Adgangskoder er brudte: Der er en bedre måde at godkende brugere på
Hver uge ser det ud til, vi læser historier om virksomheder og hjemmesider, der bliver kompromitteret, og forbrugerdata bliver stjålet. For mange af os er de værste indbrud, når adgangskoder bliver stjålet. LastPass Hack er et af de nyere angreb. På nogle måder er det en form for digital terrorisme, som kun vokser. To-faktor autentificering og biometri er gode patches på problemet, men de ignorerer de grundlæggende problemer i forbindelse med login management. Vi har værktøjer til at løse problemet, men de er ikke blevet anvendt korrekt.
Hvorfor tager vi af vores sko i USA, men ikke i Israel
Enhver, der er fløjet i USA, kender TSA-sikkerhed. Vi tager af jakkerne, undgår væsker og tager vores sko af, før vi går gennem sikkerhed. Vi har en flyve liste baseret på navne. Disse er reaktioner på specifikke trusler. Det er ikke sådan et land som Israel gør sikkerhed. Jeg har ikke fløjet El-Al (Israels nationale flyselskaber), men venner fortæller mig om de interviews, de går igennem i sikkerhed. Sikkerhedsofficererne angiver trusler baseret på personlige karakteristika og adfærd.
Vi tager TSA tilgang til online-konti, og derfor har vi alle sikkerhedsproblemerne. To-faktor autentificering er en start. Men når vi tilføjer en anden faktor til vores konti, slår vi os i en falsk følelse af sikkerhed. Den anden faktor beskytter mod nogen, der stjæler mit kodeord - en særlig trussel. Kan min anden faktor blive kompromitteret? Jo da. Min telefon kan blive stjålet, eller malware kan true min anden faktor.
Den menneskelige faktor: Socialteknologi
Selv med tofaktoriske tilgange har mennesker stadig evnen til at tilsidesætte sikkerhedsindstillingerne. Et par år tilbage overbeviste en ivrig hacker Apple om at nulstille en forfatters Apple ID. GoDaddy blev narret til at vende over et domænenavn, der muliggjorde en kvitteringskontorovertagelse. Min identitet blev tilfældigt fusioneret med en anden Dave Greenbaum på grund af en menneskelig fejl hos MetLife. Denne fejl resulterede næsten i, at jeg annullerede hjemmet og autoforsikringen af den anden Dave Greenbaum.
Selvom et menneske ikke tilsidesætter en to-faktor-indstilling, er det andet token blot en anden hindring for angriberen. Det er et spil for en hacker. Hvis jeg ved, hvornår du logger ind på din Dropbox, at jeg har brug for en godkendelseskode for, så er det eneste, jeg skal gøre, at få den kode fra dig. Hvis jeg ikke får dine sms'er rettet til mig (SIM-hack nogen?), Skal jeg bare overbevise dig om at frigive denne kode til mig. Dette er ikke raketvidenskab. Kan jeg overbevise dig om at give denne kode tilbage? Eventuelt. Vi stoler på vores telefoner mere end vores computere. Derfor falder folk for ting som en falsk iCloud login-besked.
En anden sand historie, der skete mig to gange. Mit kreditkort firma opdagede mistænkelig aktivitet og ringede til mig. Store! Det er en adfærdsbaseret tilgang, jeg snakker om senere. Men de bad mig om at give mit fulde kreditkortnummer over telefonen med et opkald, jeg ikke lavede. De var chokerede, jeg nægtede at give dem nummeret. En manager fortalte mig, at de sjældent får klager fra kunder. De fleste ringere overfører kun kreditkortnummeret. Av. Det kunne have været enhver skræmmende person i den anden ende at forsøge at få mine personlige data.
Passwords beskytter os ikke
Vi har for mange adgangskoder i vores liv på mange steder. Medium er allerede blevet kørt af adgangskoder. De fleste af os ved, at vi skulle have en unik adgangskode til hvert websted. Denne fremgangsmåde er alt for meget til at spørge om vores dunkle hjerner, der lever en fuld og rig digital livsstil. Adgangskodeadministratorer (analog eller digital) hjælper med at forhindre uheldige hackere, men ikke et sofistikeret angreb. Heckers har hackerne ikke engang brug for adgangskoder for at få adgang til vores individuelle konti. De bryder lige ind i de databaser, der lagrer informationen (Sony, Target, Federal Government).
Tag en lektion fra kreditkortselskaberne
Selv om algoritmerne måske er lidt små, har kreditvirksomheder den rigtige ide. De ser på vores købsmønstre og placering for at vide, om det er du, der bruger dit kort. Hvis du køber gas i Kansas og derefter køber en dragt i London, er det et problem.
