הסיסמאות שבורות: יש דרך טובה יותר לאמת משתמשים

נראה כי בכל שבוע אנו קוראים סיפורים על חברות ואתרי אינטרנט שנמצאים בסיכון וגניבת נתוני צרכנים. עבור רבים מאיתנו הפריצות הגרועות ביותר הן כאשר נגנבים סיסמאות. ה האק של LastPass להיות אחד מההתקפות האחרונות. במובנים רבים זו סוג של טרור דיגיטלי שרק הולך וגדל. אימות דו-גורמי ו ביומטריה הם תיקונים נחמדים לבעיה, אך הם מתעלמים מהנושאים הבסיסיים הקשורים לניהול כניסה. יש לנו כלים לפתור את הבעיה, אך הם לא מיושמים כראוי.

מדוע אנו חולצים נעליים בארצות הברית אך לא בישראל

כל מי שטס בארצות הברית יודע על אבטחת TSA. אנו מורידים את מעילינו, נמנעים מנוזלים ומורידים את הנעליים לפני שעוברים ביטחון. יש לנו רשימה ללא טיסה המבוססת על שמות. אלה תגובות לאיומים ספציפיים. זו לא הדרך שמדינה כמו ישראל עושה ביטחון. לא הטיסתי את אל-על (חברות התעופה הלאומיות בישראל), אבל חברים מספרים לי על הראיונות שהם עוברים בביטחון. קציני הביטחון מקודדים איומים על בסיס מאפיינים והתנהגויות אישיות.

אנו נוקטים בגישה של TSA לחשבונות מקוונים וזו הסיבה שיש לנו את כל בעיות האבטחה. אימות דו-גורמי הוא התחלה. ובכל זאת, כאשר אנו מוסיפים גורם שני לחשבונות שלנו, אנו מושבעים לתחושת ביטחון שגויה. הגורם השני הזה מגן מפני מישהו שגונב את הסיסמא שלי - איום ספציפי. האם ניתן לפגוע בגורם השני שלי? בטוח. הטלפון שלי יכול להיות נגנב או תוכנות זדוניות עלולות לפגוע בגורם השני שלי.

הגורם האנושי: הנדסה חברתית

אפילו בגישות של שני גורמים, לבני אדם עדיין יש יכולת לעקוף את הגדרות האבטחה. לפני כמה שנים, האקר חרוץ שכנע את אפל לאפס את תעודת הזהות של הסופר. קדימה אבא היה מרומה להפוך שם תחום שאיפשר השתלטות על חשבון טוויטר. זהותי הייתה התמזגה בטעות עם דייב גרינבאום אחר בגלל טעות אנושית ב- MetLife. הטעות הזו כמעט גרמה לי לבטל את ביטוח הבית והרכב של דייב גרינבאום האחר.

גם אם אדם אינו מבטל הגדרה של שני גורמים, האסימון השני הזה הוא רק מכשול נוסף עבור התוקף. זה משחק להאקר. אם אני יודע כשאתה נכנס ל- Dropbox שלך שאני זקוק לו קוד הרשאה, כל מה שאני צריך לעשות זה לקבל ממך את הקוד. אם אני לא מכוון אלי את הודעות הטקסט שלך (SIM-hack מישהו?), אני רק צריך לשכנע אותך לשחרר לי את הקוד. זה לא מדע טילים. האם אוכל לשכנע אותך להחזיר את הקוד הזה? יתכן. אנו סומכים על הטלפונים שלנו יותר מהמחשבים שלנו. זו הסיבה שאנשים נופלים בגלל דברים כמו א הודעת כניסה מזויפת של iCloud.

סיפור אמיתי אחר שקרה לי פעמיים. חברת כרטיסי האשראי שלי הבחינה בפעילות חשודה והתקשרו אלי. גדול! זו גישה מבוססת התנהגות עליה אדבר בהמשך. עם זאת, הם ביקשו ממני למסור את מספר כרטיס האשראי המלא שלי בטלפון בשיחה שלא ביצעתי. הם היו המומים. סירבתי למסור להם את המספר. מנהל אמר לי שהם לעיתים רחוקות מקבלים תלונות של לקוחות. רוב המתקשרים רק מוסרים את מספר כרטיס האשראי. אאוץ. זה יכול היה להיות כל אדם רעוע מצד שני שמנסה להשיג את הנתונים האישיים שלי.

סיסמאות לא מגנות עלינו

יש לנו יותר מדי סיסמאות בחיים שלנו במקומות רבים מדי. ל- Medium יש כבר נפטר מהסיסמאות. רובנו יודעים שעלינו להיות סיסמא ייחודית לכל אתר. גישה זו היא יותר מדי לבקש ממוחנו הארצי-אדמה המחפיר, לחיות חיים דיגיטליים מלאים ועשירים. מנהלי סיסמאות (אנלוגי או דיגיטלי) לעזור במניעת האקרים מזדמנים, אך לא התקפה מתוחכמת. האמת, ההאקרים אפילו לא צריכים סיסמאות כדי לגשת לחשבונות האישיים שלנו. הם פשוט פורצים למסדי נתונים המאחסנים את המידע (סוני, יעד, הממשלה הפדרלית).

קח שיעור מחברות כרטיסי האשראי

למרות שהאלגוריתמים עשויים להיות מעט לא טובים, לחברות אשראי יש את הרעיון הנכון. הם בוחנים את דפוסי הקנייה והמיקום שלנו כדי לדעת אם זה אתה משתמש בכרטיס שלך. אם אתה קונה דלק בקנזס ואז קונה חליפה בלונדון, זו בעיה.

