Лозинке су разбијене: Постоји бољи начин да се аутентификују корисници

Сваке недеље чини се да читамо приче о компромитовању компанија и веб локација и краду податке о потрошачима. За многе од нас најгори провали су када су лозинке украдене. Тхе ЛастПасс Хацк један од новијих напада. На неки начин, то је облик дигиталног тероризма који само расте. Двофакторна аутентификација и биометрија су лепе закрпе за проблем, али занемарују основна питања која се односе на управљање пријавом. Имамо алате за решавање проблема, али нису правилно примењени.

Зашто скидамо обућу у Сједињеним Државама, али не и у Израелу

Сви који лете у Сједињеним Државама знају за безбедност ТСА. Скидамо капуте, избегавамо течности и скидамо ципеле пре него што прођемо кроз обезбеђење. Имамо листу нелетања засновану на именима. То су реакције на конкретне претње. То није начин на који земља попут Израела обезбеђује сигурност. Нисам летео Ел-Ал-ом (национална авиокомпанија Израела), али пријатељи ми причају о интервјуима кроз које пролазе у безбедности. Службеници обезбеђења кодирају претње на основу

личне карактеристике и понашање.

Користимо приступ ТСА на мрежним рачунима и зато имамо све безбедносне проблеме. Двофакторна аутентификација је почетак. Ипак, када у рачуне додамо други фактор, ушли смо у лажни осећај сигурности. Тај други фактор штити од некога да ми украде лозинку - специфичну претњу. Да ли би могао да се угрози мој други фактор? Наравно. Мој телефон би могао бити украден или је злонамјерни софтвер могао угрозити мој други фактор.

Људски фактор: Социјални инжењеринг

Чак и са двофакторним приступима, људи и даље имају могућност надјачања сигурносних поставки. Пре неколико година, марљив хакер је уверио Аппле да ресетује писачев Аппле ИД. ГоДадди био преварен у претварање имена домена које је омогућило преузимање Твиттер налога. Мој идентитет је био случајно се спојила са другим Давеом Греенбаумом због људске грешке у МетЛифе-у. Ова грешка је скоро резултирала тиме што сам отказао кућно и ауто осигурање другог Давеа Греенбаума.

Чак и ако човек не поништи поставку са два фактора, тај други жетон је само још једна препрека за нападача. То је игра за хакера. Ако знам када се пријавите на свој Дропбок да ми треба ауторизацијски код, све што треба да урадим је да тај код добијем од вас. Ако не примим ваше СМС поруке према мени (СИМ-хакирајте било кога?), Морам да вас убедим да ми пустите ту шифру. Ово није наука о ракетама. Могу ли вас уверити да вратите тај код? Вероватно. Ми верујемо нашим телефонима више него нашим рачунарима. Зато људи падају на ствари попут лажна иЦлоуд порука за пријаву.

Још једна истинита прича која ми се догодила два пута. Моја компанија са кредитним картицама приметила је сумњиву активност и назвала ме. Сјајно! То је приступ заснован на понашању о којем ћу касније говорити. Међутим, тражили су од мене да дам свој пуни број кредитне картице преко телефона уз позив који нисам упутио. Били су шокирани што сам одбио да им дам број. Менаџер ми је рекао да ретко добијају жалбе од купаца. Већина позиватеља само предаје број кредитне картице. Оуцх. То би могла било која злобна особа на другом крају покушати да добије моје личне податке.

Лозинке нас не штите

Имамо превише лозинки у свом животу на превише места. Средња је већ ријешили су се лозинке. Већина нас зна да бисмо требали имати јединствену лозинку за сваку веб локацију. Тај приступ је превише тражити од наших лукавих мозгова земаљских који живе пуним и богатим дигиталним животом. Менаџери лозинки (аналогни или дигитално) помажу у спречавању повремених хакера, али не и софистицирани напад. Хек, хакери не требају чак ни лозинке за приступ нашим појединачним налозима. Они се само пробијају у базе података у којима се чувају подаци (Сони, Таргет, Федерална влада).

Направите лекцију од компанија са кредитним картицама

Иако су алгоритми можда мало искључени, кредитне компаније имају праву идеју. Гледају наше обрасце куповине и локацију како би знали да ли користите картицу. Ако купите бензин у Канзасу, а купите одело у Лондону, то је проблем.

