Passord er ødelagte: Det er en bedre måte å autentisere brukere

Hver uke ser det ut til at vi leser historier om selskaper og nettsteder som blir kompromittert og at forbrukerdata blir stjålet. For mange av oss er de verste innbruddene når passord blir stjålet. De LastPass Hack å være et av de nyere angrepene. På mange måter er det en form for digital terrorisme som bare vokser. To-faktor autentisering og biometri er fine oppdateringer på problemet, men de ignorerer de grunnleggende problemene knyttet til påloggingsadministrasjon. Vi har verktøyene for å løse problemet, men de har ikke blitt brukt på riktig måte.

Hvorfor vi tar av oss skoene i USA, men ikke i Israel

Alle som er fløyet i USA vet om TSA-sikkerhet. Vi tar av oss strøkene, unngår væske og tar av oss skoene før vi går gjennom sikkerhet. Vi har en ikke-fly-liste basert på navn. Dette er reaksjoner på spesifikke trusler. Det er ikke slik et land som Israel gjør sikkerhet. Jeg har ikke fløyet El-Al (Israels nasjonale flyselskaper), men venner forteller meg om intervjuene de gjennomgår i sikkerhet. Sikkerhetsoffiserene koder trusler basert på

personlige egenskaper og atferd.

Vi tar TSA-tilnærmingen til online-kontoer, og det er derfor vi har alle sikkerhetsproblemene. To-faktor autentisering er en start. Likevel, når vi legger til en annen faktor til kontoene våre, blir vi sluppet inn i en falsk følelse av sikkerhet. Den andre faktoren beskytter mot at noen stjeler passordet mitt - en spesifikk trussel. Kan min andre faktor bli kompromittert? Sikker. Telefonen min kan bli stjålet eller malware kan gå ut over min andre faktor.

The Human Factor: Social Engineering

Selv med to-faktor tilnærminger, har mennesker fortsatt muligheten til å overstyre sikkerhetsinnstillingene. For noen år tilbake overbeviste en flittig hacker Apple om å tilbakestille forfatterens Apple ID. Gå pappa ble lurt til å snu et domenenavn som muliggjorde overtakelse av en Twitter-konto. Identiteten min var tilfeldigvis fusjonert med en annen Dave Greenbaum på grunn av en menneskelig feil hos MetLife. Denne feilen resulterte nesten i at jeg kansellerte bolig- og bilforsikringen til den andre Dave Greenbaum.

Selv om et menneske ikke overstyrer en tofaktor-innstilling, er det andre symbolet bare et hinder for angriperen. Det er et spill for en hacker. Hvis jeg vet når du logger på Dropboxen din at jeg trenger en autorisasjonskode til, så trenger jeg bare å få den koden fra deg. Hvis jeg ikke får tekstmeldingene dine rettet til meg (SIM-hacke hvem som helst?), Jeg trenger bare å overbevise deg om å gi ut den koden til meg. Dette er ikke rakettvitenskap. Kan jeg overbevise deg om å gi den koden tilbake? Muligens. Vi stoler på telefonene våre mer enn datamaskinene våre. Det er derfor folk faller for ting som a falske påloggingsmeldinger for iCloud.

En annen sann historie som skjedde meg to ganger. Kredittkortselskapet mitt la merke til mistenkelig aktivitet og ringte meg. Flott! Det er en atferdsbasert tilnærming jeg skal snakke om senere. Imidlertid ba de meg om å gi mitt fulle kredittkortnummer over telefonen med en samtale jeg ikke ringte. De ble sjokkerte. Jeg nektet å gi dem nummeret. En leder fortalte at de sjelden får klager fra kunder. De fleste som ringer bare overleverer kredittkortnummeret. Au. Det kan være en hvilken som helst ondskapsfull person i den andre enden som prøvde å skaffe meg personopplysninger.

Passord beskytter oss ikke

Vi har for mange passord i livet vårt for mange steder. Medium har allerede ble kvitt passord. De fleste av oss vet at vi bør ha et unikt passord for hvert nettsted. Denne tilnærmingen er altfor mye til å be om våre tunge jordiske hjerner som lever et fyldig og rikt digitalt liv. Passordledere (analog eller digital) bidra til å forhindre tilfeldige hackere, men ikke et sofistikert angrep. Pokker, hackerne trenger ikke engang passord for å få tilgang til våre individuelle kontoer. De bryter bare inn i databasene som lagrer informasjonen (Sony, Target, Federal Government).

Ta en leksjon fra kredittkortselskapene

Selv om algoritmene kanskje er litt av, har kredittbedrifter den rette ideen. De ser på kjøpemønsteret og plasseringen vår for å vite om det er du som bruker kortet ditt. Hvis du kjøper bensin i Kansas og deretter kjøper en dress i London, er det et problem.

