Londra

Fotoğraf kozumel

Bunu çevrimiçi hesaplarımıza neden uygulayamıyoruz? Bazı şirketler yabancı IP'lerden uyarılar sunar (kullanıcıların erişim için tercih edilen ülkeleri belirlemelerine izin vermek için LastPass'tan kudoslara). Telefonum, bilgisayarım, tabletim ve bilek cihazım Kansas'taysa, hesabım başka bir yere erişiliyorsa bana bildirilmelidir. En azından, bu şirketler söylediğim kişi olduğumu varsaymadan önce bana birkaç soru daha sormalılar. Bu ağ geçidi işlemi özellikle OAuth tarafından diğer hesaplarda kimlik doğrulaması yapan Google, Apple ve Facebook hesapları için gereklidir. Google ve Facebook olağandışı etkinliklerle ilgili uyarılar verir, ancak bunlar genellikle yalnızca bir uyarıdır ve uyarılar koruma değildir. Kredi kartı şirketim kim olduğumu doğrulayana kadar işleme hayır diyor. Sadece “Hey… bilmen gerektiğini düşündüm” demiyorlar. Çevrimiçi hesaplarım uyarılmamalı, olağandışı etkinlik için engellemeliler. Kredi kartı güvenliğine en yeni yön, yüz tanımadır. Tabii, birileri yüzünüzü kopyalamak için zaman alabilir, ancak kredi kartı şirketleri bizi korumak için daha fazla çalışıyor gibi görünüyor.

Akıllı Asistanlarımız (ve Cihazlarımız) Daha İyi Bir Savunma

Fotoğraf Foomandoonian - http://flic.kr/p/7vn1x9

Fotoğraf Foomandoonian

Siri, Alexa, Cortana ve Google bir tonhakkımızda şeyler. Nereye gittiğimizi, nerede olduğumuzu ve neyi sevdiğimizi akıllıca tahmin ediyorlar. Bu asistanlar, tatillerimizi organize etmek, arkadaşlarımızın kim olduğunu ve hatta sevdiğimiz müziği hatırlamak için fotoğraflarımızı tararlar. Bir düzeyde ürkütücü, ancak günlük yaşamımızda çok yararlı. Fitbit verileriniz bir mahkemede kullanılabilirse, sizi tanımlamak için de kullanılabilir.

Çevrimiçi bir hesap oluştururken,Şirketler, lise sevgilinizin veya üçüncü sınıf öğretmeninizin adı gibi aptalca meydan okuma soruları sorarlar. Anılarımız bilgisayar kadar sağlam değil. Bu sorular kimliğimizi doğrulamak için kullanılamaz. Daha önce hesaplarımın dışında kaldım çünkü 2011'deki en sevdiğim restoran bugünkü en sevdiğim restoran değil.

Google bu konuda ilk adımı attıTabletler ve Chromebook'lar için Smart Lock ile davranışsal yaklaşım. Eğer olduğunuzu söylediğiniz kişi sizseniz, muhtemelen telefonunuz size yakındır. Apple, iCloud hack'iyle topu gerçekten düşürdü ve aynı IP adresinden binlerce denemeye izin verdi.

Daha sonra hangi şarkıyı dinlemek istediğimizi bulmak yerine, bu cihazların kimliğimi birkaç şekilde korumasını istiyorum.

