Hasła są zepsute: istnieje lepszy sposób uwierzytelnienia użytkowników

Wydaje się, że co tydzień czytamy historie o zagrożeniach dla firm i witryn internetowych oraz o kradzieży danych konsumentów. Dla wielu z nas najgorsze włamania mają miejsce w przypadku kradzieży haseł. The LastPass Hack będący jednym z ostatnich ataków. W pewnym sensie jest to forma terroryzmu cyfrowego, która tylko się rozwija. Uwierzytelnianie dwuskładnikowe i biometria są ładne łatki do problemu, ale ignorują podstawowe problemy związane z zarządzaniem logowaniem. Mamy narzędzia do rozwiązania problemu, ale nie zostały one właściwie zastosowane.

Dlaczego zdejmujemy buty w Stanach Zjednoczonych, ale nie w Izraelu?

Każdy, kto przyleciał do Stanów Zjednoczonych, wie o bezpieczeństwie TSA. Zdejmujemy płaszcze, unikamy płynów i zdejmujemy buty przed przejściem przez zabezpieczenia. Mamy listę zakazu lotów na podstawie nazwisk. Są to reakcje na określone zagrożenia. Nie w taki sposób kraj taki jak Izrael zapewnia bezpieczeństwo. Nie latałem z El-Al (narodowymi liniami lotniczymi Izraela), ale przyjaciele opowiadają mi o wywiadach, przez które przechodzą. Urzędnicy bezpieczeństwa kodują zagrożenia na podstawie

cechy osobowe i zachowania.

Stosujemy podejście TSA do kont online i dlatego mamy wszystkie problemy z bezpieczeństwem. Uwierzytelnianie dwuskładnikowe to początek. Kiedy jednak dodamy do naszych kont drugi czynnik, jesteśmy w otuleniu fałszywym poczuciem bezpieczeństwa. Ten drugi czynnik chroni przed kradzieżą mojego hasła - szczególne zagrożenie. Czy mój drugi czynnik może zostać zagrożony? Pewnie. Mój telefon może zostać skradziony lub złośliwe oprogramowanie może zagrozić mojemu drugiemu czynnikowi.

Czynnik ludzki: inżynieria społeczna

Nawet przy podejściach dwuskładnikowych ludzie nadal mają możliwość zastępowania ustawień zabezpieczeń. Kilka lat temu pracowity haker przekonał Apple do zresetowania Apple ID pisarza. Idź Tato został oszukany w zamianę nazwy domeny, która umożliwiła przejęcie konta na Twitterze. Moja tożsamość była przypadkowo połączył się z innym Dave'em Greenbaumem z powodu błędu ludzkiego w MetLife. Ten błąd prawie spowodował, że anulowałem ubezpieczenie domu i auto drugiego Dave'a Greenbauma.

Nawet jeśli człowiek nie zastąpi ustawienia dwuskładnikowego, ten drugi żeton jest kolejną przeszkodą dla atakującego. To gra dla hakera. Jeśli wiem, kiedy logujesz się do Dropbox, dla którego potrzebuję kodu autoryzacyjnego, wszystko, co muszę zrobić, to pobrać ten kod od ciebie. Jeśli nie otrzymam ode mnie wiadomości SMS (Włam się na każdą kartę SIM?). Muszę cię tylko przekonać, żebyś wydał mi ten kod. To nie jest nauka rakietowa. Czy mogę cię przekonać do oddania tego kodu? Możliwie. Ufamy naszym telefonom bardziej niż naszym komputerom. Dlatego ludzie lubią takie rzeczy jak fałszywy komunikat logowania do usługi iCloud.

Kolejna prawdziwa historia, która przytrafiła mi się dwa razy. Moja firma wydająca karty kredytowe zauważyła podejrzaną aktywność i zadzwoniła do mnie. Świetny! To podejście behawioralne, o którym powiem później. Poprosili mnie jednak o podanie mojego pełnego numeru karty kredytowej przez telefon w połączeniu, którego nie wykonałem. Byli zszokowani, że odmówiłem podania im numeru. Menedżer powiedział mi, że rzadko otrzymują skargi od klientów. Większość dzwoniących przekazuje tylko numer karty kredytowej. Auć. Może to być każda nikczemna osoba z drugiej strony, która próbuje uzyskać moje dane osobowe.

Hasła nas nie chronią

Mamy zbyt wiele haseł w naszym życiu w zbyt wielu miejscach. Medium już ma pozbyłem się haseł. Większość z nas wie, że powinniśmy mieć unikalne hasło do każdej strony. Takie podejście to zdecydowanie zbyt wiele, by prosić naszych mizernych, ziemskich mózgów żyjących w pełnym i bogatym cyfrowym życiu. Menedżerowie haseł (analog lub cyfrowo) pomaga zapobiegać przypadkowym hakerom, ale nie jest wyrafinowanym atakiem. Do licha, hakerzy nie potrzebują nawet haseł, aby uzyskać dostęp do naszych indywidualnych kont. Po prostu włamują się do baz danych przechowujących informacje (Sony, Target, rząd federalny).

Weź lekcję od wystawców kart kredytowych

Chociaż algorytmy mogą być trochę nie w porządku, firmy kredytowe mają właściwy pomysł. Sprawdzają nasze wzorce zakupów i lokalizację, aby wiedzieć, czy używasz swojej karty. Jeśli kupisz gaz w Kansas, a następnie kupisz garnitur w Londynie, to problem.

