Passordene er ødelagte: Det er en bedre måte å godkjenne brukere
Hver uke virker det, vi leser historier om at selskaper og nettsteder blir kompromittert og forbrukerdata blir stjålet. For mange av oss er de verste innbruddene når passord blir stjålet. LastPass Hack er et av de nyere angrepene. På noen måter er det en form for digital terrorisme som bare vokser. Tofaktorautentisering og biometri er fine oppdateringer på problemet, men de ignorerer de grunnleggende problemene knyttet til innloggingsadministrasjon. Vi har verktøyene for å løse problemet, men de har ikke blitt brukt riktig.
Hvorfor tar vi av våre sko i USA, men ikke i Israel
Alle som er fløyet i USA, vet om TSA-sikkerhet. Vi tar av frakkene våre, unngår væsker og tar av skoene våre før de går gjennom sikkerhet. Vi har en flyveliste basert på navn. Dette er reaksjoner på bestemte trusler. Det er ikke slik et land som Israel gjør sikkerhet. Jeg har ikke fløyet El-Al (Israels nasjonale flyselskaper), men venner forteller meg om intervjuene de går gjennom i sikkerhet. Sikkerhetsoffisørene kodes trusler basert på personlige egenskaper og atferd.
Vi tar TSA-tilnærmingen til elektroniske kontoer, og derfor har vi alle sikkerhetsproblemer. Tofaktorautentisering er en start. Likevel, når vi legger til en andre faktor i våre kontoer, slår vi inn i en falsk følelse av sikkerhet. Den andre faktoren beskytter mot noen som stjeler passordet mitt - en spesiell trussel. Kan min andre faktor bli kompromittert? Sikker. Telefonen min kan bli stjålet eller skadelig programvare kan skade min andre faktor.
Den menneskelige faktoren: Samfunnsingeniør
Selv med to-faktor tilnærminger, har mennesker fortsatt muligheten til å overstyre sikkerhetsinnstillingene. For noen år siden overbeviste en ivrig hacker Apple om å tilbakestille en forfatters Apple ID. GoDaddy ble lurt til å snu over et domenenavn som aktiverte en overtagelse av Twitter-konto. Min identitet ble tilfeldigvis fusjonert med en annen Dave Greenbaum på grunn av en menneskelig feil hos MetLife. Denne feilen resulterte nesten i at jeg avbrutt hjemmet og bilforsikringen til den andre Dave Greenbaum.
Selv om et menneske ikke tilsidesetter en tofaktorinnstilling, er det andre token bare en annen hindring for angriperen. Det er et spill for en hacker. Hvis jeg vet når du logger inn i Dropbox-en din, trenger jeg en autorisasjonskode for, så er alt jeg trenger å gjøre, få den koden fra deg. Hvis jeg ikke får dine tekstmeldinger rettet til meg (SIM-hack noen?), Trenger jeg bare å overbevise deg om å slippe den koden til meg. Dette er ikke rakettvitenskap. Kan jeg overbevise deg om å gi den koden tilbake? Muligens. Vi stoler på våre telefoner mer enn våre datamaskiner. Derfor faller folk for ting som en falsk iCloud-påloggingsmelding.
En annen sann historie som skjedde med meg to ganger. Mitt kredittkortselskap la merke til mistenkelig aktivitet og ringte meg. Flott! Det er en atferdsbasert tilnærming jeg snakker om senere. Men de ba meg om å gi mitt fulle kredittkortnummer over telefonen med en samtale jeg ikke gjorde. De var sjokkerte, jeg nektet å gi dem nummeret. En leder fortalte meg at de sjelden får klager fra kunder. De fleste innringere overfører bare kredittkortnummeret. Au. Det kunne ha vært en falsk person på den andre enden, og prøvde å få mine personlige data.
Passord Beskytt ikke oss
Vi har for mange passord i vårt liv på mange steder. Medium har allerede blitt kvitt passord. De fleste av oss vet at vi bør ha et unikt passord for hvert nettsted. Denne tilnærmingen er altfor mye å spørre om våre puny earthling-hjerner som lever en full og rik digital live. Passordforvaltere (analog eller digital) bidrar til å forhindre tilfeldige hackere, men ikke et sofistikert angrep. Heck, hackerne trenger ikke engang passord for å få tilgang til våre individuelle kontoer. De bryter nettopp inn i databasene som lagrer informasjonen (Sony, Target, Federal Government).
Ta en leksjon fra kredittkortselskapene
Selv om algoritmer kan være litt små, har kredittfirmaer den rette ideen. De ser på kjøpsmønstrene og stedene våre for å vite om du bruker kortet ditt. Hvis du kjøper gass i Kansas og deretter kjøper en drakt i London, er det et problem.
