Hesla jsou přerušená: Existuje lepší způsob, jak autentizovat uživatele

Zdá se, že každý týden čteme příběhy o ohrožení společností a webových stránek a odcizení údajů o spotřebitelích. Pro mnoho z nás jsou nejhorší vloupání při odcizení hesel. LastPass Hack je jedním z novějších útoků. Je to možná forma digitálního terorismu, která jen roste. Dvoufázová autentizace a biometrie jsou pěkné záplaty k problému, ale ignorují základní problémy související se správou přihlášení. Máme nástroje k vyřešení problému, ale nebyly správně aplikovány.

Proč svlékáme boty ve Spojených státech, ale ne v Izraeli

Každý, kdo letí ve Spojených státech, ví o bezpečnosti TSA. Sundáme si kabáty, vyhýbáme se tekutinám a sundáme si boty, než projdeme bezpečností. Máme bezletový seznam založený na jménech. To jsou reakce na konkrétní hrozby. To není způsob, jakým země jako Izrael zajišťuje bezpečnost. Letěl jsem El-Al (izraelské národní letecké společnosti), ale přátelé mi vyprávějí o rozhovorech, které prochází v bezpečí. Bezpečnostní důstojníci kódují hrozby na základě

osobní vlastnosti a chování.

Využíváme přístup TSA k online účtům, a proto máme všechny bezpečnostní problémy. Dvoufaktorová autentizace je začátek. Přesto, když přidáme druhý faktor na naše účty, dostáváme se do falešného pocitu bezpečí. Tento druhý faktor chrání před někoho, kdo mi ukradl heslo - konkrétní hrozbu. Mohl by být můj druhý faktor ohrožen? Tak určitě. Můj telefon by mohl být ukraden nebo malware by mohl ohrozit můj druhý faktor.

Lidský faktor: Sociální inženýrství

I při dvoufaktorových přístupech mají lidé stále možnost potlačit nastavení zabezpečení. Před několika lety přesvědčivý hacker přesvědčil Apple, aby resetoval Appleovo ID spisovatele. Jdi táto byl podveden do převodu doménového jména, které umožnilo převzetí účtu Twitter. Moje identita byla náhodně se spojil s dalším Daveem Greenbaumem kvůli lidské chybě v MetLife. Tato chyba málem vedla k tomu, že jsem zrušil pojištění domácnosti a auto druhého Davea Greenbauma.

I když člověk nepřepíše nastavení dvou faktorů, tento druhý token je jen další překážkou pro útočníka. Je to hra pro hackera. Pokud vím, když se přihlásím do Dropboxu, pro který potřebuji autorizační kód, pak vše, co musím udělat, je získat ten kód od tebe. Pokud se mi vaše textové zprávy nedostanou na mě (SIM někdo hacke?), Jen tě musím přesvědčit, abys mi ten kód uvolnil. Tohle není raketová věda. Mohu vás přesvědčit, abyste ten kód vrátili? Možná. Důvěřujeme našim telefonům více než našim počítačům. Proto lidé padají na věci jako falešná přihlašovací zpráva.

Další pravdivý příběh, který se mi dvakrát stal. Moje společnost vydávající kreditní karty si všimla podezřelé činnosti a zavolala mi. Skvělý! To je přístup založený na chování, o kterém budu mluvit později. Požádali mě však, abych telefonicky s telefonem neudělal celé číslo své kreditní karty. Byli v šoku, odmítl jsem jim dát číslo. Manažer mi řekl, že zřídka dostávají stížnosti od zákazníků. Většina volajících pouze předá číslo kreditní karty. Ouch. Mohla to být jakákoli nekalá osoba na druhém konci, která by se snažila získat moje osobní údaje.

Hesla nás nechrání

Máme příliš mnoho hesel v našem životě na příliš mnoha místech. Střední již existuje zbavil se hesel. Většina z nás ví, že bychom měli mít jedinečné heslo pro každý web. Tento přístup je příliš velký na to, abych požádal naše maličké pozemské mozky žijící plné a bohaté digitální živě. Správci hesel (analogový nebo digitální) pomáhají předcházet náhodným hackerům, ale nejedná se o sofistikovaný útok. Heck, hackeři ani nepotřebují hesla pro přístup k našim individuálním účtům. Prostě se vloupají do databází, ve kterých jsou uloženy informace (Sony, Target, Federal Government).

Udělejte si lekci od společností vydávajících kreditní karty

I když algoritmy mohou být trochu mimo, úvěrové společnosti mají tu správnou představu. Dívají se na naše nákupní vzorce a polohu, aby věděli, zda používáte kartu. Pokud si koupíte plyn v Kansasu a poté si koupíte oblek v Londýně, je to problém.

