Hasła są zepsute: istnieje lepszy sposób na uwierzytelnianie użytkowników
Wydaje się, że co tydzień czytamy historie o włamaniach do firm i stron internetowych oraz kradzieży danych konsumenckich. Dla wielu z nas najgorsze włamania mają miejsce w przypadku kradzieży haseł. LastPass Hack jest jednym z ostatnich ataków. W pewnym sensie jest to tylko forma cyfrowego terroryzmu. Dwuskładnikowe uwierzytelnianie i biometria są miłymi łatami do rozwiązania problemu, ale ignorują podstawowe problemy związane z zarządzaniem logowaniem. Mamy narzędzia do rozwiązania problemu, ale nie zostały one właściwie zastosowane.
Dlaczego zdejmujemy nasze buty w Stanach Zjednoczonych, ale nie w Izraelu
Każdy, kto poleciał w Stanach Zjednoczonych, wie o bezpieczeństwie TSA. Zdejmujemy płaszcze, unikamy płynów i zdejmujemy buty przed przejściem przez zabezpieczenia. Mamy listę zakazu lotów opartą na nazwach. Są to reakcje na określone zagrożenia. To nie jest sposób w jaki państwo takie jak Izrael robi bezpieczeństwo. Nie latałem El-Alem (narodowymi liniami lotniczymi Izraela), ale przyjaciele opowiadali mi o wywiadach przeprowadzanych przez nich w ramach bezpieczeństwa. Funkcjonariusze bezpieczeństwa kodują zagrożenia na podstawie cech osobowych i zachowań.
Przyjmujemy podejście TSA do kont internetowych i dlatego mamy wszystkie problemy z bezpieczeństwem. Uwierzytelnianie dwuskładnikowe to początek. Jednak kiedy dodajemy drugi czynnik do naszych kont, jesteśmy uśpieni fałszywym poczuciem bezpieczeństwa. Ten drugi czynnik chroni przed kradzieżą mojego hasła - konkretnego zagrożenia. Czy mój drugi czynnik może zostać naruszony? Pewnie. Mój telefon może zostać skradziony lub złośliwe oprogramowanie może zagrozić mojemu drugiemu czynnikowi.
Czynnik ludzki: inżynieria społeczna
Nawet przy podejściu dwuskładnikowym ludzie nadal mają możliwość nadpisania ustawień bezpieczeństwa. Kilka lat temu, pracowity haker przekonał Apple'a do zresetowania Apple ID swojego pisarza. GoDaddy został oszukany w zamian za nazwę domeny, która umożliwiła przejęcie konta na Twitterze. Moja tożsamość została przypadkowo połączona z innym Dave Greenbaumem z powodu ludzkiego błędu w MetLife. Ten błąd prawie spowodował, że anulowałem ubezpieczenie domu i auto drugiego Dave'a Greenbauma.
Nawet jeśli człowiek nie zastąpi ustawienia dwuskładnikowego, ten drugi to tylko kolejna przeszkoda dla atakującego. To gra dla hakera. Jeśli wiem, kiedy logujesz się do Dropbox, do którego potrzebuję kodu autoryzacyjnego, to wszystko, co muszę zrobić, to pobrać od Ciebie ten kod. Jeśli nie otrzymam skierowanych do mnie wiadomości tekstowych (SIM-hack?), Po prostu muszę cię przekonać, żebyś mi udostępnił ten kod. To nie jest rakieta. Czy mogę cię przekonać, żebyś oddał ten kod? Możliwie. Ufamy naszym telefonom bardziej niż naszym komputerom. Dlatego ludzie wpadają na takie rzeczy jak fałszywy komunikat logowania do iCloud.
Kolejna prawdziwa historia, która przydarzyła mi się dwukrotnie. Moja firma wydająca karty kredytowe zauważyła podejrzaną aktywność i zadzwoniła do mnie. Wspaniały! To podejście oparte na zachowaniu, o którym powiem później. Jednak poprosili mnie, abym podał pełny numer karty kredytowej przez telefon z nie zadzwonionym telefonem. Byli zszokowani, odmówiłem podania im numeru. Kierownik powiedział mi, że rzadko otrzymują skargi od klientów. Większość dzwoniących po prostu przekazuje numer karty kredytowej. Oooo. To mogła być jakaś nikczemna osoba z drugiej strony, próbująca zdobyć moje dane osobowe.
Hasła nie chronią nas
Mamy zbyt wiele haseł w naszym życiu w zbyt wielu miejscach. Medium już pozbyło się haseł. Większość z nas wie, że powinniśmy mieć unikalne hasło dla każdej witryny. Takie podejście jest o wiele za dużo, aby prosić naszych mizernych, ziemskich mózgów, żyjących pełnym i bogatym cyfrowym koncertem. Menedżerowie haseł (analogowe lub cyfrowe) pomagają zapobiegać przypadkowym hakerom, ale nie wyrafinowanym atakom. Heck, hakerzy nie potrzebują nawet haseł, aby uzyskać dostęp do naszych indywidualnych kont. Po prostu włamują się do baz danych przechowujących informacje (Sony, Target, Rząd federalny).
Weź lekcję od firm obsługujących karty kredytowe
Mimo że algorytmy mogą być nieco słabsze, firmy kredytowe mają dobry pomysł. Patrzą na nasze wzorce zakupów i lokalizację, aby wiedzieć, czy to Ty korzystasz z karty. Jeśli kupujesz gaz w Kansas, a potem kupisz garnitur w Londynie, to jest problem.
