Passwörter sind kaputt: Es gibt eine bessere Möglichkeit, Benutzer zu authentifizieren
Jede Woche lesen wir Geschichten von Unternehmen und Websites, die kompromittiert werden und Verbraucherdaten gestohlen werden. Für viele von uns sind die schlimmsten Einbrüche, wenn Passwörter gestohlen werden. Der LastPass Hack ist einer der neueren Angriffe. In vielerlei Hinsicht ist es eine Form des digitalen Terrorismus, der nur wächst. Zwei-Faktor-Authentifizierung und Biometrie sind nette Patches für das Problem, aber sie ignorieren die grundlegenden Probleme im Zusammenhang mit Login-Management. Wir haben die Werkzeuge, um das Problem zu lösen, aber sie wurden nicht richtig angewendet.
Warum wir unsere Schuhe in den Vereinigten Staaten, aber nicht in Israel ausziehen
Jeder, der in den USA geflogen ist, kennt die TSA-Sicherheit. Wir ziehen unsere Mäntel aus, vermeiden Flüssigkeiten und ziehen unsere Schuhe aus, bevor wir durch die Sicherheit gehen. Wir haben eine No-Fly-Liste basierend auf Namen. Dies sind Reaktionen auf bestimmte Bedrohungen. Das ist nicht die Art, wie ein Land wie Israel Sicherheit leistet. Ich bin nicht El-Al (Israels nationale Fluglinien) geflogen, aber Freunde erzählen mir von den Interviews, die sie in Sicherheit durchmachen. Die Sicherheitsbeauftragten codieren Bedrohungen basierend auf persönlichen Eigenschaften und Verhaltensweisen.
Wir nehmen den TSA-Ansatz für Online-Konten und deshalb haben wir alle Sicherheitsprobleme. Zwei-Faktor-Authentifizierung ist ein Anfang. Wenn wir jedoch unseren Konten einen zweiten Faktor hinzufügen, werden wir in ein falsches Sicherheitsgefühl eingelullt. Dieser zweite Faktor schützt vor dem Diebstahl meines Passworts - einer spezifischen Bedrohung. Könnte mein zweiter Faktor kompromittiert werden? Sicher. Mein Telefon könnte gestohlen werden oder Malware könnte meinen zweiten Faktor gefährden.
Der menschliche Faktor: Social Engineering
Selbst mit Zwei-Faktor-Ansätzen können Benutzer Sicherheitseinstellungen überschreiben. Vor ein paar Jahren hat ein fleißiger Hacker Apple davon überzeugt, die Apple ID eines Autors zurückzusetzen. GoDaddy wurde ausgetrickst, um einen Domainnamen umzuwandeln, der eine Twitter-Kontoübernahme ermöglichte. Meine Identität wurde versehentlich mit einem anderen Dave Greenbaum aufgrund eines menschlichen Fehlers bei MetLife verschmolzen. Dieser Fehler führte fast dazu, dass ich die Haus- und Autoversicherung des anderen Dave Greenbaum annullierte.
Selbst wenn ein Mensch eine Zwei-Faktor-Einstellung nicht außer Kraft setzt, ist dieser zweite Marker nur eine weitere Hürde für den Angreifer. Es ist ein Spiel für einen Hacker. Wenn ich weiß, wenn Sie sich bei Ihrer Dropbox anmelden, für die ich einen Autorisierungscode benötige, dann muss ich nur diesen Code von Ihnen bekommen. Wenn ich Ihre Textnachrichten nicht an mich gerichtet bekomme (SIM-Hack irgendjemand?), Muss ich Sie nur davon überzeugen, diesen Code für mich freizugeben. Das ist keine Raketenwissenschaft. Könnte ich Sie dazu überreden, diesen Code zurückzugeben? Möglicherweise. Wir vertrauen unseren Handys mehr als unseren Computern. Deshalb fallen Leute auf Dinge wie eine gefälschte iCloud-Login-Nachricht.
