Пароли взломаны: есть лучший способ аутентификации пользователей

Кажется, каждую неделю мы читаем истории о компаниях и веб-сайтах, которые подвергаются риску, и данные о потребителях хищаются Для многих из нас худшие взломы происходят, когда пароли украдены. LastPass Hack будучи одним из последних нападений. Во всяком случае, это форма цифрового терроризма, которая только растет. Двухфакторная аутентификация и биометрия Это хорошие исправления для проблемы, но они игнорируют фундаментальные проблемы, связанные с управлением логином. У нас есть инструменты для решения проблемы, но они не были применены должным образом.

Почему мы снимаем обувь в Соединенных Штатах, а не в Израиле

Любой, кто летал в США, знает о безопасности TSA. Мы снимаем пальто, избегаем жидкостей и снимаем обувь, прежде чем пройти проверку безопасности. У нас есть бесполетный список, основанный на именах. Это реакции на конкретные угрозы. Это не так, как в такой стране, как Израиль, безопасность. Я не летал в Эль-Аль (израильские национальные авиалинии), но друзья рассказывают мне об интервью, которые они проходят в сфере безопасности. Сотрудники службы безопасности кодируют угрозы на основе

личные характеристики и поведение.

Мы применяем подход TSA к учетным записям онлайн, и поэтому у нас есть все проблемы с безопасностью. Двухфакторная аутентификация - это начало. Тем не менее, когда мы добавляем второй фактор к нашим счетам, мы впадаем в ложное чувство безопасности. Этот второй фактор защищает от кражи моего пароля - особая угроза. Может ли мой второй фактор быть скомпрометирован? Конечно. Мой телефон может быть украден или вредоносная программа может поставить под угрозу мой второй фактор.

Человеческий фактор: социальная инженерия

Даже при двухфакторном подходе люди по-прежнему могут игнорировать настройки безопасности. Несколько лет назад трудолюбивый хакер убедил Apple сбросить Apple ID автора. GoDaddy был обманут переворачивая доменное имя, которое позволило захватить учетную запись Twitter. Моя личность была случайно слился с другим Дейвом Гринбаумом из-за человеческой ошибки в MetLife. Эта ошибка почти привела к тому, что я отменил страховку дома и авто другого Дэйва Гринбаума.

Даже если человек не отменяет двухфакторную настройку, этот второй токен является еще одним препятствием для атакующего. Это игра для хакера. Если я знаю, когда вы входите в свой Dropbox, для чего мне нужен код авторизации, тогда все, что мне нужно сделать, это получить этот код от вас. Если я не получу ваши текстовые сообщения, направленные на меня (SIM-взломать кого-либо?), Мне просто нужно убедить вас выпустить этот код для меня. Это не ракетостроение. Могу я убедить вас вернуть этот код? Возможно. Мы доверяем нашим телефонам больше, чем нашим компьютерам. Вот почему люди влюбляются в такие вещи, как поддельное сообщение для входа в iCloud.

Еще одна правдивая история, которая случилась со мной дважды. Моя кредитная компания заметила подозрительную активность и позвонила мне. Большой! Это поведенческий подход, о котором я расскажу позже. Тем не менее, они попросили меня сообщить по телефону полный номер моей кредитной карты, если я не позвонил. Они были в шоке, я отказался дать им номер. Менеджер сказал мне, что они редко получают жалобы от клиентов. Большинство звонящих просто передают номер кредитной карты. Уч. Это может быть любой гнусный человек на другом конце, пытающийся получить мои личные данные.

Пароли не защищают нас

У нас слишком много паролей в нашей жизни во многих местах. Средний уже избавился от паролей. Большинство из нас знает, что у нас должен быть уникальный пароль для каждого сайта. Такой подход слишком сложен, чтобы просить наших маленьких земных мозгов жить полной и насыщенной цифровой трансляцией. Менеджеры паролей (аналоговый или цифровой), помогающий предотвратить случайных хакеров, но не изощренную атаку. Черт, хакерам даже не нужны пароли для доступа к нашим личным аккаунтам. Они просто взламывают базы данных, которые хранят информацию (Sony, Target, Federal Government).

Взять урок от компаний кредитных карт

Хотя алгоритмы могут быть немного не в порядке, кредитные компании имеют правильную идею. Они смотрят на наши схемы покупок и местоположение, чтобы узнать, используете ли вы свою карту. Если вы покупаете газ в Канзасе, а затем покупаете костюм в Лондоне, это проблема.

