Paroles ir salauztas: ir labāks veids, kā autentificēt lietotājus
Privātums Drošība / / March 16, 2020
Katru nedēļu mēs lasām stāstus par kompromitētiem korpusiem un vietnēm. Daudziem no mums vissliktākās ielaušanās ir nozagtas paroles. Nepieciešamas pārmaiņas!
Šķiet, ka katru nedēļu mēs lasām stāstus par uzņēmumiem un vietnēm, kas tiek apdraudētas un patērētāji tiek nozagti. Daudziem no mums vissliktākās ielaušanās ir paroles nozagšanas gadījumā. LastPass Hack ir viens no nesenākajiem uzbrukumiem. Iespējams, ka tas ir digitālā terorisma veids, kas tikai aug. Divfaktoru autentifikācija un biometrija ir jauki labojumi problēmai, taču tie ignorē pamatjautājumus, kas saistīti ar pieteikšanās pārvaldību. Mums ir rīki problēmas risināšanai, taču tie nav pareizi piemēroti.
Polomex foto - http://flic.kr/p/cCzxju
Kāpēc mēs noņemam kurpes Amerikas Savienotajās Valstīs, bet ne Izraēlā?
Ikviens, kurš lido Amerikas Savienotajās Valstīs, zina par TSA drošību. Mēs noņemam mēteļus, izvairāmies no šķidrumiem un noņemam kurpes pirms došanās cauri apsardzei. Mums ir saraksts ar lidojumiem, kuru pamatā ir vārdi. Tās ir reakcijas uz īpašiem draudiem. Tas nav tā, kā tāda valsts kā Izraēla veic drošību. Es neesmu lidojis El-Al (Izraēlas nacionālās aviokompānijas), bet draugi man stāsta par intervijām, kurās viņi dodas apsardzes nolūkos. Drošības darbinieki kodē draudus, pamatojoties uz
Foto autors Bens Popkens
Mēs izmantojam TSA pieeju tiešsaistes kontiem, un tāpēc mums ir visas drošības problēmas. Divu faktoru autentifikācija ir sākums. Tomēr, kad saviem kontiem pievienojam otru faktoru, mēs esam ierauti nepatiesā drošības sajūtā. Šis otrais faktors aizsargā pret to, ka kāds zog manu paroli - tas ir īpašs drauds. Vai manu otro faktoru varētu apdraudēt? Protams. Mans tālrunis varētu būt nozagts, vai ļaunprogrammatūra varētu ietekmēt manu otro faktoru.
Cilvēka faktors: sociālā inženierija
Foto autors Kevins Berdžs
Pat ar divu faktoru pieeju cilvēki joprojām var ignorēt drošības iestatījumus. Dažus gadus atpakaļ rūpīgs hakeris pārliecināja Apple atiestatīt rakstnieka Apple ID. Ej tēti tika pievilts par domēna vārda pārvēršanu, kas ļāva pārņemt Twitter kontu. Mana identitāte bija nejauši apvienojās ar citu Deivu Grīnbaumu cilvēka kļūdas dēļ MetLife. Šī kļūda gandrīz lika man atcelt otra Deiva Grīnbauma mājas un auto apdrošināšanu.
Pat ja cilvēks nepārspēj divu faktoru iestatījumus, otrais marķieris ir tikai vēl viens šķērslis uzbrucējam. Tā ir spēle hakerim. Ja, ieejot savā Dropbox, es zinu, ka man ir nepieciešams autorizācijas kods, tad viss, kas man jādara, ir iegūt šo kodu no jums. Ja es nesaņemu man īsziņas (SIM-kapāt ikvienu?), Man vienkārši jāpārliecina, ka jūs man atdodat šo kodu. Šī nav raķešu zinātne. Vai es varētu pārliecināt jūs atdot šo kodu? Iespējams. Mēs uzticamies saviem tālruņiem vairāk nekā datoriem. Tāpēc cilvēki zaudē tādas lietas kā a viltus iCloud pieteikšanās ziņojums.
