Salasanat ovat hajonneet: On parempi tapa todentaa käyttäjät

Näyttää joka viikko, että luemme tarinoita yrityksistä ja verkkosivustoista, joista on vaarannettu ja kuluttajien tietoja varastettu. Monille meistä pahimmat murtautumiset tapahtuvat, kun salasanat varastetaan. LastPass-hakkerointi on yksi viimeisimmistä hyökkäyksistä. Toisinaan se on digitaalisen terrorismin muoto, joka vain kasvaa. Kaksitekijäinen todennus ja biometriikka ovat hienoja paikkoja ongelmaan, mutta ne jättävät kirjautumisen hallintaan liittyvät peruskysymykset huomiotta. Meillä on välineet ongelman ratkaisemiseksi, mutta niitä ei ole sovellettu oikein.

Miksi otamme kengät pois Yhdysvalloissa mutta ei Israelissa

Kuka tahansa, joka lentää Yhdysvalloissa, tietää TSA-turvallisuudesta. Riisuamme turkkiimme, vältetään nesteitä ja riisutaan kengätmme ennen turvallisuuden läpikäymistä. Meillä on nimien perusteella no-fly-luettelo. Nämä ovat reaktioita erityisiin uhkiin. Se ei ole tapa, jolla Israelin kaltainen maa turvaa. En ole lentänyt El-Aliin (Israelin kansalliset lentoyhtiöt), mutta ystävät kertovat minulle haastatteluista, joita he käyvät turvallisuudessa. Turvallisuushenkilöt koodittavat uhat perustuen

henkilökohtaiset ominaisuudet ja käyttäytyminen.

Käytämme TSA-lähestymistapaa verkkotileihin, ja siksi meillä on kaikki turvallisuusongelmat. Kaksitekijäinen todennus on alku. Kun kuitenkin lisäämme toisen tekijän tilillemme, meitä huijataan väärään turvatunteeseen. Tämä toinen tekijä suojaa sitä, että joku varastaa salasanani - erityinen uhka. Voisiko toinen tekijä vaarantua? Varma. Puhelimesi voidaan varastaa tai haittaohjelma saattaa vaarantaa toisen tekijän.

Inhimillinen tekijä: Sosiaalitekniikka

Jopa kaksifaktorisissa lähestymistavoissa ihmisillä on silti kyky ohittaa suojausasetukset. Muutama vuosi sitten, ahkera hakkeri vakuutti Applen palauttamaan kirjoittajan Apple ID: n. Hyvä isä oli huijattu muuntaa verkkotunnuksen, joka mahdollisti Twitter-tilin haltuunoton. Identiteettini oli sulautui vahingossa toiseen Dave Greenbaumiin johtuen inhimillisestä virheestä MetLifessä. Tämä virhe johti melkein siihen, että peruin toisen Dave Greenbaumin koti- ja autovakuutuksen.

Vaikka ihminen ei ohittaisi kaksikerroista asetusta, tämä toinen merkki on vain uusi este hyökkääjälle. Se on peli hakkereille. Jos tiedän kirjautuessasi Dropboxiin, että tarvitsen valtuuskoodin, niin tarvitsen vain saada se sinulta. Jos en saa tekstiviestejäsi minulle osoitettuna (SIM-hakkeroi ketään?), Minun on vain vakuutettava sinut vapauttamaan tämä koodi minulle. Tämä ei ole rakettitiede. Voinko vakuuttaa sinut antamaan tämän koodin takaisin? Mahdollisesti. Luotamme puhelimiin enemmän kuin tietokoneisiin. Tästä syystä ihmiset menevät esimerkiksi fake iCloud kirjautumisviesti.

Toinen tosi tarina, joka tapahtui minulle kahdesti. Luottokorttiyhtiöni huomasi epäilyttävää toimintaa ja soitti minulle. Loistava! Se on käyttäytymiseen perustuva lähestymistapa, josta puhun myöhemmin. He kuitenkin pyysivät minua antamaan täyden luottokorttinumeroni puhelimitse puhelimella, jota en tehnyt. He olivat järkyttyneitä, en kieltäytynyt antamasta heille numeroa. Johtaja kertoi minulle, että he saavat harvoin valituksia asiakkailta. Suurin osa soittajista luovuttaa vain luottokorttinumeron. Auts. Se voi olla mikä tahansa huono henkilö, joka yritti saada henkilökohtaisia ​​tietojani.

Salasanat eivät suojaa meitä

Meillä on liian monta salasanaa elämässämme liian monissa paikoissa. Medium on jo päästi eroon salasanoista. Suurin osa meistä tietää, että jokaisella sivustolla pitäisi olla yksilöivä salasana. Tämä lähestymistapa on aivan liikaa kysyämme raivoisilta maallisilta aivoiltamme, jotka elävät täydellisen ja rikkaan digitaalisen elämän. Salasanan hallinta (analoginen tai digitaalinen) auttaa estämään satunnaisia ​​hakkereita, mutta ei hienostunutta hyökkäystä. Hei, hakkerit eivät edes tarvitse salasanoja pääsyämme yksittäisiin tileihimme. He vain murtautuvat tietokantoihin, jotka tallentavat tietoja (Sony, Target, liittohallitus).

Ota oppitunti luottokorttiyhtiöiltä

Vaikka algoritmit saattavat olla hiukan pois, luottoyhtiöillä on oikea idea. He tutkivat ostotapojamme ja sijaintiasi tietääksesi, käyttääkö korttiasi. Jos ostat kaasua Kansasista ja sitten puku Lontoossa, se on ongelma.

