Passwörter sind defekt Es gibt eine bessere Möglichkeit, Benutzer zu authentifizieren
Foto von polomex - http://flic.kr/p/cCzxju
Warum ziehen wir unsere Schuhe in den Vereinigten Staaten aus, aber nicht in Israel?
Jeder, der in den Vereinigten Staaten geflogen ist, kennt die TSA-Sicherheit. Wir ziehen unsere Mäntel aus, vermeiden Flüssigkeiten und ziehen die Schuhe aus, bevor wir die Sicherheitskontrolle durchlaufen. Wir haben eine No-Fly-Liste basierend auf Namen. Dies sind Reaktionen auf bestimmte Bedrohungen. So macht ein Land wie Israel Sicherheit nicht. Ich bin nicht mit El-Al (Israels nationalen Fluggesellschaften) geflogen, aber Freunde erzählen mir von den Interviews, die sie in Sicherheit durchlaufen. Die Sicherheitsbeauftragten codieren Bedrohungen auf der Grundlage persönlicher Merkmale und Verhaltensweisen.
Foto von Ben Popken
Wir verfolgen den TSA-Ansatz für Online-Konten. Deshalb haben wir alle Sicherheitsprobleme. Die Zwei-Faktor-Authentifizierung ist ein Anfang. Wenn wir jedoch unseren Konten einen zweiten Faktor hinzufügen, werden wir in ein falsches Sicherheitsgefühl eingespannt. Dieser zweite Faktor schützt vor jemandem, der mein Passwort stiehlt - eine bestimmte Bedrohung. Könnte mein zweiter Faktor beeinträchtigt werden? Sicher. Mein Telefon könnte gestohlen werden oder Malware könnte meinen zweiten Faktor beeinträchtigen.
Der menschliche Faktor: Social Engineering
Foto von Kevin Baird
Selbst mit Zwei-Faktoren-Ansätzen können Menschen Sicherheitseinstellungen überschreiben. Vor ein paar Jahren überzeugte ein fleißiger Hacker Apple, die Apple-ID eines Schriftstellers zurückzusetzen. GoDaddy wurde dazu verleitet, einen Domainnamen umzuwandeln, der die Übernahme eines Twitter-Kontos ermöglichte. Meine Identität wurde versehentlich mit einem anderen Dave Greenbaum aufgrund eines menschlichen Fehlers bei MetLife zusammengeführt. Dieser Fehler hätte beinahe dazu geführt, dass ich die Haus- und Autoversicherung des anderen Dave Greenbaums annullierte.
Selbst wenn ein Mensch keine Zwei-Faktor-Einstellung überschreibt, ist dieses zweite Zeichen nur eine weitere Hürde für den Angreifer. Es ist ein Spiel für einen Hacker. Wenn ich weiß, wenn Sie sich bei Ihrer Dropbox anmelden, für den ich einen Autorisierungscode benötige, muss ich nur diesen Code von Ihnen erhalten. Wenn Ihre SMS nicht an mich gerichtet werden (SIM-Hack jemand?), Muss ich Sie nur davon überzeugen, diesen Code für mich freizugeben. Das ist keine Raketenwissenschaft. Könnte ich Sie überzeugen, diesen Code zurückzugeben? Möglicherweise. Wir vertrauen unseren Handys mehr als unseren Computern. Deshalb fallen die Leute auf Dinge wie eine falsche iCloud-Anmeldungsnachricht.
Eine andere wahre Geschichte, die mir zweimal passiert ist. Mein Kreditkartenunternehmen bemerkte verdächtige Aktivitäten und rief mich an. Großartig! Das ist ein verhaltensbasierter Ansatz, über den ich später sprechen werde. Sie baten mich jedoch, meine vollständige Kreditkartennummer telefonisch mit einem Anruf anzugeben, den ich nicht tätigte. Sie waren geschockt, dass ich ihnen die Nummer verweigert hatte. Ein Manager sagte mir, dass sie selten Beschwerden von Kunden bekommen. Die meisten Anrufer übergeben nur die Kreditkartennummer. Autsch. Das könnte eine ruchlose Person sein, die am anderen Ende versuchte, meine persönlichen Daten zu erhalten.
Kennwörter schützen uns nicht
Foto von ditatompel
Wir haben zu viele Passwörter in unserem Leben an zu vielen Orten. Medium wurde bereits von Passwörtern befreit. Die meisten von uns wissen, dass wir für jede Site ein eindeutiges Passwort haben sollten. Diese Herangehensweise ist viel zu viel, als dass wir von unseren winzigen, erdigen Gehirnen ein volles und reiches digitales Leben erwarten könnten. Passwort-Manager (analog oder digital) verhindern gelegentliche Hacker, jedoch keinen raffinierten Angriff. Die Hacker brauchen nicht einmal Passwörter, um auf unsere individuellen Konten zuzugreifen. Sie brechen einfach in die Datenbanken ein, in denen die Informationen gespeichert sind (Sony, Target, Bundesregierung)..
Nehmen Sie eine Lektion von den Kreditkartenunternehmen
Auch wenn die Algorithmen ein wenig abgeneigt sind, haben Kreditfirmen die richtige Idee. Sie schauen sich unsere Kaufmuster und den Standort an, um zu erfahren, ob Sie Ihre Karte verwenden. Wenn Sie in Kansas Gas kaufen und dann in London einen Anzug kaufen, ist das ein Problem.