Vēl viens patiess stāsts, kas ar mani notika divreiz. Mana kredītkaršu kompānija pamanīja aizdomīgu darbību un man piezvanīja. Lieliski! Šī ir uz rīcību balstīta pieeja, par kuru es runāšu vēlāk. Tomēr viņi man lūdza norādīt pilnu kredītkartes numuru pa tālruni ar zvanu, ko es neveicu. Viņi bija satriekti, un es atteicu viņiem norādīt numuru. Menedžeris man teica, ka viņi reti saņem sūdzības no klientiem. Lielākā daļa zvanītāju vienkārši nodod kredītkartes numuru. Labi. Tas varēja būt jebkurš nožēlojams cilvēks, no otras puses, kurš mēģināja iegūt manus personas datus.
Paroles mūs neaizsargā
Foto autors ditatompelis
Dzīvē mums ir pārāk daudz paroļu pārāk daudzās vietās. Vidēja jau ir atbrīvojies no parolēm. Lielākā daļa no mums zina, ka katrai vietnei vajadzētu būt unikālai parolei. Šī pieeja ir par daudz, lai prasītu no mūsu niecīgajām zemnieku smadzenēm, kuras dzīvo pilnībā un bagātīgi digitāli. Paroļu pārvaldnieki (analogs vai digitālais) palīdz novērst gadījuma rakstura hakerus, bet ne izsmalcinātu uzbrukumu. Heck, hakeriem pat nav nepieciešamas paroles, lai piekļūtu mūsu individuālajiem kontiem. Viņi vienkārši ielaužas datu bāzēs, kurās tiek glabāta informācija (Sony, Target, federālā valdība).
Veikt nodarbību no kredītkaršu uzņēmumiem
Kaut arī algoritmi varētu nedaudz atšķirties, kredītkompānijām ir pareiza ideja. Viņi aplūko mūsu pirkšanas modeļus un atrašanās vietu, lai uzzinātu, vai jūs izmantojat savu karti. Ja pērkat gāzi Kanzasā un pēc tam pērkat uzvalku Londonā, tā ir problēma.
Kozumela foto
Kāpēc mēs to nevaram attiecināt uz mūsu tiešsaistes kontiem? Daži uzņēmumi piedāvā brīdinājumus no ārvalstu IP (kudos uz LastPass, lai ļautu lietotājiem) iestatiet vēlamās valstis piekļuvei). Ja mans tālrunis, dators, planšetdators un plaukstas aparāta ierīce atrodas Kanzasā, tad man jāinformē, ja manam kontam tiek piekļūts kaut kur citur. Vismaz šiem uzņēmumiem vajadzētu uzdot man dažus papildu jautājumus, pirms viņi pieņem, ka esmu tāds, kurš saka, ka esmu. Šī vārtu glabāšana ir īpaši nepieciešama Google, Apple un Facebook kontiem, kuru autentifikācija citiem kontiem ir OAuth. Google un Facebook dod brīdinājumus par neparastu darbību, taču tie parasti ir tikai brīdinājums, un brīdinājumi nav aizsardzība. Mana kredītkaršu kompānija darījumam saka nē, kamēr nav pārliecinājusies, kas es esmu. Viņi vienkārši nesaka: “Ei, domāju, ka jums vajadzētu zināt”. Maniem tiešsaistes kontiem nevajadzētu brīdināt, tiem vajadzētu bloķēt neparastas darbības. Jaunākais kredītkartes drošības pagrieziens ir sejas atpazīšana. Protams, kāds var veltīt laiku, lai mēģinātu dublēt jūsu seju, bet kredītkaršu firmas, šķiet, strādā vairāk, lai mūs aizsargātu.
Mūsu viedie palīgi (un ierīces) ir labāka aizsardzība
Foto autors Foomandoonian
Siri, Alexa, Cortana un Google zina par mums daudz lietu. Viņi gudri prognozē, kurp mēs ejam, kur esam bijuši un kas mums patīk. Šie palīgi ķemmē mūsu fotogrāfijas, lai organizētu mūsu brīvdienas, atcerētos, kas ir mūsu draugi, un pat mūziku, kas mums patīk. Tas ir rāpojošs vienā līmenī, bet ļoti noderīgs mūsu ikdienas dzīvē. Ja jūsu Fitbit datus var izmantot tiesā, tā var būt arī izmanto, lai identificētu jūs.