Miksi emme voi soveltaa tätä verkkotileihimme? Jotkut yritykset tarjoavat ulkomaisten IP-osoitteiden hälytyksiä (kudot LastPassille käyttäjille) aseta ensisijaiset maat pääsyyn). Jos puhelimeni, tietokoneeni, tabletti ja rannelaitteesi ovat kaikki Kansasissa, minulle tulisi ilmoittaa, jos tiliini käytetään muualla. Ainakin näiden yritysten tulisi kysyä minulta muutama lisäkysymys ennen kuin he luulevat olevansa kuka sanon olevanani. Tätä portinhallintaa tarvitaan erityisesti Google-, Apple- ja Facebook-tileille, jotka todentavat OAuthin muille tileille. Google ja Facebook antaa varoituksia epätavallisesta toiminnasta, mutta ne ovat yleensä vain varoituksia, eivätkä varoitukset ole suojaa. Luottokorttiyhtiöni kieltäytyi tapahtumasta, ennen kuin hän tarkistaa kuka olen. He eivät vain sano "Hei... ajattelin sinun pitäisi tietää". Online-tilini ei saisi varoittaa, sen pitäisi estää epätavallisen toiminnan vuoksi. Uusin kierre luottokorttiturvallisuuteen on kasvojentunnistus. Toki joku voi viedä aikaa yrittää kopioida kasvosi, mutta luottokorttiyhtiöt näyttävät työskentelevän vaikeammin suojelemaan meitä.

Älykkäät avustajamme (ja laitteet) ovat parempi puolustus

Siri, Alexa, Cortana ja Google tietävät meistä tonnia juttuja. He ennustavat älykkäästi minne olemme menossa, missä olemme olleet ja mistä pidämme. Nämä avustajat kammisivat valokuvia järjestämään lomat, muistavat kuka ystävämme ovat ja jopa haluamastamme musiikista. Se on kammottava yhdellä tasolla, mutta erittäin hyödyllinen jokapäiväisessä elämässämme. Jos Fitbit-tietojasi voidaan käyttää tuomioistuimessa, se voi myös olla käytetään tunnistamaan sinut.

Kun perustat verkkotiliä, yritykset kysyvät tyhmältä haasteelta kuten lukion kultaseni tai kolmannen luokan opettajan nimi. Muistomme eivät ole niin kiinni kuin tietokone. Näihin kysymyksiin ei voida vedota identiteettimme vahvistamisessa. Minulla ei ole tiliä aiemmin, koska vuoden 2011 suosikkiravintolani ei ole esimerkiksi minun suosikkiravintolani tänään.

Google on ottanut ensimmäisen askeleen tässä käyttäytymismallissa Smart Lock -sovelluksella tableteille ja Chromebookille. Jos olet kuka sanot olevansa, sinulla on todennäköisesti puhelimesi lähelläsi. Apple todella pudotti pallon iCloud-hakkeroinnilla, sallimalla tuhansia yrityksiä samasta IP-osoitteesta.

Sen sijaan, että selvittäisin, minkä kappaleen haluamme kuunnella seuraavaksi, haluan näiden laitteiden suojaavan henkilöllisyyttäni muilla tavoilla.

1. Tiedät missä olen: Matkapuhelimen GPS: n avulla se tietää sijaintini. Sen pitäisi pystyä sanomaan muille laitteilleni "Hei, se on siistiä, anna hänet sisään". Jos olen Timbuktu-verkkovierailussa, sinun ei pitäisi oikeasti luottaa salasanani ja mahdollisesti edes toiseen tekijäni.
2. Tiedät mitä teen: Tiedät milloin kirjaudun sisään ja millaisen kanssa, joten on aika kysyä minulta vielä muutama kysymys. "Olen pahoillani Dave, en osaa tehdä sitä" pitäisi olla vastaus, kun en yleensä pyytä sinua avaamaan pod-lahden ovia.
3. Tiedät kuinka vahvistaa minut: "Ääneni on passi, tarkista minut." Ei, kuka tahansa voi kopioida sen. Kysy sen sijaan kysymyksiä, joihin on helppo vastata ja muistaa, mutta joita on vaikea löytää Internetistä. Äitini tyttönimi voi olla helppo löytää, mutta missä söin viime viikolla lounasta äidin kanssa, ei ole (katso kalenterini). Missä tapasin lukion kultaseni, on helppo arvata, mutta mitä elokuvaa nähin viime viikolla, ei ole helppo löytää (tarkista vain sähköpostiosoitteeni).
4. Tiedät miltä näytän: Facebook voi tunnistaa minut pään takana ja Mastercard tunnistaa kasvoni. Nämä ovat parempia tapoja varmistaa, kuka olen.

Tiedän, että hyvin harvat yritykset toteuttavat tällaisia ​​ratkaisuja, mutta se ei tarkoita, etten voi himota niitä. Ennen kuin valitat - kyllä, ne voidaan hakkeroida. Hakkereiden ongelma on tietää, mitä toissijaisia ​​toimenpiteitä verkkopalvelu käyttää. Se saattaa kysyä kysymyksen yhtenä päivänä, mutta ottaa seuraavana selfie-kuvan.

Apple pyrkii suojelemaan yksityisyyttäni ja arvostan sitä. Kun Apple-tunnukseni on kirjautunut sisään, on kuitenkin aika, että Siri suojaa minua ennakoivasti. Google Now ja Cortana voivat myös tehdä sen. Ehkä joku kehittää tätä jo, ja Google on edistynyt tällä alalla, mutta tarvitsemme tätä nyt! Siihen saakka meidän on oltava valppaina tavaroidemme suojaamiseksi. Etsi ideoita siitä ensi viikolla.