Wachtwoorden zijn verbroken: er is een betere manier om gebruikers te verifiëren
Elke week lijkt het erop dat we verhalen lezen over bedrijven en websites die in gevaar zijn en dat consumentengegevens worden gestolen. Voor velen van ons zijn de ergste inbraken wanneer wachtwoorden worden gestolen. De LastPass-hack is een van de meer recente aanvallen. In veel opzichten is het een vorm van digitaal terrorisme die alleen maar groeit. Twee-factor-authenticatie en biometrie zijn mooie patches voor het probleem, maar ze negeren de fundamentele problemen met betrekking tot login-management. We hebben de tools om het probleem op te lossen, maar ze zijn niet goed toegepast.
Waarom we onze schoenen uitzetten in de Verenigde Staten, maar niet in Israël
Iedereen die in de Verenigde Staten is ingevlogen, is op de hoogte van TSA-beveiliging. We doen onze jassen uit, vermijden vloeistoffen en zetten onze schoenen uit voordat we door de beveiliging gaan. We hebben een no-fly lijst gebaseerd op namen. Dit zijn reacties op specifieke dreigingen. Dat is niet de manier waarop een land als Israël beveiliging doet. Ik heb El-Al (de nationale luchtvaartmaatschappijen van Israël) niet gevlogen, maar vrienden vertellen me over de interviews die ze in de beveiliging afleggen. De beveiligingsmedewerkers coderen bedreigingen op basis van persoonlijke kenmerken en gedragingen.
We nemen de TSA-benadering voor online accounts en daarom hebben we alle beveiligingsproblemen. Twee-factor-authenticatie is een begin. Maar als we een tweede factor toevoegen aan onze rekeningen, zijn we gewiegd in een vals gevoel van veiligheid. Die tweede factor beschermt tegen iemand die mijn wachtwoord steelt, een specifieke bedreiging. Kan mijn tweede factor worden aangetast? Zeker. Mijn telefoon kan worden gestolen of malware kan mijn tweede factor in gevaar brengen.
The Human Factor: Social Engineering
Zelfs met twee-factorenbenaderingen kunnen mensen nog steeds beveiligingsinstellingen overschrijven. Een paar jaar geleden overtuigde een ijverige hacker Apple ervan de Apple ID van een schrijver opnieuw in te stellen. GoDaddy kreeg de truc om een domeinnaam over te nemen die een overname van een Twitter-account mogelijk maakte. Mijn identiteit is per ongeluk samengevoegd met een andere Dave Greenbaum als gevolg van een menselijke fout bij MetLife. Deze fout leidde er bijna toe dat ik het huis en de autoverzekering van de andere Dave Greenbaum opzegde.
Zelfs als een mens een tweefactoreninstelling niet onderdrukt, is dat tweede token gewoon een hindernis voor de aanvaller. Het is een spel voor een hacker. Als ik weet wanneer je inlogt bij je Dropbox waarvoor ik een autorisatiecode nodig heb, dan is alles wat ik moet doen die code van je krijgen. Als ik uw sms-berichten niet naar mij stuur (SIM-hack anyone?), Dan moet ik u overtuigen om die code aan mij vrij te geven. Dit is geen rocket science. Kan ik je overtuigen om die code terug te geven? Mogelijk. We vertrouwen onze telefoons meer dan onze computers. Daarom vallen mensen voor dingen als een nep iCloud-inlogbericht.
Nog een waar gebeurd verhaal dat me twee keer overkwam. Mijn creditcardbedrijf heeft verdachte activiteiten opgemerkt en mij gebeld. Super goed! Dat is een gedragsgebaseerde aanpak waar ik het later over heb. Ze vroegen me echter om mijn volledige creditcardnummer via de telefoon te geven met een oproep die ik niet had gemaakt. Ze waren geschokt dat ik weigerde hen het nummer te geven. Een manager vertelde me dat ze zelden klachten van klanten krijgen. De meeste bellers geven alleen het creditcardnummer af. Ouch. Dat kan een kwaadwillende zijn geweest aan de andere kant die probeerde mijn persoonlijke gegevens te achterhalen.
Wachtwoorden beschermen ons niet
We hebben te veel wachtwoorden in ons leven op te veel plaatsen. Medium heeft al wachtwoorden verwijderd. De meesten van ons weten dat we voor elke site een uniek wachtwoord moeten hebben. Die aanpak is veel te veel om te vragen aan onze nietige aardse hersens die een volledig en rijk digitaal leven leiden. Wachtwoordmanagers (analoog of digitaal) helpen toevallige hackers te voorkomen, maar geen geslaagde aanval. De hackers hebben zelfs geen wachtwoorden nodig om toegang te krijgen tot onze individuele accounts. Ze breken gewoon in de databases die de informatie opslaan (Sony, Target, federale overheid).
Neem een les van de creditcardmaatschappijen
Hoewel de algoritmen misschien een beetje uit zijn, hebben kredietinstellingen het juiste idee. Ze kijken naar onze kooppatronen en locatie om te weten of u uw kaart gebruikt. Als je gas koopt in Kansas en dan een pak koopt in Londen, is dat een probleem.