Зашто то не можемо применити на наше Интернет налоге? Неке компаније нуде упозорења од страних ИП адреса (кудос за ЛастПасс ради пуштања корисника) подесите жељене земље за приступ). Ако су мој телефон, рачунар, таблет и ручни уређај у Канзасу, требало би да ме обавестим ако се мом налогу приступа негде другде. У најмању руку, ове компаније требало би да ми поставе неколико додатних питања пре него што претпоставе да сам оно што сам рекао. Ова врата су посебно потребна за Гоогле, Аппле и Фацебоок налоге који се аутентификују на друге налоге од стране ОАутх. Гоогле и Фејсбук упозоравају на необичне активности, али обично су само упозорење, а упозорења нису заштита. Моја компанија са кредитним картицама каже не, док не провере ко сам. Они једноставно не кажу "Хеј... мислио сам да би требао знати". Моји мрежни налози не би требало да упозоравају, требало би да блокирају необичне активности. Најновији значај сигурности кредитне картице је препознавање лица. Наравно, неко може одвојити време да покуша да дуплира ваше лице, али чини се да компаније које се баве кредитним картицама теже раде на заштити нас.

Наши паметни помоћници (и уређаји) су боља одбрана

Сири, Алека, Цортана и Гоогле знају много ствари о нама. Они интелигентно предвиђају где идемо, где смо били и шта волимо. Ови асистенти комбинују наше фотографије да организују наш одмор, сећају се ко су нам пријатељи, па чак и музику коју волимо. То је језиво на једном нивоу, али врло корисно у нашем свакодневном животу. Ако се ваши Фитбит подаци могу користити на суду, могу бити и они користи за идентификацију.

Када постављате мрежни налог, компаније вам постављају глупа питања као што су име вашег љубимца из средње школе или трећег разреда. Наша сећања нису тако чврста као рачунар. На ова питања се не може ослонити да бисмо потврдили наш идентитет. Раније сам био закључан са рачуна јер мој омиљени ресторан 2011. године, на пример, није мој омиљени ресторан.

Гоогле је учинио први корак у овом бихевиоралном приступу Смарт Лоцк-ом за таблете и Цхромебоокове. Ако сте неко за кога кажете да сте, онда вероватно имате телефон код себе. Аппле је стварно бацио лопту помоћу иЦлоуд хака, дозвољавају хиљаде покушаја с исте ИП адресе.

Уместо да смислим коју песму желимо да слушамо следеће, желим да ови уређаји заштите мој идентитет на неколико начина.

1. Знате где сам: Са ГПС-а мог телефона, он зна моју локацију. Требало би да буде у могућности да кажем другим мојим уређајима "Хеј, у реду је, пусти га унутра." Ако сам у Тимбукту у роамингу, не би ми баш требало да верујете у моју лозинку и можда чак ни мој други фактор.
2. Знате шта ја радим: Знате када се пријавим и са чим, тако да је време да ми поставите још неколико питања. "Жао ми је Даве, не могу то учинити" требало би да буде одговор када те обично не замолим да отвориш врата лежишта.
3. Знате како да ме верификујете: "Глас ми је пасош, верификујте ме." Не, свако то може копирати. Уместо тога, постављајте ми питања на која је лако одговорити и запамтити, али их је тешко наћи на Интернету. Дјевојачко презиме моје мајке можда је лако пронаћи, али где сам јела ручак прошле недеље са мамом није (погледајте мој календар). Где сам срео своју драгу средњошколку, лако је погодити, али који филм који сам гледао прошле недеље није лако пронаћи (само проверите моје рачуне е-поште).
4. Знате како изгледам: Фацебоок ме може препознати стражњи дио главе а Мастерцард може да препозна моје лице. Ово су бољи начини провере ко сам.

Знам да јако мало компанија имплементира оваква решења, али то не значи да не могу да им пожелим. Пре него што се жалите - да, ово може да се хакује. Проблем хакера биће сазнање који сет секундарних мера користи интернетска услуга. Могуће је да поставите питање једног дана, али следећи направите селфие.

Аппле прави велики притисак да заштити моју приватност и то ценим. Међутим, након што се пријавим мој Аппле ИД, време је да ме Сири проактивно штити. Гоогле Нов и Цортана то могу. Можда то неко већ развија, а Гоогле напредује у овој области, али ово нам сада треба! До тог тренутка морамо бити пажљивији у заштити својих ствари. Потражите неке идеје о томе следеће недеље.