Adgangskoder er ødelagte: Der er en bedre måde at autentificere brugere

Hver uge ser det ud til, at vi læser historier om, at virksomheder og websteder bliver kompromitteret, og at forbrugerdata stjæles. For mange af os er de værste indbrud, når adgangskoder stjæles. Det LastPass Hack at være et af de nyere angreb. På måske måder er det en form for digital terrorisme, der kun vokser. To-faktor godkendelse og biometri er gode opdateringer til problemet, men de ignorerer de grundlæggende problemer i forbindelse med loginhåndtering. Vi har værktøjerne til at løse problemet, men de er ikke blevet anvendt korrekt.

Hvorfor vi tager vores sko af i USA, men ikke i Israel

Alle, der er fløjet i USA, kender til TSA-sikkerhed. Vi tager vores frakker af, undgår væsker og tager vores sko, inden vi går gennem sikkerhed. Vi har en no-fly-liste baseret på navne. Dette er reaktioner på specifikke trusler. Det er ikke sådan, et land som Israel gør sikkerhed. Jeg har ikke fløjet El-Al (Israels nationale flyselskaber), men venner fortæller mig om de interviews, de gennemgår i sikkerhed. Sikkerhedsofficerne koder trusler baseret på

personlige egenskaber og adfærd.

Vi tager TSA-metoden til online-konti, og det er derfor, vi har alle sikkerhedsproblemer. To-faktor godkendelse er en start. Men når vi tilføjer en anden faktor til vores konti, bliver vi sluppet ind i en falsk følelse af sikkerhed. Den anden faktor beskytter mod, at nogen stjæler mit kodeord - en bestemt trussel. Kan min anden faktor blive kompromitteret? Jo da. Min telefon kunne blive stjålet, eller malware kan gå på kompromis med min anden faktor.

The Human Factor: Social Engineering

Selv med to-faktor tilgange har mennesker stadig evnen til at tilsidesætte sikkerhedsindstillinger. For et par år tilbage overbeviste en flittig hacker Apple om at nulstille forfatterens Apple ID. Kom så far blev narret til at vende et domænenavn der muliggjorde en Twitter-overtagelse. Min identitet var tilfældigt fusioneret med en anden Dave Greenbaum på grund af en menneskelig fejl hos MetLife. Denne fejl resulterede næsten i, at jeg annullerede den anden Dave Greenbaums bolig- og bilforsikring.

Selv hvis et menneske ikke tilsidesætter en indstilling med to faktorer, er det andet token bare en anden hindring for angriberen. Det er et spil for en hacker. Hvis jeg ved, når du logger ind i din Dropbox, at jeg har brug for en tilladelseskode til, så skal jeg bare hente den kode fra dig. Hvis jeg ikke får dine tekstmeddelelser rettet til mig (SIM-hack nogen?), Jeg er bare nødt til at overbevise dig om at frigive denne kode til mig. Dette er ikke raketvidenskab. Kunne jeg overbevise dig om at give den kode tilbage? Eventuelt. Vi stoler mere på vores telefoner end vores computere. Derfor falder folk for ting som en falsk iCloud login-meddelelse.

En anden sand historie, der skete for mig to gange. Mit kreditkortselskab bemærkede mistænksom aktivitet og ringede til mig. Store! Det er en adfærdsbaseret tilgang, jeg vil tale om senere. De bad mig dog om at give mit fulde kreditkortnummer over telefonen med et opkald, jeg ikke foretog. De var chokeret. Jeg nægtede at give dem nummeret. En manager fortalte mig, at de sjældent får klager fra kunder. De fleste opkaldere overleverer kun kreditkortnummeret. Av. Det kunne have været enhver uærlig person i den anden ende, der prøvede at få mine personlige data.

Adgangskoder beskytter ikke os

Vi har for mange adgangskoder i vores liv for mange steder. Medium har allerede slet af med adgangskoder. De fleste af os ved, at vi skal have en unik adgangskode til hvert websted. Denne tilgang er alt for meget til at bede om vores tunge jordiske hjerner, der lever et fuldt og rig digitalt live. Adgangskodeadministratorer (analog eller digital) hjælper med at forhindre afslappede hackere, men ikke et sofistikeret angreb. Heck, hackere har ikke engang brug for adgangskoder for at få adgang til vores individuelle konti. De bryder bare ind i databaserne, der gemmer informationen (Sony, Target, Federal Government).

Tag en lektion fra kreditkortselskaberne

Selvom algoritmerne måske er lidt væk, har kreditfirmaer den rigtige idé. De ser på vores købsmønstre og placering for at vide, om det er du, der bruger dit kort. Hvis du køber gas i Kansas og derefter køber en dragt i London, er det et problem.