Dlaczego nie możemy zastosować tego do naszych kont online? Niektóre firmy oferują alerty z zagranicznych adresów IP (zaskarża LastPass za umożliwienie użytkownikom ustawiania preferowanych krajów dostępu). Jeśli mój telefon, komputer, tablet i urządzenie nadgarstkowe są w Kansas, powinienem otrzymać powiadomienie, gdy moje konto będzie dostępne gdzie indziej. Przynajmniej te firmy powinny zadać mi kilka dodatkowych pytań, zanim uznają, że jestem tym, za kogo się podaje. Ta odsłona jest szczególnie potrzebna dla kont Google, Apple i Facebook, które uwierzytelniają się na innych kontach przez OAuth. Google i Facebook ostrzegają przed nietypową aktywnością, ale zwykle są tylko ostrzeżeniem, a ostrzeżenia nie stanowią ochrony. Moja firma obsługująca karty kredytowe odmawia transakcji, dopóki nie potwierdzi, kim jestem. Po prostu nie mówią "Hej ... myślę, że powinieneś wiedzieć". Moje konta internetowe nie powinny ostrzegać, powinny blokować nietypową aktywność. Najnowszy zwrot z bezpieczeństwa karty kredytowej, to rozpoznawanie twarzy. Oczywiście, ktoś może poświęcić trochę czasu, aby spróbować powielić swoją twarz, ale firmy obsługujące karty kredytowe wydają się pracować ciężej, aby nas chronić.
Nasi inteligentni asystenci (i urządzenia) są lepszą obroną
Siri, Alexa, Cortana i Google znają mnóstwo rzeczy o nas. Inteligentnie przewidują, dokąd zmierzamy, gdzie byliśmy i co lubimy. Asystenci ci przeczesują nasze zdjęcia, aby zorganizować nasze wakacje, zapamiętać, kim są nasi przyjaciele, a nawet muzykę, którą lubimy. Jest przerażający na jednym poziomie, ale bardzo przydatny w codziennym życiu. Jeśli Twoje dane Fitbit można wykorzystać w sądzie, możesz je również wykorzystać do identyfikacji.
Kiedy zakładasz konto online, firmy zadają ci głupie pytania, takie jak imię ukochanej z liceum lub nauczyciela trzeciej klasy. Nasze wspomnienia nie są tak solidne jak komputer. Na te pytania nie można polegać w celu zweryfikowania naszej tożsamości. Zostałem wcześniej zablokowany, ponieważ moja ulubiona restauracja w 2011 roku nie jest na przykład moją ulubioną restauracją.
Firma Google podjęła pierwszy krok w tym behawioralnym podejściu dzięki Smart Lock na tablety i Chromebooki. Jeśli jesteś tym, za kogo się podajesz, prawdopodobnie masz przy sobie telefon. Apple naprawdę upuściło piłkę za pomocą hacka iCloud, pozwalając na tysiące prób z tego samego adresu IP.
Zamiast zastanawiać się, którą piosenkę chcemy usłyszeć dalej, chcę, aby te urządzenia chroniły moją tożsamość na kilka sposobów.
- Wiesz, gdzie jestem: z GPS mojego telefonu komórkowego, zna moją lokalizację. Powinien umieć powiedzieć innym moim urządzeniom: "Hej, jest super, wpuść go." Jeśli jestem w Timbuktu, nie powinieneś ufać mojemu hasłu, a nawet mojemu drugiemu czynnikowi.
- Wiesz, co robię: wiesz, kiedy się loguję i z czym, więc pora zadać mi jeszcze kilka pytań. "Przepraszam, Dave, nie mogę tego zrobić" powinno być odpowiedzią, gdy normalnie nie proszę o otwarcie drzwi podchodzących.
- Wiesz, jak mnie zweryfikować: "Mój głos to mój paszport, zweryfikuj mnie." Nie, każdy może to skopiować. Zamiast tego zadaj mi pytania, na które łatwo mi odpowiedzieć i zapamiętać, ale trudno je znaleźć w Internecie. Nazwisko panieńskie mojej matki może być łatwe do odnalezienia, ale gdzie w zeszłym tygodniu zjadłem lunch z mamą (patrz mój kalendarz). Tam, gdzie poznałem moją uczennicę, łatwo można się domyślić, ale który film, który widziałem w zeszłym tygodniu, nie jest łatwy do odnalezienia (wystarczy sprawdzić pocztę).
- Wiesz, jak wyglądam: Facebook może rozpoznać mnie z tyłu mojej głowy, a Mastercard może wykryć moją twarz. To są lepsze sposoby na sprawdzenie, kim jestem.
Wiem, że niewiele firm wdraża takie rozwiązania, ale to nie znaczy, że nie mogę ich pożądać. Zanim zaczniesz narzekać - tak, można je zhackować. Problemem dla hakerów będzie wiedza, który zestaw miar wtórnych używa usługa online. Może pewnego dnia zadać pytanie, ale następnym razem zrób sobie selfie.
Apple robi duży nacisk, aby chronić moją prywatność i doceniam to. Jednak po zalogowaniu się do mojego Apple ID, czas, aby Siri aktywnie mnie chronił. Google Now i Cortana również mogą to zrobić. Może ktoś już to rozwija, a Google robi pewne postępy w tej dziedzinie, ale teraz tego potrzebujemy! Do tego czasu musimy być bardziej czujni w ochronie naszych rzeczy. Poszukaj pomysłów na ten tydzień.