Parolele sunt rupte: există o modalitate mai bună de a autentifica utilizatorii

În fiecare săptămână, citim povești despre companii și site-uri web compromise și date despre consumatori furate. Pentru mulți dintre noi, cele mai grave interogări sunt atunci când sunt furate parolele. Hack LastPass fiind unul dintre atacurile mai recente. În unele moduri, este o formă de terorism digital care se dezvoltă doar. Autentificare cu doi factori și biometriei sunt corecții frumoase la problemă, dar ignoră problemele fundamentale legate de gestionarea autentificării. Avem instrumente pentru a rezolva problema, dar nu au fost aplicate corect.

De ce ne scoatem pantofii în Statele Unite, dar nu în Israel

Oricine a zburat în Statele Unite știe despre securitatea TSA. Ne scoatem hainele, evităm lichidele și ne scoatem pantofii înainte de a trece prin securitate. Avem o listă fără zboruri bazate pe nume. Acestea sunt reacții la amenințări specifice. Acesta nu este modul în care o țară precum Israel își asigură securitatea. Nu am zburat El-Al (companiile aeriene naționale ale Israelului), dar prietenii îmi spun despre interviurile prin care trec în securitate. Agenții de securitate amenințează codul pe baza

caracteristicile și comportamentele personale.

Aducem abordarea TSA pentru conturile online și de aceea avem toate problemele de securitate. Autentificarea cu doi factori este un început. Cu toate acestea, atunci când adăugăm un al doilea factor în conturile noastre, am fost preocupați de un fals sentiment de securitate. Acest al doilea factor protejează împotriva cuiva de a-mi fura parola - o amenințare specifică. Ar putea fi al doilea factor al meu compromis? Sigur. Telefonul meu ar putea fi furat sau malware-ul ar putea compromite al doilea factor.

Factorul uman: inginerie socială

Chiar și cu abordări cu doi factori, oamenii au încă capacitatea de a trece peste setările de securitate. La câțiva ani în urmă, un hacker harnic l-a convins pe Apple să reseteze ID-ul Apple al unui scriitor. Hai tăticu a fost păcălit transformarea unui nume de domeniu care a permis preluarea unui cont Twitter. Identitatea mea era fuzionat accidental cu un alt Dave Greenbaum din cauza unei greșeli umane la MetLife. Această greșeală aproape că a dus la anularea asigurării pentru locuință și auto a celuilalt Dave Greenbaum.

Chiar dacă un om nu trece peste o setare cu doi factori, acel al doilea simbol este doar un alt obstacol pentru atacator. Este un joc pentru un hacker. Dacă știu când te conectezi la Dropbox-ul tău pentru care am nevoie de un cod de autorizare, atunci tot ce trebuie să fac este să primesc codul de la tine. Dacă nu primesc mesajele dvs. text către mine (SIM-hack pe oricine?), Trebuie doar să vă conving să-mi eliberați codul. Aceasta nu este știința rachetelor. Aș putea să vă conving să dați codul respectiv? Eventual. Avem încredere în telefoanele noastre mai mult decât în ​​calculatoarele noastre. Acesta este motivul pentru care oamenii se confruntă cu lucruri de genul mesaj fals de conectare iCloud.

O altă poveste adevărată care mi s-a întâmplat de două ori. Compania mea de carduri de credit a observat activitate suspectă și m-a sunat. Grozav! Este o abordare bazată pe comportament, despre care voi vorbi mai târziu. Cu toate acestea, mi-au cerut să dau numărul complet al cărții de credit la telefon cu un apel pe care nu l-am făcut. Au fost șocați, am refuzat să le dau numărul. Un manager mi-a spus că primesc rareori reclamații de la clienți. Majoritatea apelanților predau doar numărul cardului de credit. Ouch. Asta ar putea fi orice persoană nefastă pe celălalt capăt, încercând să-mi iau datele personale.

Parolele nu ne protejează

Avem prea multe parole în viața noastră în prea multe locuri. Mediul are deja a scăpat de parole. Cei mai mulți dintre noi știm că ar trebui să avem o parolă unică pentru fiecare site. Această abordare este prea mult de a cere creierelor noastre pământești care trăiesc într-o viață digitală completă și bogată. Managerii de parole (analog sau digital) ajută la prevenirea hackerilor casual, dar nu la un atac sofisticat. Heck, hackerii nu au nevoie nici măcar de parole pentru a accesa conturile noastre individuale. Ei doar intră în bazele de date care stochează informațiile (Sony, Țintă, guvernul federal).

Ia o lecție de la companiile de carduri de credit

Chiar dacă algoritmii ar putea fi puțin opriți, companiile de credit au ideea corectă. Aceștia examinează modelele și locația noastră de cumpărare pentru a ști dacă vă folosește cardul. Dacă cumpărați benzină în Kansas și apoi cumpărați un costum la Londra, aceasta este o problemă.