Почему мы не можем применить это к нашим онлайн-аккаунтам? Некоторые компании предлагают оповещения от иностранных IP-адресов (спасибо LastPass за разрешение пользователям установить предпочитаемые страны для доступа). Если мой телефон, компьютер, планшет и наручное устройство находятся в Канзасе, я должен быть уведомлен, если к моей учетной записи обращаются куда-то еще. По крайней мере, эти компании должны задать мне несколько дополнительных вопросов, прежде чем они решат, что я тот, кем я себя называю. Это управление особенно необходимо для учетных записей Google, Apple и Facebook, которые проверяются OAuth на других учетных записях. Google и facebook предупреждать о необычной деятельности, но обычно это всего лишь предупреждение, а предупреждения не являются защитой. Моя компания, выпускающая кредитные карты, откажется от транзакции, пока они не подтвердят, кто я. Они просто не говорят: «Эй… думал, ты должен знать». Мои онлайн-аккаунты не должны предупреждать, они должны блокировать необычные действия. Новейший поворот к безопасности кредитной карты, это распознавание лиц. Конечно, кто-то может найти время, чтобы попытаться дублировать ваше лицо, но компании, выпускающие кредитные карты, похоже, прилагают все усилия, чтобы защитить нас.

Наши умные помощники (и устройства) - лучшая защита

Сири, Алекса, Кортана и Google знают о нас массу вещей. Они разумно предсказывают, куда мы идем, где мы были и что нам нравится. Эти помощники прочесывают наши фотографии, чтобы организовать наши каникулы, помнят, кто наши друзья, и даже музыку, которая нам нравится. Это жутко на одном уровне, но очень полезно в нашей повседневной жизни. Если ваши данные Fitbit могут быть использованы в суде, это также может быть имел обыкновение идентифицировать тебя.

Когда вы настраиваете онлайн-аккаунт, компании задают вам глупые сложные вопросы, такие как имя вашего любимого старшеклассника или учителя третьего класса. Наши воспоминания не такие прочные, как компьютер. На эти вопросы нельзя положиться, чтобы подтвердить нашу личность. Раньше я был заблокирован, потому что мой любимый ресторан в 2011 году, например, не мой любимый ресторан сегодня

Google сделал первый шаг в этом поведенческом подходе с Smart Lock для планшетов и Chromebook. Если вы тот, о ком говорите, то, вероятно, ваш телефон рядом с вами. Apple действительно бросил мяч с помощью взлома iCloud, разрешить тысячи попыток с одного IP-адреса.

Вместо того, чтобы выяснить, какую песню мы хотим слушать дальше, я хочу, чтобы эти устройства защищали мою личность несколькими способами.

1. Вы знаете, где я: С GPS моего мобильного телефона он знает мое местоположение. Он должен быть в состоянии сказать другим моим устройствам: «Эй, это круто, впусти его». Если я в роуминге в Тимбукту, вы не должны доверять моему паролю и, возможно, даже второму фактору.
2. Вы знаете, что я делаю: Вы знаете, когда я войду и с чем, так что пришло время задать мне еще несколько вопросов. «Извини, Дейв, я не могу этого сделать», - должен быть ответ, когда я обычно не прошу тебя открыть двери отсека для капсул.
3. Вы знаете, как проверить меня: «Мой голос - мой паспорт, подтвердите меня». Нет, любой может скопировать это. Вместо этого задавайте мне вопросы, на которые мне легко ответить и запомнить, но которые трудно найти в Интернете. Девичью фамилию моей матери легко найти, но там, где я обедал с мамой на прошлой неделе, нет (посмотрите на мой календарь). Где я встретил своего любимого старшеклассника, легко догадаться, но какой фильм, который я видел на прошлой неделе, найти нелегко (просто проверь мои электронные письма).
4. Вы знаете, как я выгляжу: Facebook может узнать меня по затылок и Mastercard может обнаружить мое лицо. Это лучшие способы проверить, кто я.

Я знаю, что очень немногие компании внедряют подобные решения, но это не значит, что я не могу жаждать их. Прежде чем жаловаться - да их можно взломать. Проблема для хакеров будет заключаться в том, чтобы знать, какой набор вторичных мер использует онлайн-сервис. Однажды он может задать вопрос, а на следующий раз сделать селфи.

Apple делает большой шаг, чтобы защитить мою конфиденциальность, и я ценю это. Однако, как только мой Apple ID вошел в систему, пришло время Siri активно защищать меня. Google Now и Cortana могут сделать это также. Может быть, кто-то уже разрабатывает это, и Google делает некоторые шаги в этой области, но нам это нужно сейчас! До этого времени мы должны быть более бдительными в защите наших вещей. Ищите некоторые идеи на следующей неделе.