Hvorfor kan vi ikke anvende dette på vores online-konti? Nogle virksomheder tilbyder advarsler fra udenlandske IP'er (kudos til LastPass for at lade brugerne angive foretrukne lande for adgang). Hvis min telefon, computer, tablet og håndledningsenhed alle er i Kansas, skal jeg få besked, hvis min konto er tilgængelig et andet sted. I det mindste bør disse virksomheder spørge mig et par yderligere spørgsmål, før de går ud fra, at jeg er, som jeg siger, jeg er. Denne gatekeeping er specielt nødvendig for Google, Apple og Facebook-konti, som autentificerer til andre konti af OAuth. Google og Facebook giver advarsler for usædvanlig aktivitet, men de er normalt kun en advarsel, og advarsler er ikke beskyttelse. Mit kreditkort firma siger nej til transaktionen, indtil de verificerer hvem jeg er. De siger bare ikke "Hey ... troede du skulle vide". Mine online-konti bør ikke advare, de bør blokere for usædvanlig aktivitet. Det nyeste twist til kreditkort sikkerhed er ansigtsgenkendelse. Sikker på, at nogen kan tage sig tid til at prøve at duplikere dit ansigt, men kreditkortselskaber synes at arbejde hårdere for at beskytte os.
Vores Smart Assistants (og enheder) er et bedre forsvar
Siri, Alexa, Cortana og Google kender et væld af ting om os. De forudsiger intelligent, hvor vi skal hen, hvor vi har været og hvad vi kan lide. Disse assistenter kam vores fotos til at organisere vores ferier, huske hvem vores venner er, og endda den musik, vi kan lide. Det er uhyggeligt på et niveau, men meget nyttigt i vores daglige liv. Hvis dine Fitbit-data kan bruges i en domstol, kan den også bruges til at identificere dig.
Når du opretter en online-konto, spørger virksomheder dig dumme udfordringsspørgsmål som navnet på din high school-skat eller din tredje klasse lærer. Vores minder er ikke så rockfaste som en computer. Disse spørgsmål kan ikke påberåbes for at bekræfte vores identitet. Jeg har været låst uden for konti før, fordi min favorit restaurant i 2011 ikke er min favorit restaurant i dag for eksempel.
Google har taget det første skridt i denne adfærdsmæssige tilgang med Smart Lock for Tabletter og Chromebooks. Hvis du er den, du siger, at du er, så har du sandsynligvis din telefon i nærheden af dig. Apple faldt virkelig bolden med iCloud-hacket, hvilket gav tusindvis af forsøg på samme IP-adresse.
I stedet for at finde ud af hvilken sang vi vil lytte til næste, vil jeg have disse enheder til at beskytte min identitet på få måder.
- Du ved, hvor jeg er: Med min mobiltelefons GPS kender den min placering. Det skal være muligt at fortælle mine andre enheder "Hey, det er cool, lad ham komme ind." Hvis jeg er i Timbuktu roaming, bør du ikke rigtig stole på mit kodeord og muligvis endda min anden faktor.
- Du ved hvad jeg gør: Du ved, hvornår jeg logger ind og med hvad, så det er på tide at stille mig nogle flere spørgsmål. "Jeg er ked af det, Dave, det kan jeg ikke gøre", bør være svaret, når jeg normalt ikke beder dig om at åbne båldørene.
- Du ved, hvordan du bekræfter mig: "Min stemme er mit pas, bekræft mig." Nej, nogen kan kopiere det. I stedet spørg mig spørgsmål, der er let for mig at svare og huske, men svært at finde på internettet. Min mors pigenavn kan være let at finde, men hvor jeg spiste frokost i sidste uge med mor er ikke (se på min kalender). Hvor jeg mødte min high school elskede er let at gætte, men hvilken film jeg så i sidste uge, er ikke let at finde (bare tjek mine e-mail kvitteringer).
- Du ved hvordan jeg ser ud: Facebook kan genkende mig ved bagsiden af mit hoved og Mastercard kan opdage mit ansigt. Det er bedre måder at kontrollere, hvem jeg er.
Jeg ved meget få virksomheder implementerer løsninger som dette, men det betyder ikke, at jeg ikke kan lyst til dem. Før du klager - ja det kan blive hacket. Problemet for hackerne vil vide, hvilket sæt sekundære foranstaltninger en onlinetjeneste bruger. Det kan stille et spørgsmål en dag, men tag en selfie den næste.
Apple gør et stort skub for at beskytte mit privatliv og jeg sætter pris på det. Men når min Apple ID er logget ind, er det tid, da Siri proaktivt beskytter mig. Google Now og Cortana kan også gøre det. Måske er der nogen der allerede udvikler dette, og Google gør nogle fremskridt på dette område, men vi har brug for det nu! Indtil da er vi nødt til at være lidt mere opmærksomme på at beskytte vores ting. Se efter nogle ideer om den næste uge.