Паролите са разбити: Има по-добър начин за удостоверяване на потребителите

Всяка седмица изглежда, четем истории за компрометиране на компании и уебсайтове и кражба на данни за потребителите. За много от нас най-лошите пробиви са, когато паролите са откраднати. Най- LastPass Hack е една от по-новите атаки. В някои начини това е форма на дигитален тероризъм, която само се разраства. Двуфакторна автентификация и биометрични данни са приятни корекции на проблема, но игнорират основните проблеми, свързани с управлението на входа. Имаме инструменти за решаване на проблема, но те не са приложени правилно.

Защо сваляме обувките си в Съединените щати, но не и в Израел

Всеки, който лети в Съединените щати, знае за сигурността на TSA. Сваляме палто, избягваме течности и сваляме обувките си, преди да преминем през охрана. Имаме списък без полети въз основа на имена. Това са реакции на конкретни заплахи. Това не е начинът, по който държава като Израел прави сигурността. Не съм летял в Ел Ал (националните авиокомпании на Израел), но приятелите ми разказват за интервютата, през които преминават в сигурността. Служителите по сигурността кодират заплахи въз основа на

лични характеристики и поведение.

Ние използваме TSA подхода към онлайн акаунти и затова имаме всички проблеми със сигурността. Двуфакторното удостоверяване е начало. И въпреки това, когато добавим втори фактор към нашите акаунти, ние сме излъгани в невярно чувство за сигурност. Този втори фактор защитава срещу някой да ми открадне паролата - специфична заплаха. Може ли вторият ми фактор да бъде компрометиран? Сигурен. Моят телефон може да бъде откраднат или злонамерен софтуер може да компрометира втория ми фактор.

Човешкият фактор: Социално инженерство

Дори и при двуфакторни подходи хората все още имат способността да отменят настройките за сигурност. Преди няколко години работлив хакер убеди Apple да нулира Apple ID на писател. GoDaddy беше излъган превръщането на име на домейн, което даде възможност за поглъщане на акаунт в Twitter. Моята самоличност беше случайно се сляха с друг Дейв Грийнбаум поради човешка грешка в MetLife. Тази грешка почти доведе до отмяна на домашната и автостраховка на другия Дейв Грийнбаум.

Дори ако човек не отмени двуфакторната настройка, този втори маркер е просто още едно препятствие за нападателя. Това е игра за хакер. Ако знам, когато влезете в своя Dropbox, че имам нужда от код за упълномощаване, тогава всичко, което трябва да направя, е да получа този код от вас. Ако не получа вашите текстови съобщения, насочени към мен (SIM хакнете всеки?), Просто трябва да ви убедя да ми пуснете този код. Това не е ракетна наука. Мога ли да ви убедя да върнете този код? Възможно е. Ние се доверяваме на нашите телефони повече от нашите компютри. Ето защо хората си падат по неща като фалшиво съобщение за вход в iCloud.

Още една истинска история, която ми се случи два пъти. Компанията ми с кредитни карти забеляза подозрителна активност и ми се обади. Страхотен! Това е поведенчески подход, за който ще говоря по-късно. Те обаче ме помолиха да дам пълния си номер на кредитна карта по телефона с обаждане, което не съм осъществил. Бяха шокирани, отказах да им дам номера. Мениджър ми каза, че рядко получават оплаквания от клиенти. Повечето обаждащи се просто предават номера на кредитната карта. Ох. Това можеше да бъде всеки злобен човек в другия край, който се опитва да получи моите лични данни.

Паролите не ни защитават

Имаме твърде много пароли в живота си на твърде много места. Средно вече има отървах се от паролите. Повечето от нас знаят, че трябва да имаме уникална парола за всеки сайт. Този подход е твърде много, за да поискаме нашите умопомрачителни мозъци, които живеят с пълен и богат цифров живот. Мениджъри на пароли (аналог или цифрови) помагат за предотвратяване на случайни хакери, но не и сложна атака. По дяволите, хакерите дори не се нуждаят от пароли за достъп до нашите индивидуални акаунти. Те просто пробиват в базите данни, които съхраняват информацията (Sony, Target, Федерално правителство).

Вземете урок от компаниите с кредитни карти

Въпреки че алгоритмите може да са малко на разстояние, кредитните компании имат правилната идея. Те разглеждат нашите модели на пазаруване и местоположението, за да разберат дали използвате картата си. Ако купувате бензин в Канзас и купувате костюм в Лондон, това е проблем.