Proč to nemůžeme použít na naše online účty? Některé společnosti nabízejí upozornění ze zahraničních IP (kudos na LastPass), aby umožnily uživatelům nastavit preferované země pro přístup). Pokud jsou můj telefon, počítač, tablet a zápěstí v Kansasu, měl bych být upozorněn, pokud je můj účet přístupný někde jinde. Tyto společnosti by mi měly přinejmenším položit několik dalších otázek, než se domnívají, že jsem tím, kdo říkám, že jsem. Toto gatekeeping je zvláště potřebné pro účty Google, Apple a Facebook, které se OAuth autentizují k jiným účtům. Google a Facebook dávat upozornění na neobvyklou činnost, ale obvykle jsou pouze varováním a varování nejsou ochranou. Moje společnost vydávající kreditní karty říká transakci ne, dokud neověří, kdo jsem. Prostě neříkají „Hej… myslel si, že bys to měl vědět“. Moje online účty by neměly varovat, měly by blokovat neobvyklou aktivitu. Nejnovější zvrat v zabezpečení kreditní karty je Rozpoznávání obličeje. Jistě, někdo si může udělat čas, aby se pokusil duplikovat vaši tvář, ale zdá se, že společnosti vydávající kreditní karty tvrdě pracují na ochraně nás.

Naši inteligentní pomocníci (a zařízení) jsou lepší obranou

Siri, Alexa, Cortana a Google o nás vědí spoustu věcí. Inteligentně předpovídají, kam jdeme, kam jsme byli a co se nám líbí. Tito pomocníci kombinují naše fotografie, aby uspořádali naše prázdniny, vzpomněli si, kdo jsou naši přátelé, a dokonce i hudbu, která se nám líbí. Je strašidelný na jedné úrovni, ale v každodenním životě je velmi užitečný. Pokud mohou být vaše údaje Fitbit použity u soudu, mohou být také slouží k identifikaci vás.

Při vytváření online účtu vám společnosti kladou hloupé výzvy, jako je jméno vašeho miláčku na střední škole nebo učitele třetího stupně. Naše vzpomínky nejsou tak pevné jako počítač. Na tyto otázky se nelze spolehnout při ověřování naší identity. Dříve jsem byl z účtů uzamčen, protože moje oblíbená restaurace v roce 2011 například dnes není moje oblíbená restaurace.

Společnost Google učinila první krok v tomto přístupu k chování pomocí funkce Smart Lock pro tablety a Chromebooky. Pokud jste tím, kdo říkáte, že jste, máte pravděpodobně svůj telefon poblíž. Apple opravdu upustil míč s hackem iCloud, což umožňuje tisíce pokusů ze stejné IP adresy.

Namísto toho, abychom zjistili, kterou skladbu chceme poslouchat, chci tato zařízení několika způsoby chránit moji identitu.

1. Víte, kde jsem: Díky GPS mého mobilního telefonu to zná moji polohu. Mělo by to být schopno říct mým dalším zařízením „Hej, je to v pohodě, pusťte ho.“ Pokud se pohybuji v Timbuktu, neměli byste mi opravdu věřit mému heslu a možná ani mému druhému faktoru.
2. Víš, co dělám: Víš, když se přihlásím as čím, takže je čas položit mi pár dalších otázek. "Omlouvám se Dave, nemůžu to udělat" měla by být odpověď, když vás normálně nepožádám o otevření dveří pod zátokou.
3. Víte, jak mě ověřit: "Můj hlas je můj pas, ověřte mě." Ne, to může kdokoli zkopírovat. Místo toho se mě zeptejte na otázky, na které je snadné odpovědět a zapamatovat si, ale je těžké je najít na internetu. Mateřské jméno mé matky může být snadné najít, ale tam, kde jsem minulý týden snědl oběd s mámou, není (podívejte se na můj kalendář). Kde jsem se setkal s mým srdcem na střední škole, je snadné uhodnout, ale který film, který jsem viděl minulý týden, se nedá snadno najít (stačí zkontrolovat své e-mailové účty).
4. Víš, jak vypadám: Facebook mě dokáže poznat zadní část mé hlavy a Mastercard dokáže detekovat mou tvář. To jsou lepší způsoby, jak ověřit, kdo jsem.

Vím, že jen velmi málo společností implementuje takováto řešení, ale to neznamená, že si za ně nemůžu přát. Než si stěžujete - ano, mohou být hacknuti. Problémem hackerů bude vědět, která sada sekundárních opatření online služba používá. Možná se jednoho dne zeptá, ale příští si vezměte selfie.

Apple dělá velký tlak na ochranu mého soukromí a já si toho vážím. Jakmile je však moje Apple ID přihlášeno, je čas, aby mě Siri aktivně chránil. Google Now a Cortana to mohou také udělat. Možná to někdo již vyvíjí a Google v této oblasti dělá pokroky, ale nyní to potřebujeme! Až do této doby musíme být při ochraně našich věcí ostražitější. Podívejte se na nějaké nápady, které příští týden.