Eine weitere wahre Geschichte, die mir zweimal passiert ist. Meine Kreditkartenfirma hat verdächtige Aktivitäten bemerkt und mich angerufen. Groß! Das ist ein verhaltensbasierter Ansatz, über den ich später sprechen werde. Sie baten mich jedoch, meine volle Kreditkartennummer über das Telefon mit einem Anruf zu teilen, den ich nicht gemacht habe. Sie waren schockiert, ich weigerte mich, ihnen die Nummer zu geben. Ein Manager sagte mir, dass sie selten Beschwerden von Kunden bekommen. Die meisten Anrufer geben nur die Kreditkartennummer aus. Autsch. Das könnte jede schändliche Person am anderen Ende sein, die versucht, meine persönlichen Daten zu bekommen.
Passwörter schützen uns nicht
Wir haben zu viele Passwörter in unserem Leben an zu vielen Orten. Medium hat bereits Passwörter losgeworden. Die meisten von uns wissen, dass wir für jede Site ein eindeutiges Passwort haben sollten. Dieser Ansatz ist viel zu viel verlangt von unseren kleinen irdischen Gehirnen, die ein volles und reiches digitales Leben führen. Passwort-Manager (analog oder digital) helfen, Hacker zu vermeiden, aber keine raffinierte Attacke. Verdammt, die Hacker brauchen nicht einmal Passwörter, um auf unsere individuellen Konten zuzugreifen. Sie brechen nur in die Datenbanken ein, in denen die Informationen gespeichert sind (Sony, Target, Federal Government).
Nehmen Sie eine Lektion von den Kreditkartenunternehmen
Auch wenn die Algorithmen ein wenig aus sind, haben Kreditunternehmen die richtige Idee. Sie sehen sich unsere Kaufmuster und den Standort an, um zu wissen, ob Sie Ihre Karte verwenden. Wenn Sie Gas in Kansas kaufen und dann einen Anzug in London kaufen, ist das ein Problem.
Warum können wir das nicht auf unsere Online-Konten anwenden? Einige Unternehmen bieten Warnungen von fremden IPs an (Lob an LastPass, dass Benutzer bevorzugte Länder für den Zugriff festlegen dürfen). Wenn mein Telefon, Computer, Tablet und Handgelenkgerät alle in Kansas sind, sollte ich benachrichtigt werden, wenn mein Konto woanders zugegriffen wird. Zumindest sollten diese Unternehmen mir ein paar zusätzliche Fragen stellen, bevor sie annehmen, dass ich der bin, von dem ich sage, dass ich bin. Dieses Gatekeeping wird insbesondere für Google-, Apple- und Facebook-Konten benötigt, die von OAuth gegenüber anderen Konten authentifiziert werden. Google und Facebook warnen vor ungewöhnlichen Aktivitäten, sind jedoch normalerweise nur eine Warnung und Warnungen sind kein Schutz. Meine Kreditkartengesellschaft sagt Nein zu der Transaktion, bis sie überprüft haben, wer ich bin. Sie sagen nur nicht "Hey ... dachte, du solltest es wissen". Meine Online-Konten sollten nicht warnen, sie sollten für ungewöhnliche Aktivitäten sperren. Der neueste Trend zur Kreditkartensicherheit ist die Gesichtserkennung. Sicher, jemand kann sich die Zeit nehmen, zu versuchen, Ihr Gesicht zu kopieren, aber Kreditkartenfirmen scheinen härter zu arbeiten, um uns zu schützen.
Unsere intelligenten Assistenten (und Geräte) sind eine bessere Verteidigung
Siri, Alexa, Cortana und Google wissen eine Menge über uns. Sie sagen intelligent voraus, wohin wir gehen, wo wir waren und was wir mögen. Diese Assistenten kämmen unsere Fotos, um unseren Urlaub zu organisieren, erinnern, wer unsere Freunde sind, und sogar die Musik, die wir mögen. Es ist gruselig auf einer Ebene, aber sehr nützlich in unserem täglichen Leben. Wenn Ihre Fitbit-Daten vor Gericht verwendet werden können, können sie auch dazu verwendet werden, Sie zu identifizieren.
