Le password sono rotte C'è un modo migliore per autenticare gli utenti
Foto di polomex - http://flic.kr/p/cCzxju
Perché togliamo le scarpe negli Stati Uniti ma non in Israele
Chiunque abbia volato negli Stati Uniti sa della sicurezza della TSA. Ci togliamo i cappotti, evitiamo i liquidi e ci togliamo le scarpe prima di passare attraverso la sicurezza. Abbiamo una lista di non volo basata sui nomi. Queste sono reazioni a minacce specifiche. Questo non è il modo in cui un paese come Israele fa la sicurezza. Non ho volato El-Al (le compagnie aeree nazionali israeliane), ma gli amici mi raccontano le interviste che hanno fatto in sicurezza. Gli agenti della sicurezza codificano le minacce in base a caratteristiche e comportamenti personali.
Foto di Ben Popken
Stiamo adottando l'approccio TSA agli account online ed è per questo che abbiamo tutti i problemi di sicurezza. L'autenticazione a due fattori è un inizio. Tuttavia, quando aggiungiamo un secondo fattore ai nostri account, siamo cullati da un falso senso di sicurezza. Questo secondo fattore protegge da qualcuno che ruba la mia password, una minaccia specifica. Il mio secondo fattore potrebbe essere compromesso? Sicuro. Il mio telefono potrebbe essere rubato o il malware potrebbe compromettere il mio secondo fattore.
Il fattore umano: ingegneria sociale
Foto di Kevin Baird
Anche con approcci a due fattori, gli umani hanno ancora la possibilità di ignorare le impostazioni di sicurezza. Qualche anno fa, un industrioso hacker ha convinto Apple a reimpostare l'ID Apple di uno scrittore. GoDaddy è stato indotto a trasformare un nome di dominio che consentiva l'acquisizione dell'account Twitter. La mia identità è stata accidentalmente unita a un altro Dave Greenbaum a causa di un errore umano in MetLife. Questo errore mi ha quasi portato a cancellare la casa e l'assicurazione auto dell'altro Dave Greenbaum.
Anche se un umano non ha la precedenza su un'impostazione a due fattori, quel secondo segnalino è solo un altro ostacolo per l'attaccante. È un gioco per un hacker. Se so quando accedi al tuo Dropbox per il quale ho bisogno di un codice di autorizzazione, allora tutto quello che devo fare è ottenere quel codice da te. Se non ricevo i messaggi di testo indirizzati a me (SIM-hack chiunque?), Ho solo bisogno di convincerti a rilasciare quel codice per me. Questa non è scienza missilistica. Potrei convincerti a restituire quel codice? Possibilmente. Ci fidiamo dei nostri telefoni più dei nostri computer. Ecco perché le persone si innamorano di cose come un falso messaggio di login di iCloud.
Un'altra storia vera che mi è successa due volte. La mia compagnia di carte di credito ha notato attività sospette e mi ha chiamato. Grande! Questo è un approccio basato sul comportamento di cui parlerò in seguito. Comunque, mi hanno chiesto di dare il numero completo della mia carta di credito per telefono con una chiamata che non ho fatto. Sono rimasti scioccati e ho rifiutato di dare loro il numero. Un manager mi ha detto che raramente ricevono lamentele da parte dei clienti. La maggior parte dei chiamanti consegna semplicemente il numero della carta di credito. Ahia. Poteva essere una persona nefasta dall'altra parte cercando di ottenere i miei dati personali.
Le password non ci proteggono
Foto di ditatompel
Abbiamo troppe password nella nostra vita in troppi posti. Medium ha già eliminato le password. Molti di noi sanno che dovremmo avere una password unica per ogni sito. Questo approccio è troppo per chiedere ai nostri meschini cervelli terrestri di vivere una vita digitale piena e ricca. I gestori di password (analogici o digitali) aiutano a prevenire gli hacker occasionali, ma non un attacco sofisticato. Diamine, gli hacker non hanno nemmeno bisogno di password per accedere ai nostri account individuali. Si inseriscono nei database che archiviano le informazioni (Sony, Target, Governo federale).
Fai una lezione dalle compagnie di carte di credito
Anche se gli algoritmi potrebbero essere un po 'fuori, le società di credito hanno l'idea giusta. Guardano i nostri modelli di acquisto e posizione per sapere se stai usando la tua carta. Se comprate il gas in Kansas e poi comprate un abito a Londra, questo è un problema.
