Parolalar Bozuldu: Kullanıcıların Kimliğini Doğrulamanın Daha İyi Bir Yolu Var

Her hafta, tehlikeye atılan ve tüketici verilerinin çalındığı şirketlerin ve web sitelerinin hikayelerini okuyoruz. Birçoğumuz için en kötü girişler parolaların çalındığı zamandır. LastPass Hack daha yeni saldırılardan biri olmak. Belki de büyüyen bir dijital terörizm biçimidir. İki faktörlü kimlik doğrulama ve biyometri sorun için güzel yamalar, ancak giriş yönetimi ile ilgili temel sorunları görmezden geliyorlar. Sorunu çözecek araçlarımız var, ancak bunlar doğru şekilde uygulanmadı.

Neden Ayakkabılarımızı Birleşik Devletler'de Çıkartıyoruz ama İsrail'de Çıkmıyoruz

Amerika Birleşik Devletleri'nde uçanlar TSA güvenliğini biliyor. Güvenlikten geçmeden önce paltolarımızı çıkarırız, sıvıları önleriz ve ayakkabılarımızı çıkarırız. İsimlere dayalı uçuşa hazır bir listemiz var. Bunlar belirli tehditlere verilen tepkilerdir. İsrail gibi bir ülkenin güvenliği bu şekilde değil. El-Al'ı (İsrail'in ulusal havayolları) uçurmadım, ama arkadaşlar bana güvenlik içinde yaptıkları röportajları anlatıyor. Güvenlik görevlileri tehditleri

kişisel özellikler ve davranışlar.

Çevrimiçi hesaplara TSA yaklaşımını uyguluyoruz ve bu yüzden tüm güvenlik sorunlarımız var. İki faktörlü kimlik doğrulama bir başlangıçtır. Ancak hesaplarımıza ikinci bir faktör eklediğimizde, yanlış bir güvenlik hissine kapıldık. Bu ikinci faktör şifremi çalan birine karşı koruma sağlar - belirli bir tehdit. İkinci faktörüm tehlikeye girebilir mi? Elbette. Telefonum çalınabilir veya kötü amaçlı yazılım ikinci faktörümden ödün verebilir.

İnsan Faktörü: Sosyal Mühendislik

İki faktörlü yaklaşımlarla bile, insanlar hala güvenlik ayarlarını geçersiz kılabilir. Birkaç yıl önce, çalışkan bir hacker, Apple'ı bir yazarın Apple Kimliğini sıfırlamaya ikna etti. GoDaddy kandırıldı Twitter hesabının devralınmasını sağlayan bir alan adını tersine çevirmek. Kimliğim yanlışlıkla başka bir Dave Greenbaum ile birleşti MetLife'taki bir insan hatası yüzünden. Bu hata neredeyse diğer Dave Greenbaum'un ev ve oto sigortasını iptal etmeme neden oldu.

Bir insan iki faktörlü bir ayarı geçersiz kılmasa bile, ikinci belirteç saldırgan için başka bir engeldir. Bir bilgisayar korsanı oyunu. Dropbox'ınıza giriş yaptığınızda bir yetkilendirme koduna ihtiyacım olduğunu biliyorsanız, tek yapmam gereken bu kodu sizden almak. Metin mesajlarınızı bana yöneltmezsem (SIM kart kesmek?), Sadece bu kodu bana bırakmaya ikna etmem gerekiyor. Bu roket bilimi değil. Seni bu kodu geri vermeye ikna edebilir miyim? Muhtemelen. Telefonlarımıza bilgisayarlarımızdan daha fazla güveniyoruz. Bu yüzden insanlar sahte iCloud giriş mesajı.

İki kez başıma gelen başka bir gerçek hikaye. Kredi kartı şirketim şüpheli bir etkinlik fark etti ve beni aradı. Harika! Daha sonra bahsedeceğim davranışa dayalı bir yaklaşım. Ancak, yapmadığım bir çağrı ile tam kredi kartı numaramı telefon üzerinden vermemi istediler. Şok oldular onlara numarayı vermeyi reddettim. Bir yönetici nadiren müşterilerden şikayet almak söyledi. Çoğu arayan sadece kredi kartı numarasını verir. Ahh. Diğer taraftan kişisel verilerimi almaya çalışan herhangi bir hain kişi olabilir.

Şifreler Bizi Korumıyor

Hayatımızda çok fazla yerde çok fazla şifre var. Ortam zaten var şifrelerden kurtuldu. Birçoğumuz, her site için benzersiz bir şifre almamız gerektiğini biliyoruz. Bu yaklaşım, dolu ve zengin bir dijital canlı yaşayan cılız dünyevi beyinlerimizi sormak için çok fazla. Şifre yöneticileri (analog veya dijital) sıradan bilgisayar korsanlarının önlenmesine yardımcı olur, ancak karmaşık bir saldırıya neden olmaz. Heck, bilgisayar korsanlarının bireysel hesaplarımıza erişmek için şifreye bile ihtiyacı yok. Sadece bilgileri depolayan veritabanlarına girerler (Sony, Target, Federal Hükümet).

Kredi Kartı Şirketlerinden Ders Alın

Algoritmalar biraz uzakta olsa da, kredi şirketleri doğru fikre sahiptir. Kartınızı kullanıp kullanmadığınızı öğrenmek için satın alma modellerimize ve konumumuza bakarlar. Kansas'ta gaz alıp Londra'da bir takım elbise satın alırsanız, bu bir problemdir.