Hvorfor kan vi ikke bruke dette på online-kontoene våre? Noen selskaper tilbyr varsler fra utenlandske IP-er (kudos til LastPass for å la brukere angi foretrukne land for tilgang). Hvis telefonen, datamaskinen, nettbrettet og håndleddet enheten er alle i Kansas, bør jeg varsles hvis kontoen min er tilgjengelig et annet sted. I det minste bør disse selskapene stille meg noen ekstra spørsmål før de antar at jeg er den jeg sier jeg er. Denne gatekeeping er spesielt nødvendig for Google-, Apple- og Facebook-kontoer som autentiserer til andre kontoer av OAuth. Google og Facebook gi advarsler for uvanlig aktivitet, men de er vanligvis bare en advarsel, og advarsler er ikke beskyttelse. Kredittkortselskapet mitt sier nei til transaksjonen før de har bekreftet hvem jeg er. De sier bare ikke “Hei… trodde du skulle vite det”. Mine online-kontoer skal ikke advare, de skal sperre for uvanlig aktivitet. Den nyeste vri på kredittkortsikkerhet er ansiktsgjenkjenning. Visst, noen kan ta seg tid til å prøve å duplisere ansiktet ditt, men kredittkortselskapene ser ut til å jobbe hardere for å beskytte oss.

Våre smarte assistenter (og enheter) er et bedre forsvar

Siri, Alexa, Cortana og Google vet mange ting om oss. De spår intelligent hvor vi skal, hvor vi har vært og hva vi liker. Disse assistentene kammer bildene våre for å organisere ferien, husk hvem vennene våre er og til og med musikken vi liker. Det er skummelt på ett plan, men veldig nyttig i hverdagen vår. Hvis Fitbit-dataene dine kan brukes i en domstol, kan det også være det brukes til å identifisere deg.

Når du setter opp en online-konto, stiller selskaper deg stumme utfordringsspørsmål som navnet på ungdomsskolen din eller læreren din i tredje klasse. Minnene våre er ikke så bunnsolid som en datamaskin. Disse spørsmålene kan ikke stole på for å bekrefte identiteten vår. Jeg har blitt sperret uten kontoer før fordi for eksempel favorittrestauranten min i 2011 ikke er favorittrestauranten min i dag.

Google har tatt det første trinnet i denne atferdsmessige tilnærmingen med Smart Lock for Tablets and Chromebooks. Hvis du er den du sier du er, har du sannsynligvis telefonen din i nærheten. Apple droppet virkelig ballen med iCloud-hacket, som tillater tusenvis av forsøk fra samme IP-adresse.

I stedet for å finne ut hvilken sang vi vil høre på neste, vil jeg at disse enhetene beskytter identiteten min på noen få måter.

1. Du vet hvor jeg er: Med GPS-en til mobiltelefonen min vet den hvor jeg befinner meg. Den skal kunne fortelle de andre enhetene mine "Hei, det er kult, la ham komme inn." Hvis jeg er i Timbuktu-roaming, bør du ikke virkelig stole på passordet mitt og muligens til og med min andre faktor.
2. Du vet hva jeg gjør: Du vet når jeg logger på og med hva, så det er på tide å stille meg noen spørsmål til. “Jeg beklager Dave, jeg kan ikke gjøre det” burde være svaret når jeg vanligvis ikke ber deg om å åpne døren til pod-bukten.
3. Du vet hvordan du bekrefter meg: "Stemmen min er passet mitt, bekreft meg." Nei, noen kan kopiere det. Still meg spørsmål som er enkle å svare på og huske, men som er vanskelig å finne på Internett. Min mors pikenavn kan være lett å finne, men hvor jeg spiste lunsj forrige uke med mamma er det ikke (se på kalenderen min). Hvor jeg møtte highschool-kjæresten min er lett å gjette, men hvilken film jeg så forrige uke er ikke lett å finne (bare sjekk e-postkvitteringene mine).
4. Du vet hvordan jeg ser ut: Facebook kan kjenne meg igjen ved bakhodet og Mastercard kan oppdage ansiktet mitt. Dette er bedre måter å bekrefte hvem jeg er.

Jeg vet at veldig få selskaper implementerer løsninger som dette, men det betyr ikke at jeg ikke kan begjære dem. Før du klager - ja disse kan bli hacket. Problemet for hackerne vil være å vite hvilke sett med sekundære tiltak en online tjeneste bruker. Det kan stille et spørsmål den ene dagen, men ta en selfie den neste.

Apple gjør et stort trykk for å beskytte personvernet mitt, og det setter jeg pris på. Når Apple-ID-en min er logget på, er det imidlertid på tide at Siri beskytter meg proaktivt. Google Nå og Cortana kan gjøre det også. Kanskje noen allerede utvikler dette, og Google tar noen skritt på dette området, men vi trenger dette nå! Inntil slik tid, må vi være litt mer årvåken når det gjelder å beskytte tingene våre. Se etter noen ideer om det neste uke.