Foto di kozumel
Perché non possiamo applicarlo ai nostri account online? Alcune aziende offrono avvisi da IP stranieri (kudos a LastPass per consentire agli utenti di impostare i paesi preferiti per l'accesso). Se il mio telefono, computer, tablet e dispositivo da polso sono tutti in Kansas, allora dovrei ricevere una notifica se il mio account è accessibile da qualche altra parte. Per lo meno, queste compagnie dovrebbero chiedermi qualche altra domanda prima che assumano che io sia chi dico di essere. Questo gatekeeping è particolarmente necessario per gli account Google, Apple e Facebook che si autenticano su altri account di OAuth. Google e Facebook danno avvertimenti per attività insolite, ma di solito sono solo un avvertimento e gli avvertimenti non sono protezione. La mia compagnia di carte di credito dice no alla transazione fino a quando non verificheranno chi sono. Semplicemente non dicono "Ehi ... pensavo che dovresti saperlo". I miei account online non dovrebbero avvisare, dovrebbero bloccare attività insolite. La più recente svolta nella sicurezza delle carte di credito è il riconoscimento facciale. Certo, qualcuno può prendersi del tempo per cercare di duplicare la tua faccia, ma le compagnie di carte di credito sembrano lavorare di più per proteggerci.
I nostri assistenti intelligenti (e dispositivi) sono una difesa migliore
Foto di Foomandoonian
Siri, Alexa, Cortana e Google conoscono un sacco di cose su di noi. Prevedono in modo intelligente dove stiamo andando, dove siamo stati e cosa ci piace. Questi assistenti pettinano le nostre foto per organizzare le nostre vacanze, ricordano chi sono i nostri amici e anche la musica che ci piace. È inquietante su un livello, ma molto utile nella nostra vita quotidiana. Se i dati Fitbit possono essere utilizzati in tribunale, possono anche essere utilizzati per identificarti.
Quando crei un account online, le aziende ti chiedono domande stupide come il nome del tuo fidanzato o del tuo insegnante di terza elementare. I nostri ricordi non sono così solidi come un computer. Queste domande non possono essere fatte valere per verificare la nostra identità. Sono stato bloccato da account prima perché il mio ristorante preferito nel 2011 non è il mio ristorante preferito oggi, ad esempio.
Google ha fatto il primo passo in questo approccio comportamentale con Smart Lock per tablet e Chromebook. Se sei chi dici di essere, probabilmente hai il telefono vicino a te. Apple ha davvero abbandonato la palla con l'hack di iCloud, consentendo migliaia di tentativi dallo stesso indirizzo IP.
Invece di capire quale canzone vogliamo ascoltare, voglio che questi dispositivi proteggano la mia identità in pochi modi.
- Sai dove sono: Con il GPS del mio telefono cellulare, conosce la mia posizione. Dovrebbe essere in grado di dire ai miei altri dispositivi "Ehi, è bello, fagli entrare." Se sono in roaming con Timbuktu, non dovresti fidarti della mia password e forse anche del mio secondo fattore.
- Sai cosa faccio: sai quando accedo e con cosa, quindi è ora di farmi qualche altra domanda. "Mi dispiace, Dave, non posso farlo" dovrebbe essere la risposta quando di solito non ti chiedo di aprire le porte della baia del pod.
- Sai come verificarmi: "La mia voce è il mio passaporto, verifica me." No, chiunque può copiarlo. Invece, ponimi domande a cui è facile rispondere e ricordare, ma che è difficile trovare su Internet. Il nome da nubile di mia madre può essere facile da trovare, ma dove ho pranzato la scorsa settimana con mamma non lo è (guarda il mio calendario). Dove ho incontrato il mio fidanzato del liceo è facile da indovinare, ma quale film che ho visto la scorsa settimana non è facile da trovare (basta controllare le mie ricevute di posta elettronica).
- Sai cosa sembro: Facebook può riconoscermi dal retro della mia testa e Mastercard può rilevare la mia faccia. Questi sono modi migliori per verificare chi sono.
So che pochissime aziende stanno implementando soluzioni come questa, ma questo non significa che non possa desiderare per loro. Prima di lamentarti, sì, questi possono essere violati. Il problema per gli hacker sarà sapere quale serie di misure secondarie utilizza un servizio online. Potrebbe fare una domanda un giorno, ma fare un selfie il prossimo.
Apple sta facendo una grande spinta per proteggere la mia privacy e lo apprezzo. Tuttavia, una volta che il mio ID Apple ha effettuato l'accesso, è giunto il momento che Siri mi protegga in modo proattivo. Google Now e Cortana possono farlo anche tu. Forse qualcuno lo sta già sviluppando e Google sta facendo passi da gigante in questo settore, ma ora abbiamo bisogno di questo! Fino a quel momento, dobbiamo essere un po 'più vigili nel proteggere le nostre cose. Cerca alcune idee su quella settimana prossima.