Lösenorden är brutna: Det finns ett bättre sätt att verifiera användare
Varje vecka verkar det, vi läser berättelser om företag och webbplatser som äventyras och konsumentuppgifter blir stulna. För många av oss är de värsta inbrott när lösenord är stulna. LastPass Hack är en av de senaste attackerna. På vissa sätt är det en form av digital terrorism som bara växer. Tvåfaktorsautentisering och biometri är fina korrigeringsproblem, men de ignorerar de grundläggande frågorna i samband med inloggningshantering. Vi har verktygen för att lösa problemet, men de har inte tillämpats ordentligt.
Varför tar vi av våra skor i USA men inte i Israel
Den som flyger i USA vet om TSA-säkerhet. Vi tar bort våra rockar, undviker vätskor och tar av våra skor innan du går igenom säkerheten. Vi har en flygranskning baserad på namn. Det här är reaktioner på specifika hot. Det är inte så som ett land som Israel gör säkerhet. Jag har inte flugit El-Al (Israels nationella flygbolag), men vänner berättar om de intervjuer de går igenom i säkerhet. Säkerhetscheferna kodar hot mot personliga egenskaper och beteenden.
Vi tar TSA-tillvägagångssättet till onlinekonton och det är därför vi har alla säkerhetsproblem. Tvåfaktorsautentisering är en start. Men när vi lägger till en andra faktor i våra konton, slås vi in i en falsk känsla av säkerhet. Den andra faktorn skyddar mot någon som stjäl mitt lösenord - ett särskilt hot. Skulle min andra faktor kunna äventyras? Säker. Min telefon kan bli stulen eller skadlig kod kan kompromissa med min andra faktor.
Den mänskliga faktorn: Socialteknik
Även med tvåfaktorer, har människor fortfarande möjlighet att åsidosätta säkerhetsinställningarna. Några år tillbaka övertygade en industriell hacker Apple om att återställa en författares Apple ID. GoDaddy lurades in för att vända över ett domännamn som möjliggjorde ett övertagande av Twitter-kontot. Min identitet var oavsiktligt sammanslagd med en annan Dave Greenbaum på grund av ett mänskligt misstag hos MetLife. Detta misstag resulterade nästan i att jag avbröt hemma och bilförsäkring av den andra Dave Greenbaum.
Även om en människa inte åsidosätter en två-faktor inställning, är det andra token bara en annan hinder för angriparen. Det är ett spel för en hackare. Om jag vet när du loggar in i din Dropbox som jag behöver en behörighetskod för är allt jag behöver göra att få den koden från dig. Om jag inte får dina textmeddelanden riktade till mig (SIM-hack någon?), Behöver jag bara övertyga dig om att släppa den koden till mig. Detta är inte raketvetenskap. Kan jag övertyga dig om att ge den koden tillbaka? Eventuellt. Vi litar på våra telefoner mer än våra datorer. Därför faller folk för saker som ett falskt iCloud inloggningsmeddelande.
En annan sann historia som hände mig två gånger. Mitt kreditkortsföretag märkte misstänkt aktivitet och ringde mig. Bra! Det är ett beteendebaserat tillvägagångssätt som jag talar om senare. Men de bad mig att ge mitt fullständiga kreditkortsnummer via telefon med ett samtal jag inte gjorde. De var chockade, jag vägrade att ge dem numret. En chef berättade för mig att de sällan får klagomål från kunder. De flesta ringer bara lämna över kreditkortsnumret. Aj. Det kunde ha varit någon galen person på andra sidan försöker få mina personuppgifter.
Lösenord skyddar inte oss
Vi har för många lösenord i vårt liv på många ställen. Medium har redan blivit av med lösenord. De flesta av oss vet att vi borde ha ett unikt lösenord för varje webbplats. Det här sättet är alldeles för mycket för att be om våra hjärtan som lever en full och rik digital levande. Lösenordschefer (analoga eller digitala) hjälper till att förhindra tillfälliga hackare, men inte en sofistikerad attack. Heck, hackarna behöver inte ens lösenord för att komma åt våra enskilda konton. De bryter bara in i databaserna som lagrar informationen (Sony, Target, Federal Government).
Ta en lektion från kreditkortsföretag
Trots att algoritmerna kan vara lite lätta, har kreditföretag rätt idé. De tittar på våra köpmönster och plats för att veta om det är du som använder ditt kort. Om du köper gas i Kansas och sedan köper en kostym i London är det ett problem.
