Паролі розбиті: існує кращий спосіб аутентифікації користувачів

Здається, щотижня ми читаємо історії прокомпанії та веб-сайти піддаються компрометації та вкрадаються дані споживачів. Для багатьох з нас найгірші вторгнення - це коли викрадені паролі. Остання з останніх атак - LastPass Hack. Можливо, це форма цифрового тероризму, яка лише зростає. Двофакторна аутентифікація та біометричні показники є гарними виправленнями проблеми, але вони ігнорують основні проблеми, пов'язані з управлінням входом. У нас є інструменти для вирішення проблеми, але вони не застосовуються належним чином.

Забули свій пароль

Фото polomex - http://flic.kr/p/cCzxju

Чому ми знімаємо взуття в США, а не в Ізраїлі

Усі, хто літає в США, знаютьпро безпеку TSA. Ми знімаємо пальто, уникаємо рідин і знімаємо взуття перед тим, як пройти безпеку. У нас є список нелітаючих на основі імен. Це реакції на конкретні загрози. Це не така країна, як Ізраїль. Я не літав в Ель-Аль (національні авіакомпанії Ізраїлю), але друзі розповідають про інтерв'ю, яке вони проходять у безпеці. Працівники служби безпеки кодують погрози, виходячи з особистих особливостей та поведінки.

Знак Tsa говорить дітям, що вони не повинні знімати взуття

Фото Бен Попкен

Ми застосовуємо підхід TSA до облікових записів в Інтернетітому ми маємо всі проблеми із безпекою. Двофакторна аутентифікація - це початок. Однак, коли ми додаємо другий фактор до своїх облікових записів, ми потрапляємо в помилкове почуття безпеки. Цей другий фактор захищає від того, щоб хтось викрав мій пароль - особливу загрозу. Чи міг би бути порушений мій другий фактор? Звичайно. Мій телефон може бути викрадений або зловмисне програмне забезпечення може поставити під загрозу мій другий фактор.

Людський фактор: соціальна інженерія

9849 Viss People Hacking 2.0

Фото Кевіна Бейрда

Навіть при двофакторних підходах люди все жмають можливість змінити параметри безпеки. Кілька років тому наполегливий хакер переконував Apple змінити Apple ID для письменника. GoDaddy був обдурений перетворити доменне ім’я, що дозволило захопити обліковий запис Twitter. Моя особистість була випадково злита з іншим Дейвом Грінбаумом через людську помилку в MetLife. Ця помилка майже призвела до того, що я скасував житло та автострахування іншого Дейва Грінбаума.

Навіть якщо людина не переможе двофакторвстановивши, що другий жетон - це ще одна перешкода для нападника. Це гра для хакера. Якщо я знаю, коли ви входите в свій Dropbox, що мені потрібен код авторизації, то все, що мені потрібно зробити, - це отримати цей код від вас. Якщо я не отримаю ваших текстових повідомлень, спрямованих на мене (SIM-хак когось?), Мені просто потрібно переконати вас відпустити мені цей код. Це не ракетна наука. Чи можу я переконати вас повернути цей код? Можливо. Ми довіряємо нашим телефонам більше, ніж нашим комп’ютерам. Ось чому люди ставляться до таких речей, як підроблене повідомлення для входу в iCloud.

Ще одна справжня історія, яка зі мною траплялася двічі. Моя компанія з кредитними картками помітила підозрілу активність і зателефонувала мені. Чудово! Це підхід, заснований на поведінці, про який я поговорю пізніше. Однак вони попросили вказати повний номер своєї кредитної картки по телефону, коли я не телефонував. Вони були в шоці, я відмовився дати їм номер. Менеджер сказав мені, що вони рідко отримують скарги від клієнтів. Більшість абонентів просто здають номер кредитної картки. Ой. Це могла будь-яка недоброзичлива людина з іншого боку, намагаючись отримати мої особисті дані.

Паролі не захищають нас

Крипта

Фото ditatompel

У нашому житті занадто багато паролівбагато місць. Середній вже позбувся паролів. Більшість з нас знає, що у нас повинен бути унікальний пароль для кожного сайту. Такий підхід занадто багато, щоб запитати наших мізерних земляних мізків, які живуть повноцінним і багатим цифровим життям. Менеджери паролів (аналогові чи цифрові) допомагають запобігти випадковим хакерам, але не є складним нападом. Хак, хакерам навіть не потрібні паролі для доступу до наших індивідуальних облікових записів. Вони просто пробиваються до баз даних, які зберігають інформацію (Sony, Target, Федеральний уряд).

Візьміть урок від компаній, що користуються кредитними картками

Хоча алгоритми можуть бути трохи відключені,кредитні компанії мають правильну ідею. Вони переглядають наші схеми купівлі та місце знаходження, щоб дізнатися, чи використовуєте ви свою картку. Якщо ви купуєте газ у Канзасі, а потім купуєте костюм у Лондоні, це проблема.

Лондон

Фото: kozumel

Чому ми не можемо застосувати це до своїх онлайн-акаунтів? Деякі компанії пропонують сповіщення від закордонних IP-адрес (кудо для LastPass, щоб користувачі могли встановити бажані країни для доступу). Якщо мій телефон, комп’ютер, планшет і зап'ясті знаходяться в штаті Канзас, то мені слід повідомити, якщо в моєму акаунті є доступ десь деінде. Принаймні, ці компанії повинні задати мені кілька додаткових запитань, перш ніж вони припускають, що я є тим, за кого я кажу. Це пристосування особливо необхідне для облікових записів Google, Apple та Facebook, які аутентифікують інші облікові записи OAuth. Google і Facebook дають попередження про незвичну діяльність, але вони, як правило, є лише попередженням, і попередження не є захистом. Моя компанія з кредитними картками не відповідає трансакції, поки вони не підтвердять, хто я. Вони просто не кажуть "Ей ... думав, ти повинен знати". Мої онлайн-акаунти не повинні попереджати, вони повинні блокувати незвичну активність. Найновіший поворот безпеки кредитної картки - це розпізнавання обличчя. Звичайно, хтось може зайняти час, щоб спробувати скопіювати ваше обличчя, але компанії з кредитних карток, здається, працюють більше, щоб захистити нас.