Bunu çevrimiçi hesaplarımıza neden uygulayamıyoruz? Bazı şirketler yabancı IP'lerden uyarılar (kullanıcıların izin vermesi için LastPass'tan kudoslara) erişim için tercih edilen ülkeleri ayarlama). Telefonum, bilgisayarım, tabletim ve bilek cihazım Kansas'taysa, hesabım başka bir yere erişiliyorsa bana bildirilmelidir. En azından, bu şirketler söylediğim kişi olduğumu varsaymadan önce bana birkaç soru daha sormalılar. Bu ağ geçidi işlemi özellikle OAuth tarafından diğer hesaplarda kimlik doğrulaması yapan Google, Apple ve Facebook hesapları için gereklidir. Google ve Facebook olağandışı etkinlik için uyarılar verin, ancak bunlar genellikle yalnızca bir uyarıdır ve uyarılar koruma değildir. Kredi kartı şirketim kim olduğumu doğrulayana kadar işleme hayır diyor. Sadece “Hey… bilmen gerektiğini düşündüm” demiyorlar. Çevrimiçi hesaplarım uyarılmamalı, olağandışı etkinlik için engellemeliler. Kredi kartı güvenliğinde en yeni değişiklik, yüz tanıma. Tabii, birisi yüzünüzü çoğaltmaya çalışmak için zaman alabilir, ancak kredi kartı şirketleri bizi korumak için daha fazla çalışıyor gibi görünüyor.

Akıllı Asistanlarımız (ve Cihazlarımız) Daha İyi Bir Savunma

Siri, Alexa, Cortana ve Google hakkımızda bir sürü şey biliyorlar. Nereye gittiğimizi, nerede olduğumuzu ve neyi sevdiğimizi akıllıca tahmin ediyorlar. Bu asistanlar, tatillerimizi düzenlemek, arkadaşlarımızın kim olduğunu ve hatta sevdiğimiz müziği hatırlamak için fotoğraflarımızı tararlar. Bir düzeyde ürkütücü, ancak günlük yaşamımızda çok yararlı. Fitbit verileriniz bir mahkemede kullanılabilirse, seni tanımlamak için kullanılır.

Çevrimiçi bir hesap oluştururken, şirketler size lise sevgilinizin adı veya üçüncü sınıf öğretmeniniz gibi aptalca meydan okuma soruları sorar. Anılarımız bilgisayar kadar sağlam değil. Bu sorular kimliğimizi doğrulamak için kullanılamaz. Daha önce hesaplarımın dışında kaldım çünkü 2011'deki favori restoranım bugün favori restoranım değil.

Google, Tabletler ve Chromebook'lar için Smart Lock ile bu davranışsal yaklaşımın ilk adımını attı. Eğer olduğunuzu söylediğiniz kişi sizseniz, muhtemelen telefonunuz size yakındır. Apple gerçekten iCloud kesmekle topu düşürdü, aynı IP adresinden binlerce denemeye izin verir.

Daha sonra hangi şarkıyı dinlemek istediğimizi bulmak yerine, bu cihazların kimliğimi birkaç şekilde korumasını istiyorum.

1. Nerede olduğumu biliyorsun: Cep telefonumun GPS özelliği ile konumumu biliyor. Diğer aygıtlarıma “Hey, çok iyi, içeri gir.” Diyebilmeli. Timbuktu dolaşımındaysanız, şifreme ve hatta ikinci faktöre gerçekten güvenmemelisiniz.
2. Ne yaptığımı biliyorsun: Ne zaman ve ne ile giriş yaptığımı biliyorsun, bu yüzden bana birkaç soru sorma zamanı geldi. “Üzgünüm Dave, bunu yapamam”, normalde pod bölmesi kapılarını açmanızı istemediğimde cevap olmalı.
3. Beni nasıl doğrulayacağınızı biliyorsunuz: "Sesim pasaportum, beni doğrula." Hayır, herkes bunu kopyalayabilir. Bunun yerine, cevaplamam ve hatırlamam kolay, ancak internette bulması zor sorular sor. Annemin kızlık soyadı bulmak kolay olabilir, ancak annemle geçen hafta öğle yemeği yediğim yer (takvimime bak) değil. Lise sevgilimle tanıştığım yer tahmin etmek kolay, ancak geçen hafta gördüğüm filmi bulmak kolay değil (sadece e-posta makbuzlarımı kontrol edin).
4. Neye benzediğimi biliyorsun: Facebook beni tanıyabilir kafamın arkası ve Mastercard yüzümü algılayabilir. Bunlar kim olduğumu doğrulamanın daha iyi yolları.

Çok az şirketin böyle çözümler uyguladığını biliyorum, ama bu onlara karşı çıkamayacağım anlamına gelmiyor. Şikayet etmeden önce-evet bunlar hacklenebilir. Bilgisayar korsanları için sorun, bir çevrimiçi hizmetin hangi ikincil önlem kümesini kullandığını bilmek olacaktır. Bir gün bir soru sorabilir ama ertesi gün bir selfie alın.

Apple gizliliğimi korumak için büyük bir çaba harcıyor ve bunu takdir ediyorum. Ancak, Apple Kimliğim giriş yaptıktan sonra Siri'nin beni proaktif bir şekilde koruma zamanı geldi. Google Asistan ve Cortana da bunu yapabilir. Belki birisi bunu zaten geliştiriyor ve Google bu alanda bazı adımlar atıyor, ancak şimdi buna ihtiyacımız var! Bu zamana kadar, eşyalarımızı korumak için biraz daha uyanık olmalıyız. Gelecek hafta bununla ilgili bazı fikirler arayın.