Salasanat ovat rikki: olemassa on parempi tapa todentaa käyttäjät

Joka viikko tuntuu, että luemme tarinoita yrityksistä ja verkkosivustoista, jotka ovat vaarassa ja kuluttajien tiedot varastetaan. Monille meistä pahin murheet ovat, kun salasanat varastetaan. LastPass Hack on yksi viimeisimmistä hyökkäyksistä. Millä tavoin se on digitaalisen terrorismin muoto, joka vain kasvaa. Kaksitekstinen todentaminen ja biometriset tiedot ovat hyviä korjaustiedostoja ongelmaan, mutta ne eivät huomioi kirjautumisjohdon peruskysymyksiä. Meillä on työkalut ongelman ratkaisemiseen, mutta niitä ei ole käytetty asianmukaisesti.

Miksi ottakaamme kengät Yhdysvalloissa, muttei Israelissa

Kaikki, jotka lentävät Yhdysvalloissa, tietävät TSA: n turvallisuudesta. Poistamme takit, vältetään nesteitä ja kengät pois ennen turvallisuuden kulkua. Meillä on nimilappuun perustuva lentokielisto. Nämä ovat reaktioita erityisiin uhkiin. Näin Israelin kaltaista maata ei ole turvallisuutta. En ole lentänyt El-Alia (Israelin kansalliset lentoyhtiöt), mutta ystävät kertovat minulle niistä haastatteluista, joita he käyvät läpi turvallisuudesta. Turvallisuusvirkamiehet koodivat uhkia, jotka perustuvat henkilökohtaisiin ominaisuuksiin ja käyttäytymiseen.

TSA-lähestymistapa otetaan verkkotileille ja siksi meillä on kaikki tietoturvaongelmat. Kaksitasoinen todennus on alku. Kuitenkin, kun lisäämme toisen tekijän tileihimme, meidät hämäämme väärennetyn turvallisuuden tunteen. Tämä toinen tekijä suojaa joku salasanan varastamista - erityinen uhka. Voiko toinen tekijä vaarantua? Varma. Puhelimeni voi olla varastettu tai haittaohjelmat saattavat vaarantaa toisen tekijän.

Ihmisen tekijä: sosiaalinen insinööri

Jopa kahden tekijän lähestymistavoilla ihmisillä on edelleen mahdollisuus ohittaa suojausasetukset. Muutama vuosi sitten, ahkera hakkeri vakuutti Applen palauttamaan kirjailijan Apple ID: n. GoDaddy oli petkuttanut kääntämään verkkotunnuksen, joka mahdollisti Twitter-tilisioton. Omat henkilöllisyyteni vahingossa fuusioitiin toisella Dave Greenbaumilla ihmisen virheen takia MetLife. Tämä virhe lähes loppui minua kumoavan toisen ja Dave Greenbaumin koti- ja autovakuutukset.

Vaikka ihminen ei ohita kahden tekijän asetusta, tämä toinen merkki on vain yksi este hyökkääjälle. Se on peli hakkeriin. Jos tiedän, kun kirjaudut Dropboxiin, tarvitsen lupakoodin, tarvitsen vain saada koodi sinusta. Jos en saa tekstiviestejäsi minulle (SIM-hakkeri ketään?), Tarvitsen vain vakuuttaa, että vapautat koodin minulle. Tämä ei ole raketti tiedettä. Voisinko vakuuttaa teille, että annat koodin takaisin? Mahdollisesti. Luotamme puhelimiimme enemmän kuin tietokoneet. Siksi ihmiset kuuluvat sellaisiin asioihin kuin fake iCloud-kirjautumissanoma.

Toinen tosi tarina, joka tapahtui minulle kahdesti. Luottokorttiyhtiöni huomasi epäilyttävää toimintaa ja soitti minulle. Loistava! Se on käyttäytymiseen perustuva lähestymistapa, josta puhun myöhemmin. Kuitenkin he pyysivät minua antamaan täyden luottokortin numeron puhelimitse puhelun, jota en tehnyt. Heitä järkytysti en kieltäytynyt antamasta heille numeroa. Johtaja kertoi minulle, että he harvoin saavat valituksia asiakkailta. Useimmat soittajat antavat vain luottokortin numeron. Auts. Se voisi olla jokin haittaava henkilö toisella puolella yrittää saada henkilökohtaisia ​​tietojani.

Salasanat eivät suojaa meitä

Meillä on liian monta salasanaa elämässämme liian monissa paikoissa. Keskitaso on jo poistanut salasanat. Useimmat meistä tietävät, että jokaiselle sivustolle pitäisi olla ainutlaatuinen salasana. Tämä lähestymistapa on aivan liian paljon kysyä meidän pikku maapallon aivot elävät täyden ja rikas digitaalinen elää. Salasanojen hallinta (analoginen tai digitaalinen) auttaa estämään rento hakkereita, mutta ei hienostunut hyökkäys. Heck, hakkerit eivät edes tarvitse salasanoja yksittäisten tilien käyttöön. He vain murtaavat tietokantoihin, jotka tallentavat tietoja (Sony, Target, liittovaltion hallitus).

Ota oppitunti luottokorttiyhtiöltä

Vaikka algoritmit saattavat olla hieman pois, luottolaitoksilla on oikea idea. He katsovat ostomalleisi ja sijaintimme tietää, onko korttisi käytössä. Jos ostat kaasu Kansasissa ja sitten ostaat puku Lontoossa, se on ongelma.