Hvorfor kan vi ikke anvende dette på vores onlinekonti? Nogle virksomheder tilbyder advarsler fra udenlandske IP'er (kudos til LastPass til udlejning af brugere indstil foretrukne lande til adgang). Hvis min telefon, computer, tablet og wrist-enhed alle er i Kansas, skal jeg få besked, hvis der er adgang til min konto et andet sted. I det mindste bør disse virksomheder stille mig et par yderligere spørgsmål, før de antager, at jeg er den, jeg siger, at jeg er. Denne gatekeeping er især nødvendig for Google-, Apple- og Facebook-konti, der autentificerer til andre konti af OAuth. Google og Facebook advarsler for usædvanlig aktivitet, men de er normalt kun en advarsel, og advarsler er ikke beskyttelse. Mit kreditkortselskab siger nej til transaktionen, indtil de har bekræftet, hvem jeg er. De siger bare ikke “Hej… troede du skulle vide”. Mine online-konti skal ikke advare, de skal blokere for usædvanlig aktivitet. Den nyeste twist til kreditkortsikkerhed er ansigtsgenkendelse. Selvfølgelig kan nogen tage sig tid til at prøve at duplikere dit ansigt, men kreditkortselskaber ser ud til at arbejde hårdere for at beskytte os.

Vores smarte assistenter (og enheder) er et bedre forsvar

Siri, Alexa, Cortana og Google kender en masse ting om os. De forudsiger intelligent, hvor vi skal hen, hvor vi har været og hvad vi kan lide. Disse assistenter kæmmer vores fotos for at organisere vores ferier, husk, hvem vores venner er, og endda den musik, vi kan lide. Det er uhyggeligt på et niveau, men meget nyttigt i vores daglige liv. Hvis dine Fitbit-data kan bruges i en domstol, kan de også være det bruges til at identificere dig.

Når du opretter en online-konto, stiller virksomheder dig stumme udfordringsspørgsmål som navnet på din gymnasiekæreste eller din tredje klasselærer. Vores minder er ikke så bundsolid som en computer. Disse spørgsmål kan ikke understøttes for at bekræfte vores identitet. Jeg har været låst for konti før, fordi min favorit restaurant i 2011 ikke er min favorit restaurant i dag.

Google har taget det første skridt i denne adfærdsmæssige tilgang med Smart Lock til tabletter og Chromebooks. Hvis du er den, du siger, du er, så har du sandsynligvis din telefon i nærheden. Apple tabte virkelig bolden med iCloud-hacket, der tillader tusinder af forsøg fra den samme IP-adresse.

I stedet for at finde ud af, hvilken sang vi vil lytte til næste gang, vil jeg have, at disse enheder beskytter min identitet på et par måder.

1. Du ved, hvor jeg er: Med min mobiltelefons GPS kender den min placering. Det skal være i stand til at fortælle mine andre enheder "Hej, det er cool, lad ham komme ind." Hvis jeg er i Timbuktu-roaming, skal du ikke rigtig stole på min adgangskode og muligvis endda min anden faktor.
2. Ved du hvad jeg gør: Du ved, når jeg logger ind og med hvad, så det er tid til at stille mig et par spørgsmål til. ”Jeg er ked af Dave, det kan jeg ikke” burde være svaret, når jeg normalt ikke beder dig om at åbne døre til pod-bugten.
3. Du ved, hvordan du bekræfter mig: ”Min stemme er mit pas, bekræft mig.” Nej, nogen kan kopiere det. Stil i stedet spørgsmål, som det er let for mig at besvare og huske, men som er svært at finde på Internettet. Min mors pigenavn er måske let at finde, men hvor jeg spiste frokost i sidste uge med mor er det ikke (se på min kalender). Hvor jeg mødte min highschool-kæreste er let at gætte, men hvilken film jeg så i sidste uge er ikke let at finde (bare kontrollere mine e-mail-kvitteringer).
4. Du ved, hvordan jeg ser ud: Facebook kan genkende mig ved bag på mit hoved og Mastercard kan registrere mit ansigt. Dette er bedre måder at verificere, hvem jeg er.

Jeg ved, at meget få virksomheder implementerer løsninger som dette, men det betyder ikke, at jeg ikke kan begjære dem. Før du klager - ja, disse kan blive hacket. Problemet for hackerne vil være at vide, hvilke sæt sekundære foranstaltninger en onlinetjeneste bruger. Det stiller måske et spørgsmål den ene dag, men tag en selfie den næste.

Apple laver et stort skub for at beskytte mit privatliv, og det værdsætter jeg. Når først mit Apple ID er logget ind, er det imidlertid tid, Siri beskytter mig proaktivt. Google Nu og Cortana kan også gøre det. Måske udvikler nogen allerede dette, og Google gør nogle skridt på dette område, men vi har brug for det nu! Indtil dette tidspunkt er vi nødt til at være lidt mere opmærksomme på at beskytte vores ting. Kig efter nogle ideer til det næste uge.