Защо не можем да приложим това към нашите онлайн акаунти? Някои компании предлагат сигнали от чужди IP адреси (kudos до LastPass за отдаване под наем на потребители задайте предпочитани държави за достъп). Ако телефонът, компютърът, таблетът и устройството за китката са в Канзас, тогава трябва да бъда уведомен, ако акаунта ми е достъпен някъде другаде. Най-малкото тези компании трябва да ми зададат няколко допълнителни въпроса, преди да приемат, че съм този, който казвам, че съм. Тази врата е особено необходима за акаунти в Google, Apple и Facebook, които се удостоверяват с други акаунти от OAuth. Google и Facebook дайте предупреждения за необичайна дейност, но обикновено те са само предупреждение, а предупрежденията не са защита. Компанията ми с кредитни карти казва „не“ на транзакцията, докато не проверят кой съм. Те просто не казват "Ей... мислехте, че трябва да знаете". Моите онлайн акаунти не трябва да предупреждават, те трябва да блокират за необичайна дейност. Най-новият обрат в сигурността на кредитната карта е разпознаване на лицето. Разбира се, някой може да отдели време да опита да дублира лицето ви, но компаниите за кредитни карти изглежда работят по-усилено, за да ни защитят.

Нашите интелигентни асистенти (и устройства) са по-добра защита

Siri, Alexa, Cortana и Google знаят много неща за нас. Те интелигентно прогнозират къде отиваме, къде сме били и какво харесваме. Тези асистенти комбинират нашите снимки, за да организират ваканциите си, помнете кои са нашите приятели и дори музиката, която харесваме. Това е страховито на едно ниво, но много полезно в ежедневието ни. Ако вашите данни от Fitbit могат да бъдат използвани в съда, това също може да бъде използван за идентификация.

Когато създавате онлайн акаунт, компаниите ви задават тъпи предизвикателни въпроси като името на любимата ви от гимназията или на вашия третокласник. Спомените ни не са толкова твърди, колкото компютър. На тези въпроси не може да се разчита, за да потвърдим самоличността си. И преди съм бил блокиран, тъй като любимият ми ресторант през 2011 г. не е любимият ми днес ресторант.

Google направи първата стъпка в този поведенчески подход със Smart Lock за таблети и Chromebook. Ако сте кой казвате, че сте, значи вероятно имате телефона си близо до себе си. Apple наистина изпусна топката с iCloud хак, позволявайки хиляди опити от един и същ IP адрес.

Вместо да разбера коя песен искаме да слушаме следващата, искам тези устройства да защитят моята идентичност по няколко начина.

1. Знаеш къде съм: С GPS на мобилния ми телефон той знае местоположението ми. Трябва да може да каже на другите ми устройства „Хей, добре е, пусни го.“ Ако съм в роуминг на Timbuktu, не трябва да се доверявате на паролата ми и вероятно дори на втория ми фактор.
2. Знаеш какво правя: Знаеш кога влизам и с какво, така че е време да ми зададеш още няколко въпроса. „Съжалявам, Дейв, не мога да го направя“ трябва да е отговорът, когато обикновено не ви моля да отворите вратите на шушулката.
3. Знаете как да ме потвърдите: „Гласът ми е паспортът ми, потвърдете ме.“ Не, всеки може да копира това. Вместо това, задавайте ми въпроси, на които ми е лесно да отговарям и помня, но трудно да ги намеря в Интернет. Девойското име на майка ми може да е лесно да се намери, но там, където хапнах обяд миналата седмица с мама, не е (вижте календара ми). Къде срещнах любимата си гимназия е лесно да се досетите, но кой филм, който видях миналата седмица, не е лесно да намерите (просто проверете моите имейли).
4. Знаеш как изглеждам: Facebook може да ме разпознае от отзад на главата ми и Mastercard може да открие лицето ми. Това са по-добри начини за проверка кой съм.

Знам, че много малко компании прилагат решения като това, но това не означава, че не мога да им се примамвам. Преди да се оплачете - да, те могат да бъдат хакнати. Проблемът за хакерите ще бъде да знаят кой набор от вторични мерки използва онлайн услуга. Може да зададете въпрос един ден, но на следващия вземете селфи.

Apple прави голям тласък да защити моята поверителност и аз оценявам това. Но след като влезете в моя идентификационен номер на Apple, е време Siri да ме защитава активно. Google Now и Cortana също могат да го направят. Може би някой вече развива това и Google прави известни крачки в тази област, но това ни трябва сега! До този момент трябва да сме малко по-бдителни в защитата на нашите неща. Потърсете няколко идеи за тази следваща седмица.