Dlaczego nie możemy zastosować tego do naszych kont online? Niektóre firmy oferują powiadomienia z zagranicznych adresów IP (podziękowania dla LastPass za umożliwienie użytkownikom ustawić preferowane kraje dla dostępu). Jeśli mój telefon, komputer, tablet i urządzenie na rękę znajdują się w Kansas, powinienem zostać powiadomiony, jeśli moje konto jest dostępne w innym miejscu. Firmy te powinny przynajmniej zadać mi kilka dodatkowych pytań, zanim założą, że jestem tym, za kogo się podaje. Tego rodzaju poszukiwania są szczególnie potrzebne w przypadku kont Google, Apple i Facebook, które uwierzytelniają się na innych kontach przez OAuth. Google i Facebook dają ostrzeżenia o nietypowej aktywności, ale zwykle są one jedynie ostrzeżeniem, a ostrzeżenia nie stanowią ochrony. Moja firma wydająca karty kredytowe odmawia transakcji, dopóki nie zweryfikuje, kim jestem. Po prostu nie mówią „Hej… myślałem, że powinieneś wiedzieć”. Moje konta internetowe nie powinny ostrzegać, powinny blokować nietypowe działania. Najnowszym zwrotem w zabezpieczeniach kart kredytowych jest rozpoznawanie twarzy. Jasne, ktoś może poświęcić trochę czasu, aby spróbować powielić twoją twarz, ale wydaje się, że firmy wydające karty kredytowe ciężko pracują, aby nas chronić.

Nasi inteligentni asystenci (i urządzenia) są lepszą obroną

Siri, Alexa, Cortana i Google wiedzą o nas mnóstwo rzeczy. Inteligentnie przewidują, dokąd idziemy, gdzie byliśmy i co lubimy. Ci asystenci przeczesują nasze zdjęcia, aby zorganizować nasze wakacje, pamiętać, kim są nasi przyjaciele, a nawet muzykę, którą lubimy. To przerażające na jednym poziomie, ale bardzo przydatne w naszym codziennym życiu. Jeśli Twoje dane Fitbit mogą być wykorzystywane w sądzie, może to być również możliwe używane do identyfikacji ciebie.

Podczas zakładania konta online firmy zadają tępe pytania, takie jak imię ukochanej licealistki lub nauczyciela trzeciej klasy. Nasze wspomnienia nie są tak solidne jak komputer. Nie można polegać na tych pytaniach w celu weryfikacji naszej tożsamości. Wcześniej byłem zablokowany, ponieważ moja ulubiona restauracja w 2011 roku nie jest na przykład moją ulubioną restauracją.

Google zrobił pierwszy krok w tym behawioralnym podejściu dzięki Smart Lock na tablety i Chromebooki. Jeśli jesteś tym, za kogo się podajesz, prawdopodobnie masz telefon blisko siebie. Apple naprawdę upuściło piłkę dzięki hackowi iCloud, umożliwiając tysiące prób z tego samego adresu IP.

Zamiast zastanawiać się, którego utworu chcemy posłuchać, chcę, aby te urządzenia chroniły moją tożsamość na kilka sposobów.

1. Wiesz gdzie jestem: Dzięki GPS w moim telefonie komórkowym zna moją lokalizację. Powinien być w stanie powiedzieć innym moim urządzeniom: „Hej, to spoko, wpuść go”. Jeśli korzystam z roamingu Timbuktu, nie powinieneś ufać mojemu hasłu, a być może nawet drugiemu czynnikowi.
2. Wiesz co robię: Wiesz, kiedy się loguję i co, więc czas zadać mi jeszcze kilka pytań. „Przykro mi, Dave, nie mogę tego zrobić” powinna być odpowiedzią, gdy zwykle nie pytam cię o otwarcie drzwi zatoki.
3. Wiesz, jak mnie zweryfikować: „Mój głos to mój paszport, zweryfikuj mnie”. Nie, każdy może to skopiować. Zamiast tego zadaj mi pytania, na które łatwo jest mi odpowiedzieć i zapamiętać, ale które trudno znaleźć w Internecie. Nazwisko panieńskie mojej matki może być łatwe do znalezienia, ale tam, gdzie w zeszłym tygodniu zjadłem lunch z mamą, nie jest (spójrz na mój kalendarz). Tam, gdzie spotkałem moją ukochaną licealistkę, łatwo zgadnąć, ale który film, który widziałem w zeszłym tygodniu, nie jest łatwy do znalezienia (wystarczy sprawdzić moje potwierdzenia e-mailem).
4. Wiesz jak wyglądam: Facebook może mnie rozpoznać po tył mojej głowy a Mastercard może wykryć moją twarz. To są lepsze sposoby na sprawdzenie, kim jestem.

Wiem, że bardzo niewiele firm wdraża takie rozwiązania, ale to nie znaczy, że nie mogę ich pożądać. Zanim złożysz skargę - tak, mogą zostać zhakowane. Problemem dla hakerów będzie wiedzieć, jakiego zestawu dodatkowych środków używa usługa online. Pewnego dnia może zadać pytanie, a następnego zrobić selfie.

Apple robi duży nacisk, aby chronić moją prywatność i doceniam to. Jednak po zalogowaniu mojego Apple ID czas Siri proaktywnie mnie chroni. Google Now i Cortana również mogą to zrobić. Może ktoś już to rozwija, a Google robi pewne postępy w tej dziedzinie, ale potrzebujemy tego teraz! Do tego czasu musimy być bardziej czujni w ochronie naszych rzeczy. Poszukaj pomysłów na ten temat w przyszłym tygodniu.