    1. Nerede olduğumu biliyorsun: Cep telefonumun GPS özelliği ile konumumu biliyor. Diğer aygıtlarıma “Hey, sorun değil, içeri girsin” diyebilmeli. Timbuktu dolaşımındaysam, şifreme ve hatta ikinci faktöre gerçekten güvenmemelisin.
    2. Ne yaptığımı biliyorsun: Ne zaman ve ne ile giriş yaptığımı biliyorsun, bu yüzden bana birkaç soru sorma zamanı geldi. “Üzgünüm Dave, bunu yapamam”, normalde pod bölmesi kapılarını açmanızı istemediğimde cevap olmalı.
    3. Beni nasıl doğrulayacağınızı biliyorsunuz: “Sesim pasaportum, doğrula beni.“Hayır, herkes bunu kopyalayabilir. Bunun yerine, cevaplamam ve hatırlamam kolay, ancak internette bulması zor sorular sor. Annemin kızlık soyadı bulmak kolay olabilir, ancak annemle geçen hafta öğle yemeği yediğim yer (takvimime bak) değil. Lise sevgilimle tanıştığım yer tahmin etmek kolay, ancak geçen hafta gördüğüm filmi bulmak kolay değil (sadece e-posta faturalarımı kontrol edin).
    4. Neye benzediğimi biliyorsun: Facebook beni kafamın arkasından tanıyabilir ve Mastercard yüzümü algılayabilir. Bunlar kim olduğumu doğrulamanın daha iyi yolları.

Biliyorum çok az şirket uyguluyorbunun gibi çözümler, ama bu onlar için şehvet edemeyeceğim anlamına gelmez. Şikayet etmeden önce-evet bunlar hacklenebilir. Bilgisayar korsanları için sorun, bir çevrimiçi hizmetin hangi ikincil önlem kümesini kullandığını bilmek olacaktır. Bir gün bir soru sorabilir ama ertesi gün bir selfie alın.

Apple gizliliğimi korumak için büyük bir baskı yapıyorve bunu takdir ediyorum. Ancak, Apple Kimliğim giriş yaptıktan sonra Siri'nin beni proaktif bir şekilde koruma zamanı geldi. Google Asistan ve Cortana da bunu yapabilir. Belki birisi bunu zaten geliştiriyor ve Google bu alanda bazı adımlar atıyor, ancak şimdi buna ihtiyacımız var! Bu zamana kadar, eşyalarımızı korumak için biraz daha uyanık olmalıyız. Gelecek hafta bununla ilgili bazı fikirler arayın.

0

Benzer makaleler

Pandora'nın Bazı Kullanıcıların Parolalarını Sıfırlamaları Gerekiyor
Haberler

Pandora'nın Bazı Kullanıcıların Parolalarını Sıfırlamaları Gerekiyor ..

Hacked Twitter Hesabı: Gerekenden Fazla Şifreyi Sıfırladı
Haberler

Hacked Twitter Hesapları: Daha Fazla Şifreyi Sıfırlar ..

6,5 milyon LinkedIn Şifreleri Sızdı: Şimdi Nasıl Değiştirilir
Haberler

6,5 milyon LinkedIn Şifreli Sızan: Nasıl Değiştirilir ..

DreamHost Hacked: WordPress, Kullanıcılara Şifreleri Değiştirme Talimatını Verir
Haberler

DreamHost Hacked: WordPress, Kullanıcılara Değişmelerini Bildirir ..

Filezilla'dan Unutulan FTP Şifrelerini Alma
Nasıl

Filezilla'dan Unutulan FTP Şifrelerini Alma

Kayıtlı Google Şifrelerini Görüntüleme ve Silme
Nasıl

Kayıtlı Google Şifrelerini Görüntüleme ve Silme ..

Windows 10'da Edge Browser ile Şifreler Nasıl Yönetilir
Nasıl

Windows 10'da Edge Browser ile Şifreler Nasıl Yönetilir ..

Google İki Faktörlü Kimlik Doğrulama - Uygulamaya Özel One-Off Şifreleri Oluşturma
Nasıl

Google İki Faktör Kimlik Doğrulaması - Oluştur ..

Ana Şifre ile Firefox Şifreleri Nasıl Korunur?
Nasıl

Ana Şifre ile Firefox Şifreler Nasıl Korunur ..

Firefox: Kayıtlı Şifrelerinizi Nasıl Görünür?
Nasıl

Firefox: Kayıtlı Şifrelerinizi Nasıl Görünür ..

yorum Yap