Wenn Sie ein Online-Konto einrichten, stellen Unternehmen Ihnen dumme Fragen wie den Namen Ihrer Highschool-Freundin oder Ihren Lehrer der dritten Klasse. Unsere Erinnerungen sind nicht so felsenfest wie ein Computer. Auf diese Fragen kann man sich nicht verlassen, um unsere Identität zu überprüfen. Ich bin schon vorher ausgeschlossen worden, weil mein Lieblingsrestaurant 2011 nicht zum Beispiel mein Lieblingsrestaurant ist.
Google hat mit Smart Lock für Tablets und Chromebooks den ersten Schritt in diesem verhaltensorientierten Ansatz getan. Wenn du der bist, von dem du sagst, dass du es bist, dann hast du wahrscheinlich dein Handy in deiner Nähe. Apple hat den Ball mit dem iCloud-Hack wirklich fallen lassen und tausende Versuche von derselben IP-Adresse aus ermöglicht.
Anstatt herauszufinden, welchen Song wir als nächstes hören wollen, möchte ich, dass diese Geräte meine Identität auf verschiedene Arten schützen.
- Du weißt wo ich bin: Mit dem GPS meines Handys weiß es meinen Standort. Es sollte in der Lage sein, meinen anderen Geräten zu sagen "Hey, es ist cool, lass ihn rein." Wenn ich in Timbuktu roaming, solltest du meinem Passwort und möglicherweise sogar meinem zweiten Faktor nicht wirklich vertrauen.
- Du weißt, was ich tue: Du weißt, wann ich mich anmelde und mit was, also ist es Zeit, mir noch ein paar Fragen zu stellen. "Es tut mir leid, Dave, das kann ich nicht", sollte die Antwort sein, wenn ich dich normalerweise nicht auffordere, die Schranktüren zu öffnen.
- Sie wissen, wie man mich verifiziert: "Meine Stimme ist mein Reisepass, verifiziere mich." Nein, das kann jeder kopieren. Stellen Sie mir stattdessen Fragen, auf die ich leicht antworten und mich erinnern kann, die aber im Internet schwer zu finden sind. Der Mädchenname meiner Mutter mag leicht zu finden sein, aber wo ich letzte Woche mit Mama zu Mittag gegessen habe, ist nicht (schau auf meinen Kalender). Wo ich meine Highschool-Freundin getroffen habe, ist leicht zu erraten, aber welcher Film, den ich letzte Woche gesehen habe, ist nicht einfach zu finden (überprüfe einfach meine E-Mail-Quittungen).
- Du weißt, wie ich aussehe: Facebook kann mich am Hinterkopf erkennen und Mastercard kann mein Gesicht erkennen. Dies sind bessere Möglichkeiten, um zu überprüfen, wer ich bin.
Ich weiß, dass nur sehr wenige Unternehmen solche Lösungen implementieren, aber das bedeutet nicht, dass ich mich nicht nach ihnen sehnen kann. Bevor Sie sich beschweren-ja können diese gehackt werden. Das Problem für die Hacker besteht darin, zu wissen, welche Reihe von sekundären Maßnahmen ein Online-Dienst verwendet. Es könnte eines Tages eine Frage stellen, aber mach ein Selfie am nächsten.
Apple macht großen Druck, meine Privatsphäre zu schützen, und das weiß ich zu schätzen. Sobald jedoch meine Apple ID eingeloggt ist, ist es an der Zeit, dass Siri mich proaktiv schützt. Google Now und Cortana können das auch. Vielleicht entwickelt das bereits jemand und Google macht in diesem Bereich einige Fortschritte, aber wir brauchen das jetzt! Bis dahin müssen wir beim Schutz unserer Sachen ein bisschen wachsamer sein. Suchen Sie nächste Woche nach Ideen.