Varför kan vi inte tillämpa detta på våra onlinekonton? Vissa företag erbjuder varningar från utländska IP-adresser (kudos till LastPass för att låta användare ställa in föredragna länder för åtkomst). Om min telefon, dator, surfplatta och handledningsenhet är alla i Kansas, ska jag få ett meddelande om mitt konto nås någon annanstans. Åtminstone bör dessa företag fråga mig några ytterligare frågor innan de antar att jag är den jag säger jag är. Denna gatekeeping är särskilt nödvändig för Google, Apple och Facebook-konton som autentiserar till andra konton av OAuth. Google och Facebook ger varningar för ovanlig aktivitet, men de är vanligtvis bara en varning och varningar är inte skydd. Mitt kreditkortsföretag säger nej till transaktionen tills de verifierar vem jag är. De säger bara inte "Hej ... trodde du borde veta". Mina online-konton borde inte varna, de borde blockera för ovanlig aktivitet. Den nyaste vridningen mot kreditkortsäkerhet är ansiktsigenkänning. Visst, någon kan ta sig tid att försöka kopiera ditt ansikte, men kreditkortsföretag verkar arbeta hårdare för att skydda oss.
Våra smarta assistenter (och enheter) är ett bättre försvar
Siri, Alexa, Cortana och Google känner en massa saker om oss. De förutspår intelligent var vi går, var vi har varit och vad vi gillar. Dessa assistenter kamar våra bilder för att organisera våra semester, kom ihåg vem våra vänner är, och till och med den musik vi gillar. Det är otäckt på en nivå, men mycket användbart i våra dagliga liv. Om din Fitbit-data kan användas i en domstol, kan den också användas för att identifiera dig.
När du skapar ett onlinekonto frågar företagen dumma utmaningsfrågor som namnet på din högskola älskling eller din tredje klasslärare. Våra minnen är inte lika rockfasta som en dator. Dessa frågor kan inte åberopas för att verifiera vår identitet. Jag har blivit låst ur konton innan min favoritrestaurang år 2011 inte är min favoritrestaurang idag till exempel.
Google har tagit det första steget i det här beteendemetoden med Smart Lock for Tablets och Chromebooks. Om du är den du säger är du, så har du förmodligen din telefon nära dig. Apple släppte verkligen bollen med iCloud-hacket, vilket gav tusentals försök från samma IP-adress.
I stället för att ta reda på vilken låt vi vill lyssna på nästa vill jag att dessa enheter skyddar min identitet på några sätt.
- Du vet var jag är: Med min mobiltelefon GPS vet den min plats. Det ska kunna berätta för mina andra enheter "Hej, det är coolt, låt honom komma in." Om jag är i Timbuktu roaming, borde du inte riktigt litar på mitt lösenord och eventuellt även min andra faktor.
- Du vet vad jag gör: Du vet när jag loggar in och med, så det är dags att fråga mig några fler frågor. "Jag är ledsen, Dave, det kan jag inte göra", borde vara svaret när jag inte normalt frågar dig att öppna poddörrarna.
- Du vet hur du ska verifiera mig: "Min röst är mitt pass, verifiera mig." Nej, vem som helst kan kopiera det. I stället fråga mig frågor som är enkla för mig att svara och komma ihåg, men svårt att hitta på Internet. Min mammas namn kan vara lätt att hitta, men där jag åt lunch i förra veckan med mamma är inte (titta på min kalender). Där jag träffade min högskola älskling är lätt att gissa, men vilken film jag såg förra veckan är inte lätt att hitta (kolla bara mina kvittonskvitton).
- Du vet hur jag ser ut: Facebook kan känna igen mig på baksidan av mitt huvud och Mastercard kan upptäcka mitt ansikte. Det här är bättre sätt att verifiera vem jag är.
Jag vet att väldigt få företag implementerar lösningar som detta, men det betyder inte att jag inte kan lust för dem. Innan du klagar-ja det kan hackas. Problemet för hackarna kommer att veta vilken uppsättning sekundära åtgärder en onlinetjänst använder. Det kan ställa en fråga en dag, men ta en selfie nästa.
Apple gör ett stort tryck för att skydda min integritet och jag uppskattar det. Men när min Apple ID är inloggad är det dags att Siri proaktivt skyddar mig. Google Nu och Cortana kan också göra det. Kanske kan någon redan utveckla detta, och Google gör några steg i det här området, men vi behöver det nu! Fram till dess måste vi vara lite mer vaksamma när det gäller att skydda våra saker. Leta efter några idéer om nästa vecka.