De ce nu putem aplica acest lucru în conturile noastre online? Unele companii oferă alerte de la IP-uri străine (kudos la LastPass pentru a permite utilizatorilor a stabilit țările preferate pentru acces). Dacă telefonul, computerul, tableta și dispozitivul meu de la încheietură sunt toate în Kansas, atunci ar trebui să fiu notificat dacă contul meu este accesat în altă parte. Cel puțin, aceste companii ar trebui să-mi pună câteva întrebări suplimentare înainte de a presupune că sunt cine spun eu. Această menținere a porții este necesară în special pentru conturile Google, Apple și Facebook care se autentifică în alte conturi de către OAuth. Google și Facebook dați avertismente pentru activitate neobișnuită, dar de obicei sunt doar un avertisment, iar avertismentele nu sunt de protecție. Compania mea de carduri de credit nu spune tranzacției până când nu verifică cine sunt. Ei nu spun doar „Hei… crezut că ar trebui să știi”. Conturile mele online nu ar trebui să avertizeze, ar trebui să blocheze pentru activități neobișnuite. Cea mai nouă soluție pentru securitatea cardului de credit este recunoastere faciala. Sigur, cineva își poate face timp pentru a încerca să-ți dubleze fața, dar companiile de cărți de credit par să lucreze mai mult pentru a ne proteja.

Asistenții noștri inteligenți (și dispozitivele) sunt o apărare mai bună

Siri, Alexa, Cortana și Google știu o mulțime de lucruri despre noi. Ele prezic în mod inteligent unde mergem, unde am fost și ce ne place. Acești asistenți ne pieptanează fotografiile pentru a ne organiza vacanțele, pentru a ne aminti cine sunt prietenii noștri și chiar pentru muzica care ne place. Este înfiorător la un nivel, dar foarte util în viața noastră de zi cu zi. Dacă datele dvs. Fitbit pot fi utilizate într-o instanță de judecată, pot fi și ele folosit pentru a te identifica.

Când creezi un cont online, companiile îți pun întrebări proaste, cum ar fi numele iubitului tău de liceu sau al profesorului tău de clasa a treia. Amintirile noastre nu sunt la fel de rock ca un computer. Aceste întrebări nu pot fi invocate pentru a ne verifica identitatea. Am mai fost închis din conturi înainte, deoarece restaurantul meu preferat din 2011 nu este restaurantul meu preferat astăzi, de exemplu.

Google a făcut primul pas în această abordare comportamentală cu Smart Lock pentru tablete și Chromebookuri. Dacă sunteți cine spuneți că sunteți, probabil că aveți telefonul lângă dvs.. Apple a dat cu adevărat mingea cu hack-ul iCloud, permițând mii de încercări de la aceeași adresă IP.

În loc să-mi dau seama ce melodie vrem să ascultăm, vreau ca aceste dispozitive să-mi protejeze identitatea în câteva feluri.

1. Știi unde sunt: Cu GPS-ul telefonului meu mobil, îmi știe locația. Ar trebui să poată spune celorlalte dispozitive ale mele „Hei, e mișto, lasă-l să intre”. Dacă mă aflu în roaming în Timbuktu, nu ar trebui să ai încredere în parola mea și, probabil, chiar și în cel de-al doilea factor al meu.
2. Știi ce fac: Știi când mă conectez și cu ce, așa că este timpul să îmi mai pui câteva întrebări. „Îmi pare rău Dave, nu pot face asta”, ar trebui să fie răspunsul atunci când nu îți cer în mod normal să deschizi ușile de la pod.
3. Știi să mă verifici: „Vocea mea este pașaportul, verifică-mă.” Nu, oricine poate copia asta. În schimb, pune-mi întrebări care îmi sunt ușor de răspuns și de reținut, dar greu de găsit pe Internet. Numele de fată al mamei mele poate fi ușor de găsit, dar unde am luat prânzul săptămâna trecută cu mama nu este (uită-te la calendarul meu). Unde mi-am cunoscut dragul meu de liceu este ușor de ghicit, dar filmul pe care l-am văzut săptămâna trecută nu este ușor de găsit (trebuie doar să verificați chitanțele de e-mail).
4. Știți cum arată: Facebook mă poate recunoaște prin intermediul spatele capului meu iar Mastercard îmi poate detecta fața. Acestea sunt modalități mai bune de a verifica cine sunt.

Știu că foarte puține companii implementează soluții de genul acesta, dar asta nu înseamnă că nu pot să le poftesc. Înainte de a vă plânge - da, acestea pot fi hackate. Problema pentru hackeri va fi știind ce set de măsuri secundare utilizează un serviciu online. S-ar putea să pună o întrebare într-o zi, dar să-ți faci un selfie în ziua următoare.

Apple face o presiune mare pentru a-mi proteja intimitatea și apreciez asta. Cu toate acestea, odată ce ID-ul meu Apple a fost conectat, este timpul ca Siri să mă protejeze proactiv. Google Now și Cortana pot face și asta. Poate că cineva dezvoltă deja acest lucru și Google face pași în acest domeniu, dar avem nevoie de asta acum! Până la acest moment, trebuie să fim un pic mai vigilenți în protejarea lucrurilor noastre. Căutați câteva idei despre săptămâna viitoare.