Kad izveidojat tiešsaistes kontu, uzņēmumi uzdod jums mēmus izaicinājumus, piemēram, vidusskolas mīļotā vai trešās klases skolotāja vārdu. Mūsu atmiņas nav tik pamatīgas kā dators. Uz šiem jautājumiem nevar paļauties, lai pārbaudītu mūsu identitāti. Iepriekš esmu ticis izslēgts no kontiem, jo, piemēram, mans mīļākais restorāns 2011. gadā nav mans iecienītākais restorāns šodien.
Google ir spēris pirmo soli šajā uzvedības pieejā, izmantojot Smart Lock planšetdatoriem un Chromebook datoriem. Ja jūs esat tas, par kuru sakāt, ka esat, tad, iespējams, tālrunis atrodas blakus. Apple patiešām nometa bumbu ar iCloud hakeru, ļaujot tūkstošiem mēģinājumu no vienas IP adreses.
Tā vietā, lai izdomātu, kuru dziesmu mēs vēlamies klausīties, es gribu, lai šīs ierīces dažos veidos aizsargātu manu identitāti.
- Jūs zināt, kur esmu: Izmantojot mana mobilā tālruņa GPS, tas zina manu atrašanās vietu. Tai vajadzētu spēt pateikt manām citām ierīcēm: "Ei, tas ir forši, ļaujiet viņam iekšā." Ja es esmu Timbuktu viesabonēšanā, jums nevajadzētu īsti uzticēties manai parolei un, iespējams, pat otrajam faktoram.
- Jūs zināt, ko es daru: Jūs zināt, kad es pieslēdzos un ar ko, tāpēc ir laiks uzdot man vēl dažus jautājumus. “Es atvainojos, Deivs, es to nevaru izdarīt” vajadzētu būt atbildei, kad parasti nelūdzu, lai jūs atvērtu korpusa nodalījuma durvis.
- Jūs zināt, kā mani pārbaudīt: "Mana balss ir mana pase, pārbaudi mani." Nē, ikviens to var nokopēt. Tā vietā uzdodiet man jautājumus, uz kuriem man ir viegli atbildēt un atcerēties, bet kurus grūti atrast internetā. Manas mātes pirmslaulības vārdu var būt viegli atrast, bet kur nav pagājušās nedēļas, kad es kopā ar mammu ēdu pusdienas, nav (skatieties manu kalendāru). To, kur satiku savu vidusskolas mīļoto, ir viegli uzminēt, bet to, kuru filmu es redzēju pagājušajā nedēļā, nav viegli atrast (vienkārši pārbaudiet manus e-pasta kvītis).
- Jūs zināt, kā es izskatos: Facebook var atpazīt mani pēc manas galvas aizmugurē un Mastercard var atklāt manu seju. Tie ir labāki veidi, kā pārbaudīt, kas es esmu.
Es zinu, ka ļoti nedaudzi uzņēmumi īsteno šādus risinājumus, bet tas nenozīmē, ka es nevaru viņus iekārot. Pirms sūdzaties-jā, tos var uzlauzt. Hakeru problēma būs zināt, kuru sekundāro pasākumu kopumu tiešsaistes pakalpojums izmanto. Varētu kādu dienu uzdot jautājumu, bet nākamajā ņemiet selfiju.
Apple ļoti cenšas aizsargāt manu privātumu, un es to novērtēju. Tomēr, kad mans Apple ID ir pieteicies, ir pienācis laiks, kad Siri mani aktīvi aizsargā. To var izdarīt arī pakalpojums Google tagad un Cortana. Varbūt kāds to jau izstrādā, un Google šajā jomā gūst zināmus panākumus, bet tas mums tagad ir vajadzīgs! Līdz tam laikam mums jābūt nedaudz modrākiem, aizsargājot savas lietas. Nākamajā nedēļā meklējiet dažas idejas.