Miksi emme voi soveltaa tätä verkkotilillämme? Jotkut yritykset tarjoavat hälytyksiä ulkomaisilta IP-osoitteilta (kudos LastPassille, jonka avulla käyttäjät voivat valita parempien maiden saataville). Jos puhelimeni, tietokone, tabletti ja rannelaite ovat kaikki Kansasissa, niin minun pitäisi ilmoittaa, onko tilini päässyt muualle. Ainakin näiden yritysten pitäisi kysyä minulta muutama lisäkysymys, ennen kuin he olettavat, että minä olen se, jonka sanon olevan. Tämä varastointi on erityisen tärkeää Google, Apple ja Facebook-tileille, jotka autentikoivat OAuthin muihin tileihin. Google ja Facebook varoittavat epätavallista toimintaa, mutta ne ovat yleensä vain varoitus ja varoitukset eivät ole suoja. Luottokorttiyhtiöni sanoo, että ei ole tapahtumaa, ennen kuin he tarkastavat, kuka olen. He eivät vain sano "Hei ... ajattelin, että sinun pitäisi tietää". Verkkotilejäni ei saisi varoittaa, vaan niiden pitäisi estää epätavallista toimintaa. Uusin käänteinen luottokorttiturva on kasvojen tunnustus. Toki, joku voi ottaa aikaa yrittää kopioida kasvosi, mutta luottokorttiyhtiöt näyttävät toimivan kovemmin suojaamaan meitä.

Smart-assistentit (ja laitteet) ovat parempaa puolustusta

Siri, Alexa, Cortana ja Google tietävät paljon asioita meistä. He älykkäästi ennustavat mihin olemme menossa, missä olemme olleet ja mitä haluamme. Nämä avustajat kamppailevat valokuvistamme järjestämään lomat, muistaa kuka ystävät ovat, ja jopa haluamamme musiikki. Se on kammottavaa yhdellä tasolla, mutta se on erittäin hyödyllistä jokapäiväisessä elämässämme. Jos Fitbit-dataa voi käyttää tuomioistuimessa, sitä voidaan myös käyttää tunnistamaan sinut.

Kun olet määrittänyt verkkotilin, yritykset kysyvät tyhmiltä haasteellisilta kysymyksiltä kuten lukion ystävän tai kolmannen luokan opettajalta. Muistimme eivät ole yhtä rock-solid kuin tietokone. Näihin kysymyksiin ei voida luottaa henkilöllisyyden todentamiseen. Olen lukittu pois tilistä ennen, koska suosikkiravintoni vuonna 2011 ei ole esimerkiksi minun suosikkiravintoni.

Google on ottanut ensimmäisen askeleen tällä käyttäytymismallilla Smart Lock for Tablets- ja Chromebook-tietokoneilla. Jos sinä sanot, että olet, niin luultavasti olet lähellä puhelimeesi. Apple todella pudotti pallon iCloud-hakkerin avulla, sallien tuhansia yrityksiä samasta IP-osoitteesta.

Sen sijaan, että selvitän, minkä kappaleen haluamme kuunnella seuraavaksi, haluan, että nämä laitteet suojaavat identiteettini muutamilla tavoilla.

    1. Tiedät missä olen: Matkapuhelimen GPS-laitteella se tuntee sijaintini. Sen pitäisi pystyä kertomaan muille laitteille. "Hei, se on hienoa, anna hänet sisään." Jos olen Timbuktun roamingissa, sinun ei pitäisi luottaa salasanaan ja mahdollisesti myös toiseen tekijään.
    2. Tiedät mitä teen: tiedät, kun kirjaudun sisään ja minkä kanssa, joten on aika kysyä vielä muutamia kysymyksiä. "Olen pahoillani, että Dave, en voi tehdä sitä", pitäisi olla vastaus, kun en yleensä pyydä sinua avaamaan kantolaukkojen ovet.
    3. Tiedät kuinka tarkistaa minulle: "Ääni on passini, tarkista minua." Ei, kukaan voi kopioida sen. Sen sijaan kysy itsellesi kysymyksiä, jotka on helppo vastata ja muistaa, mutta jotka on vaikea löytää Internetissä. Äitini tyttönimi voi olla helppo löytää, mutta missä söin lounaan viime viikolla äidin kanssa ei ole (katso kalenterini). Kun tapasin korkeakoulu kultaseni on helppo arvailla, mutta elokuvan, jonka olen nähnyt viime viikolla, ei ole helppo löytää (tarkista vain sähköpostiosoitteesi).
    4. Tiedät, mistä näytän: Facebook voi tunnistaa minut pään takana ja Mastercard pystyy havaitsemaan kasvoni. Nämä ovat parempia tapoja varmistaa, kuka olen.

Tiedän, että vain harvat yritykset ovat toteuttaneet tällaisia ​​ratkaisuja, mutta se ei tarkoita sitä, etten voi heikottaa heitä. Ennen kuin valitset - kyllä ​​ne voidaan hakata. Hakkereiden ongelma on tietää, mitkä verkkopalvelun käyttämät toissijaiset toimenpiteet ovat. Se voi esittää kysymyksen jonain päivänä, mutta ottaa itsellesi seuraavan.

Apple tekee suuren työn suojellakseen yksityisyyttäni ja arvostan sitä. Kuitenkin, kun Apple ID on kirjautunut sisään, on aika, että Siri suojelee minua ennakoivasti. Google Now ja Cortana voivat myös tehdä sen. Ehkä joku jo kehittää tätä, ja Google tekee joitain askeleita tällä alueella, mutta tarvitsemme tätä nyt! Siihen asti meidän on oltava hieman valppaampia suojaamaan juttuja. Etsi ideoita ensi viikolla.