Hvorfor kan vi ikke bruke dette på våre elektroniske kontoer? Noen selskaper tilbyr varsler fra utenlandske IP-er (kudos til LastPass for å la brukerne sette foretrukne land for tilgang). Hvis min telefon, datamaskin, nettbrett og håndledd enhet er alle i Kansas, så bør jeg bli varslet om kontoen min nås et annet sted. I det minste bør disse selskapene spørre meg noen flere spørsmål før de antar at jeg er den jeg sier jeg er. Denne gatekeeping er spesielt nødvendig for Google, Apple og Facebook-kontoer som autentiserer til andre kontoer av OAuth. Google og Facebook gir advarsler for uvanlig aktivitet, men de er vanligvis bare en advarsel, og advarsler er ikke beskyttelse. Kredittkortselskapet sier nei til transaksjonen til de bekrefter hvem jeg er. De sier bare ikke "Hei ... tenkte du burde vite". Mine online kontoer bør ikke advare, de burde blokkere for uvanlig aktivitet. Den nyeste twist til kredittkort sikkerhet er ansiktsgjenkjenning. Visst, noen kan ta seg tid til å prøve å kopiere ansiktet ditt, men kredittkortselskaper synes å jobbe hardere for å beskytte oss.
Våre smarte assistenter (og enheter) er et bedre forsvar
Siri, Alexa, Cortana og Google vet massevis av ting om oss. De forutsier intelligent hvor vi skal, hvor vi har vært og hva vi liker. Disse assistentene kammer våre bilder for å organisere våre ferier, husk hvem våre venner er, og til og med musikken vi liker. Det er skummelt på ett nivå, men veldig nyttig i vårt daglige liv. Hvis din Fitbit-data kan brukes i en domstol, kan den også brukes til å identifisere deg.
Når du setter opp en Internett-konto, spør selskapene deg dumme utfordringsspørsmål som navnet på din videregående skole eller din tredje klasse lærer. Våre minner er ikke like rockfaste som en datamaskin. Disse spørsmålene kan ikke påberopes for å verifisere vår identitet. Jeg har blitt låst ute av kontoer før, fordi min favorittrestaurant i 2011 ikke er min favoritt restaurant i dag for eksempel.
Google har tatt det første skrittet i denne atferdsmessige tilnærmingen med Smart Lock for Tablets og Chromebooks. Hvis du er den du sier du er, så har du sannsynligvis telefonen nær deg. Apple droppet ballen med iCloud-hacken, slik at tusenvis av forsøk fra samme IP-adresse ble gitt.
I stedet for å finne ut hvilken sang vi vil lytte til, vil jeg at disse enhetene skal beskytte identiteten min på noen måter.
- Du vet hvor jeg er: Med mobilens GPS, kjenner den min plassering. Det burde være i stand til å fortelle mine andre enheter. "Hei, det er kult, la ham inn." Hvis jeg er i Timbuktu-roaming, bør du ikke virkelig stole på passordet mitt og muligens enda min andre faktor.
- Du vet hva jeg gjør: Du vet når jeg logger på og med hva, så det er på tide å spørre meg noen flere spørsmål. "Jeg beklager Dave, det kan jeg ikke gjøre", bør være svaret når jeg ikke normalt spør deg om å åpne poddørene.
- Du vet hvordan du skal bekrefte meg: "Min stemme er passet mitt, bekreft meg." Nei, hvem som helst kan kopiere det. I stedet spør meg spørsmål som er enkle for meg å svare og huske, men vanskelig å finne på Internett. Min mors pikenavn kan være lett å finne, men hvor jeg spiste lunsj i forrige uke med mor er ikke (se på kalenderen min). Hvor jeg møtte min highschool kjære er lett å gjette, men hvilken film jeg så i forrige uke, er ikke lett å finne (bare sjekk mine e-kvitteringer).
- Du vet hvordan jeg ser ut: Facebook kan gjenkjenne meg på baksiden av hodet mitt og Mastercard kan oppdage ansiktet mitt. Dette er bedre måter å verifisere hvem jeg er.
Jeg vet at svært få selskaper implementerer løsninger som dette, men det betyr ikke at jeg ikke kan lyst på dem. Før du klager, ja, det kan hackes. Problemet med hackerne vil være å vite hvilket sett av sekundære tiltak en onlinetjeneste bruker. Det kan stille et spørsmål en dag, men ta en selvhjelp neste.
Apple gjør et stort trykk for å beskytte mitt privatliv, og jeg setter pris på det. Men når Apple-IDen min er logget inn, er det på tide at Siri beskyttet meg proaktivt. Google Nå og Cortana kan også gjøre det. Kanskje noen allerede utvikler dette, og Google gjør noen skritt i dette området, men vi trenger dette nå! Til nå må vi være litt mer årvåken når det gjelder å beskytte våre ting. Se etter noen ideer om det neste uke.