Waarom kunnen we dit niet toepassen op onze online accounts? Sommige bedrijven bieden waarschuwingen van buitenlandse IP's (complimenten aan LastPass voor het laten instellen door gebruikers van voorkeurslanden voor toegang). Als mijn telefoon, computer, tablet en polsapparaat allemaal in Kansas zijn, moet ik een melding ontvangen als mijn account ergens anders wordt geopend. Op zijn minst zouden deze bedrijven me een paar aanvullende vragen moeten stellen voordat ze aannemen dat ik ben wie ik zeg dat ik ben. Deze gatekeeping is vooral nodig voor Google-, Apple- en Facebook-accounts die door OAuth worden geverifieerd voor andere accounts. Google en Facebook geven waarschuwingen voor ongewone activiteiten, maar ze zijn meestal slechts een waarschuwing en waarschuwingen zijn geen bescherming. Mijn creditcardmaatschappij zegt nee tegen de transactie totdat ze verifiëren wie ik ben. Ze zeggen gewoon niet: "Hé ... ik dacht dat je het moest weten". Mijn online accounts moeten niet waarschuwen, ze moeten blokkeren voor ongewone activiteiten. De nieuwste versie van de beveiliging van creditcards is gezichtsherkenning. Natuurlijk kan iemand de tijd nemen om te proberen je gezicht te dupliceren, maar creditcardmaatschappijen lijken harder te werken om ons te beschermen.
Onze slimme assistenten (en apparaten) zijn een betere verdediging
Siri, Alexa, Cortana en Google weten heel veel over ons. Ze voorspellen op een intelligente manier waar we naartoe gaan, waar we zijn geweest en wat we willen. Deze assistenten kammen onze foto's om onze vakanties te organiseren, onthouden wie onze vrienden zijn en zelfs de muziek die we leuk vinden. Het is griezelig op één niveau, maar erg handig in ons dagelijks leven. Als uw Fitbit-gegevens voor een rechtbank kunnen worden gebruikt, kan deze ook worden gebruikt om u te identificeren.
Wanneer u een online account opzet, vragen bedrijven u domme uitdagingvragen, zoals de naam van uw middelbare schoolliefje of uw derde klasleraar. Onze herinneringen zijn niet zo solide als een computer. Van deze vragen kan niet worden vertrouwd om onze identiteit te verifiëren. Ik ben eerder uitgesloten van accounts omdat mijn favoriete restaurant in 2011 niet bijvoorbeeld mijn favoriete restaurant is.
Google heeft de eerste stap gezet in deze gedragsaanpak met Smart Lock for Tablets en Chromebooks. Als je bent wie je zegt dat je bent, heb je waarschijnlijk je telefoon bij je in de buurt. Apple heeft echt de bal met de iCloud-hack laten vallen, waardoor duizenden pogingen vanaf hetzelfde IP-adres mogelijk zijn.
In plaats van uit te zoeken naar welk nummer we willen luisteren, wil ik dat deze apparaten mijn identiteit op een aantal manieren beschermen.
- U weet waar ik ben: met de GPS van mijn mobiele telefoon weet ik waar mijn locatie is. Het moet in staat zijn om mijn andere apparaten te vertellen: "Hé, het is cool, laat hem binnen." Als ik in Timbuktu-roaming ben, zou je mijn wachtwoord en mogelijk zelfs mijn tweede factor niet echt moeten vertrouwen.
- Je weet wat ik doe: je weet wanneer ik inlog en met wat, dus het is tijd om me nog een paar vragen te stellen. "Het spijt me Dave, dat kan ik niet doen" zou het antwoord moeten zijn als ik je normaal niet vraag om de deuren van de pod-bay te openen.
- Je weet hoe je me kunt verifiëren: "Mijn stem is mijn paspoort, verifieer mij." Nee, iedereen kan dat kopiëren. Vraag me in plaats daarvan vragen die ik gemakkelijk kan beantwoorden en onthouden, maar die ik moeilijk vind op internet. De meisjesnaam van mijn moeder is misschien gemakkelijk te vinden, maar waar ik vorige week lunch heb gegeten met mama is dat niet (zie mijn kalender). Waar ik mijn middelbare school heb ontmoet, is lieverd gemakkelijk te raden, maar welke film ik vorige week zag, is niet gemakkelijk te vinden (kijk maar naar mijn e-mailbonnen).
- Je weet hoe ik eruit zie: Facebook herkent me bij mijn achterhoofd en Mastercard kan mijn gezicht detecteren. Dit zijn betere manieren om te verifiëren wie ik ben.
Ik weet dat maar weinig bedrijven oplossingen als deze implementeren, maar dat betekent niet dat ik er niet naar kan verlangen. Voordat je een klacht indient - ja, deze kunnen worden gehackt. Het probleem voor de hackers is om te weten welke set secundaire maatregelen een online service gebruikt. Het kan op een dag een vraag stellen, maar de volgende dag een selfie maken.
Apple doet er alles aan om mijn privacy te beschermen en dat waardeer ik. Zodra mijn Apple ID is ingelogd, wordt het echter tijd dat Siri me proactief beschermt. Google Now en Cortana kunnen dat ook. Misschien is er al iemand die dit aan het ontwikkelen is en Google maakt wat vorderingen op dit gebied, maar we hebben dit nu nodig! Tot die tijd moeten we een beetje meer waakzaam zijn bij het beschermen van onze spullen. Zoek daar volgende week enkele ideeën op.