מדוע איננו יכולים להחיל זאת על חשבונותינו המקוונים? חברות מסוימות מציעות התראות מ- IP זרים (קודו ל- LastPass כדי לאפשר למשתמשים הגדר מדינות מועדפות לגישה). אם הטלפון, המחשב, הטאבלט והתקן היד שלי נמצאים כולם בקנזס, יש ליידע אותי אם ניגשים לחשבון שלי במקום אחר. לכל הפחות, החברות הללו צריכות לשאול אותי כמה שאלות נוספות לפני שהן מניחות שאני מי שאני אומר שאני. שמירת סף זו נחוצה במיוחד לחשבונות גוגל, אפל ופייסבוק המאמתים לחשבונות אחרים על ידי OAuth. גוגל ו פייסבוק תן אזהרות על פעילות חריגה, אך בדרך כלל מדובר רק באזהרה, ואזהרות אינן הגנה. חברת האשראי שלי אומרת לא לעסקה עד שתאמת מי אני. הם פשוט לא אומרים "היי... חשבו שאתה צריך לדעת". חשבונות המקוונים שלי לא צריכים להתריע, הם צריכים לחסום לפעילות חריגה. הטוויסט החדש ביותר לאבטחת כרטיסי אשראי הוא זיהוי פנים. בטח, מישהו יכול לקחת את הזמן כדי לנסות לשכפל את הפנים שלך, אבל נראה שחברות כרטיסי האשראי עובדות קשה יותר כדי להגן עלינו.

העוזרים החכמים (והמכשירים) שלנו הם הגנה טובה יותר

סירי, אלכסה, קורטנה וגוגל יודעים המון דברים עלינו. הם חוזים באופן מושכל לאן אנחנו הולכים, לאן היינו ומה אנחנו אוהבים. העוזרים הללו מסרקים את התמונות שלנו כדי לארגן את החופשות שלנו, זוכרים מיהם חברינו ואפילו את המוזיקה שאנחנו אוהבים. זה מפחיד ברמה אחת, אבל מאוד שימושי בחיי היומיום שלנו. אם ניתן להשתמש בנתוני Fitbit שלך בבית משפט, הם יכולים להיות כאלה נהג לזהות אותך.

כשאתה מקים חשבון מקוון, חברות שואלות אותך שאלות מאתגרות מטומטמות כמו שם אהבתך בתיכון או המורה שלך בכיתה ג '. הזכרונות שלנו אינם סולידיים כמו מחשב. לא ניתן לסמוך על שאלות אלה כדי לאמת את זהותנו. נעצרתי בעבר חשבונות מכיוון שהמסעדה המועדפת עלי בשנת 2011 היא לא המסעדה האהובה עלי כיום.

גוגל עשתה את הצעד הראשון בגישה התנהגותית זו באמצעות Smart Lock לטאבלטים ומכשירי Chromebook. אם אתה מי שאתה אומר שאתה, כנראה שהטלפון שלך קרוב אליך. אפל באמת הפילה את הכדור עם האק iCloud, מה שמאפשר לאלפי ניסיונות מאותה כתובת IP.

במקום להבין לאיזה שיר אנו רוצים להאזין, אני רוצה שהמכשירים האלה יגן על זהותי בכמה אופנים.

1. אתה יודע איפה אני: עם ה- GPS של הטלפון הנייד שלי, הוא יודע את מיקומי. זה אמור להיות מסוגל להגיד למכשירים האחרים שלי "היי, זה מגניב, תן לו להיכנס." אם אני משוטט בטימבוקטו, אסור לך באמת לסמוך על הסיסמה שלי ואולי אפילו בגורם השני שלי.
2. אתה יודע מה אני עושה: אתה יודע כשאני מתחבר ועם מה, אז הגיע הזמן לשאול אותי עוד כמה שאלות. "אני מצטער דייב, אני לא יכול לעשות את זה" צריכה להיות התשובה כשאני בדרך כלל לא מבקש ממך לפתוח את דלתות הפוד ביי.
3. אתה יודע לאמת אותי: "הקול שלי הוא הדרכון שלי, אמת אותי." לא, כל אחד יכול להעתיק את זה. במקום זאת, שאל אותי שאלות שקל לי לענות ולזכור, אך קשה למצוא באינטרנט. יכול להיות שקל למצוא את שם הנעורים של אמי, אבל איפה אכלתי ארוחת צהריים בשבוע שעבר עם אמא (לא תראו את לוח השנה שלי). היכן שפגשתי את אהובתי מהתיכון הוא קל לנחש, אבל איזה סרט שראיתי בשבוע שעבר לא קל למצוא (פשוט בדוק את קבלות הדוא"ל שלי).
4. אתה יודע איך אני נראה: פייסבוק יכולה לזהות אותי על ידי אחורי בראשי ומאסטרקארד יכול לזהות את הפרצוף שלי. אלה דרכים טובות יותר לאמת מי אני.

אני יודע שמעט מאוד חברות מיישמות פתרונות כאלה, אבל זה לא אומר שאני לא יכולה לתאוות אותם. לפני שאתה מתלונן - כן ניתן לפרוץ אותם. הבעיה עבור ההאקרים תהיה לדעת באיזה מערך אמצעים משניים ששירות מקוון משתמש. זה יכול לשאול שאלה יום אחד, אבל קח סלולרי למחרת.

אפל עושה דחיפה גדולה לשמירה על פרטיותי ואני מעריכה זאת. עם זאת, ברגע שמזהה Apple שלי מחובר, הגיע הזמן שסירי מגן עלי באופן יזום. גם גוגל עכשיו וקורטנה יכולים לעשות זאת. אולי מישהו כבר מפתח את זה, וגוגל עושה כמה צעדים בתחום הזה, אבל אנחנו צריכים את זה עכשיו! עד זמן כזה אנו צריכים להיות ערניים יותר בהגנה על הדברים שלנו. חפש כמה רעיונות לשבוע הבא.