Foto von kozumel
Warum können wir das nicht auf unsere Online-Konten anwenden? Einige Unternehmen bieten Warnungen von ausländischen IPs an (Lob an LastPass, damit Benutzer bevorzugte Länder für den Zugriff festlegen können). Wenn sich mein Telefon, mein Computer, mein Tablet und mein Handgelenkgerät in Kansas befinden, sollte ich benachrichtigt werden, wenn auf mein Konto anderswo zugegriffen wird. Zumindest sollten diese Unternehmen mir ein paar zusätzliche Fragen stellen, bevor sie davon ausgehen, dass ich derjenige bin, von dem ich sage, dass ich bin. Dieses Gatekeeping ist insbesondere für Google-, Apple- und Facebook-Konten erforderlich, die sich bei OAuth für andere Konten authentifizieren. Google und Facebook geben Warnungen für ungewöhnliche Aktivitäten aus. Meist handelt es sich jedoch lediglich um eine Warnung. Warnungen sind kein Schutz. Mein Kreditkartenunternehmen sagt Nein zu der Transaktion, bis sie überprüft, wer ich bin. Sie sagen einfach nicht "Hey ... ich dachte du solltest es wissen". Meine Online-Konten sollten nicht warnen, sie sollten für ungewöhnliche Aktivitäten blockieren. Die neueste Variante der Kreditkarten-Sicherheit ist die Gesichtserkennung. Sicher, jemand kann sich die Zeit nehmen, um sein Gesicht zu kopieren, aber Kreditkartenunternehmen scheinen härter zu arbeiten, um uns zu schützen.
Unsere intelligenten Assistenten (und Geräte) sind eine bessere Verteidigung
Foto von Foomandoonian
Siri, Alexa, Cortana und Google wissen eine Menge Zeug über uns. Sie sagen intelligent voraus, wohin wir gehen, wo wir waren und was uns gefällt. Diese Assistenten kämmen unsere Fotos, um unsere Ferien zu organisieren, erinnern sich, wer unsere Freunde sind, und sogar die Musik, die wir mögen. Es ist auf einer Ebene unheimlich, aber sehr nützlich in unserem täglichen Leben. Wenn Ihre Fitbit-Daten gerichtlich verwendet werden können, können Sie auch dazu verwendet werden, Sie zu identifizieren.
Wenn Sie ein Online-Konto einrichten, stellen Unternehmen Ihnen stumme Fragen wie den Namen Ihres Highschool-Schülers oder Ihren Lehrer in der dritten Klasse. Unsere Erinnerungen sind nicht so robust wie ein Computer. Diese Fragen können nicht zur Bestätigung unserer Identität herangezogen werden. Ich wurde zuvor von Konten gesperrt, weil mein Lieblingsrestaurant im Jahr 2011 heute beispielsweise nicht mein Lieblingsrestaurant ist.
Google hat mit Smart Lock für Tablets und Chromebooks den ersten Schritt in diesem Verhaltensansatz getan. Wenn Sie derjenige sind, von dem Sie sagen, Sie seien Sie, dann haben Sie wahrscheinlich Ihr Telefon in Ihrer Nähe. Apple ließ den Ball mit dem iCloud-Hack wirklich fallen und erlaubte Tausende von Versuchen von derselben IP-Adresse aus.
Anstatt herauszufinden, welchen Song wir als nächstes hören möchten, möchte ich, dass diese Geräte meine Identität auf verschiedene Weise schützen.
- Sie wissen, wo ich bin: Mit dem GPS meines Handys weiß es meinen Standort. Es sollte in der Lage sein, meinen anderen Geräten zu sagen: "Hey, es ist cool, lass ihn rein." Wenn ich in Timbuktu unterwegs bin, sollten Sie meinem Passwort nicht wirklich vertrauen und möglicherweise sogar meinem zweiten Faktor.
- Sie wissen, was ich mache: Sie wissen, wann ich mich anmelde und womit, also ist es Zeit, mir noch ein paar Fragen zu stellen. "Es tut mir leid, Dave, das kann ich nicht tun", sollte die Antwort sein, wenn ich Sie normalerweise nicht auffordere, die Pod-Bay-Türen zu öffnen.
- Sie wissen, wie Sie mich verifizieren können: „Meine Stimme ist mein Pass, verifizieren Sie mich.“ Nein, jeder kann das kopieren. Fragen Sie mir stattdessen Fragen, die leicht zu beantworten und zu merken sind, aber im Internet schwer zu finden sind. Der Mädchenname meiner Mutter mag leicht zu finden sein, aber wo ich letzte Woche mit Mom zu Mittag gegessen habe, ist es nicht (siehe Kalender). Wo ich meine Highschool-Freundin getroffen habe, ist leicht zu erraten, aber welcher Film, den ich letzte Woche gesehen habe, ist nicht leicht zu finden (überprüfen Sie einfach meine E-Mail-Quittungen)..
- Sie wissen, wie ich aussehe: Facebook erkennt mich am Hinterkopf und Mastercard erkennt mein Gesicht. Dies sind bessere Möglichkeiten, um zu überprüfen, wer ich bin.
Ich weiß, dass nur wenige Unternehmen solche Lösungen implementieren, aber das bedeutet nicht, dass ich sie nicht begehren kann. Bevor Sie sich beschweren, ja, diese können gehackt werden. Das Problem für die Hacker besteht darin zu wissen, welche sekundären Maßnahmen ein Onlinedienst verwendet. Es könnte eine Frage an einem Tag stellen, aber nehmen Sie am nächsten ein Selfie.
Apple unternimmt große Anstrengungen, um meine Privatsphäre zu schützen, und das weiß ich zu schätzen. Sobald meine Apple-ID angemeldet ist, schützt Siri mich proaktiv. Google Now und Cortana können das auch. Vielleicht entwickelt dies bereits jemand, und Google macht in diesem Bereich einige Fortschritte, aber wir brauchen das jetzt! Bis zu diesem Zeitpunkt müssen wir unsere Sachen ein wenig wachsamer schützen. Suchen Sie nach ein paar Ideen dazu nächste Woche.