Наші розумні помічники (і пристрої) - краща захист

Фото Foomandoonian - http://flic.kr/p/7vn1x9

Фото: Foomandoonian

Сірі, Алекса, Кортана та Google знають багато тоннречі про нас. Вони розумно прогнозують, куди ми йдемо, де ми були і що нам подобається. Ці помічники розчісують наші фотографії, щоб організувати наші канікули, запам'ятати, хто такі наші друзі, і навіть музику, яка нам подобається. Це моторошно на одному рівні, але дуже корисно в нашому щоденному житті. Якщо ваші дані Fitbit можна використовувати в суді, вони також можуть бути використані для ідентифікації вас.

Коли ви налаштовуєте онлайн-акаунт,компанії задають вам тупі запитання, як-от ім’я коханої середньої школи або вчителя третього класу. Наші спогади не настільки тверді, як комп'ютер. Ці питання не можуть покладатися на підтвердження нашої особи. Мені раніше не доводилося брати рахунки, тому що мій улюблений ресторан в 2011 році, наприклад, сьогодні не є моїм улюбленим.

Google зробив перший крок у цьомуповедінковий підхід із Smart Lock для планшетів та Chromebook. Якщо ти такий, ким ти кажеш, що ти є, то, певно, у тебе телефон поруч. Apple справді кинув м'яч за допомогою iCloud hack, дозволяючи тисячі спроб з тієї ж IP-адреси.

Замість того, щоб з'ясувати, яку пісню ми хочемо слухати далі, я хочу, щоб ці пристрої декількома способами захищали мою ідентичність.

    1. Ви знаєте, де я: Завдяки GPS мого мобільного телефону він знає моє місцезнаходження. Він повинен мати можливість сказати на інших моїх пристроях: "Ей, це здорово, пустіть його". Якщо я перебуваю в роумінгу в Timbuktu, ти не повинен довіряти моєму паролю і, можливо, навіть моєму другому фактору.
    2. Ви знаєте, що я роблю: Ви знаєте, коли я входжу в систему і з чим, тож час задати мені ще кілька питань. "Вибачте, Дейв, я не можу цього зробити", - це відповідь, коли я зазвичай не прошу вас відчиняти двері.
    3. Ви знаєте, як мене перевірити: «Мій голос - це мій паспорт, підтвердьте мене.Ні, ніхто не може це скопіювати. Натомість задайте мені питання, на які мені легко відповісти і запам'ятати, але важко знайти в Інтернеті. Дівоче прізвище моєї матері може бути легко знайти, але там, де я їв обід минулого тижня з мамою, немає (подивіться на мій календар). Де я зустрічав свою кохану середню школу, легко здогадатися, але який фільм, який я побачив минулого тижня, знайти непросто (просто перевірте мої квитанції по електронній пошті).
    4. Ви знаєте, як я схожий: Facebook може розпізнати мене потилицею, а Mastercard може виявити моє обличчя. Це кращі способи перевірити, хто я.

Я знаю, що дуже мало компаній реалізуютьподібні рішення, але це не означає, що я не можу їх пожадати. Перш ніж скаржитися - так, їх можна зламати. Проблемою хакерів буде знати, який набір вторинних заходів використовує онлайн-сервіс. Це може поставити запитання одного дня, але наступного зніміть селфі.

Apple робить великий поштовх для захисту моєї конфіденційностіі я ціную це. Однак, як тільки мій Apple ID увійшов, настав час Siri активно захищати мене. Google Now і Cortana також можуть це зробити. Можливо, хтось це вже розвиває, і Google досягає певних успіхів у цій галузі, але це нам зараз потрібно! До цього часу нам потрібно бути дещо пильнішими в захисті наших речей. Шукайте кілька ідей щодо цього наступного тижня.

0

Подібні статті

Пандора потребує деяких користувачів для скидання паролів
Новини

Pandora потребує відновлення паролів у деяких користувачів ..

Облікові записи Twitter зламані: скидає більше паролів, ніж потрібно
Новини

Облікові записи Twitter зламані: скидає більше паролів, ніж ..

Просочилося 6,5 мільйонів LinkedIn паролів: як змінити ваше зараз
Новини

6,5 млн. LinkedIn паролів просочилися: як змінити ..

DreamHost зламаний: WordPress повідомляє користувачам змінювати паролі
Новини

DreamHost зламаний: WordPress повідомляє користувачам змінити ..

Як отримати забуті паролі FTP з Filezilla
Як

Як отримати забуті паролі FTP з Filezilla ..

Як переглянути та видалити збережені паролі Google
Як

Як переглянути та видалити збережені паролі Google ..

Як керувати паролями за допомогою браузера Edge в Windows 10
Як

Як керувати паролями за допомогою браузера Edge в Windows 10 ..

Двофакторна автентифікація Google - створіть конкретні одноразові паролі для додатків
Як

Двофакторна автентифікація Google - Створіть ..

Як захистити паролі Firefox за допомогою головного пароля
Як

Як захистити паролі Firefox за допомогою головного пароля ..

Firefox: як бачити збережені паролі
Як

Firefox: як бачити збережені паролі ..

Залишити коментар