Wachtwoorden zijn verbroken: er is een betere manier om gebruikers te verifiëren

Het lijkt erop dat we elke week verhalen lezen over bedrijven en websites die zijn gehackt en dat consumentengegevens zijn gestolen. Voor velen van ons zijn de ergste inbraken wanneer wachtwoorden worden gestolen. De LastPass Hack een van de meer recente aanvallen. In veel opzichten is het een vorm van digitaal terrorisme die alleen maar groeit. Twee-factor-authenticatie en biometrie zijn mooie patches voor het probleem, maar ze negeren de fundamentele problemen met betrekking tot loginbeheer. We hebben de tools om het probleem op te lossen, maar ze zijn niet correct toegepast.

Waarom we onze schoenen uitdoen in de Verenigde Staten, maar niet in Israël

Iedereen die in de Verenigde Staten heeft gevlogen, is op de hoogte van TSA-beveiliging. We trekken onze jassen uit, vermijden vloeistoffen en doen onze schoenen uit voordat we door de beveiliging gaan. We hebben een no-fly lijst op basis van namen. Dit zijn reacties op specifieke bedreigingen. Zo werkt een land als Israël niet met beveiliging. Ik heb El-Al (de nationale luchtvaartmaatschappijen van Israël) niet gevlogen, maar vrienden vertellen me over de interviews die ze doorlopen bij de beveiliging. De beveiligingsmedewerkers coderen bedreigingen op basis van

persoonlijke kenmerken en gedrag.

We gebruiken de TSA-benadering voor online accounts en daarom hebben we alle beveiligingsproblemen. Twee-factor-authenticatie is een begin. Maar wanneer we een tweede factor aan onze accounts toevoegen, worden we in slaap gesust door een vals gevoel van veiligheid. Die tweede factor beschermt tegen iemand die mijn wachtwoord steelt - een specifieke bedreiging. Zou mijn tweede factor in het gedrang kunnen komen? Zeker. Mijn telefoon kan worden gestolen of malware kan mijn tweede factor in gevaar brengen.

The Human Factor: Social Engineering

Zelfs met twee-factorbenaderingen hebben mensen nog steeds de mogelijkheid om beveiligingsinstellingen te negeren. Een paar jaar geleden overtuigde een ijverige hacker Apple ervan de Apple ID van een schrijver te resetten. GoDaddy werd misleid om te zetten in een domeinnaam die de overname van een Twitter-account mogelijk maakte. Mijn identiteit was per ongeluk samengevoegd met een andere Dave Greenbaum door een menselijke fout bij MetLife. Deze fout resulteerde er bijna in dat ik de huis- en autoverzekering van de andere Dave Greenbaum opzegde.

Zelfs als een mens een instelling met twee factoren niet overschrijft, is dat tweede token gewoon een nieuwe hindernis voor de aanvaller. Het is een spel voor een hacker. Als ik weet wanneer je inlogt op je Dropbox waarvoor ik een autorisatiecode nodig heb, dan hoef ik die code alleen maar van je te krijgen. Als ik uw sms-berichten niet naar mij stuur (Sim-hack iedereen?), Ik moet je gewoon overtuigen om die code voor mij vrij te geven. Dit is geen rocket science. Kan ik je overtuigen om die code terug te geven? Mogelijk. We vertrouwen onze telefoons meer dan onze computers. Daarom vallen mensen voor zaken als een nep iCloud-inlogbericht.

Weer een waargebeurd verhaal dat me twee keer is overkomen. Mijn creditcardmaatschappij merkte verdachte activiteiten op en belde me. Super goed! Dat is een op gedrag gebaseerde aanpak waar ik later over zal praten. Ze vroegen me echter om mijn volledige creditcardnummer telefonisch op te geven met een telefoontje dat ik niet heb gedaan. Ze waren geschokt dat ik weigerde hen het nummer te geven. Een manager vertelde me dat ze zelden klachten van klanten krijgen. De meeste bellers geven gewoon het creditcardnummer af. Au. Dat kan een snode persoon aan de andere kant zijn die mijn persoonlijke gegevens probeert te achterhalen.

Wachtwoorden beschermen ons niet

We hebben te veel wachtwoorden in ons leven op te veel plaatsen. Medium heeft dat al gedaan wachtwoorden verwijderd. De meesten van ons weten dat we voor elke site een uniek wachtwoord moeten hebben. Die aanpak is veel te veel gevraagd van onze nietige aardse hersenen die een volledig en rijk digitaal leven leiden. Wachtwoordmanagers (analoog of digitaal) helpen om toevallige hackers te voorkomen, maar geen geavanceerde aanval. Heck, de hackers hebben zelfs geen wachtwoorden nodig om toegang te krijgen tot onze individuele accounts. Ze breken gewoon in de databases waarin de informatie is opgeslagen (Sony, Target, federale overheid).

Neem een ​​les van de creditcardmaatschappijen

Hoewel de algoritmen misschien een beetje afwijken, hebben kredietmaatschappijen het juiste idee. Ze kijken naar onze kooppatronen en locatie om te weten of u uw kaart gebruikt. Als je gas koopt in Kansas en vervolgens een pak koopt in Londen, is dat een probleem.

Waarom kunnen we dit niet toepassen op onze online accounts? Sommige bedrijven bieden waarschuwingen van buitenlandse IP's (een pluim voor LastPass voor het laten van gebruikers stel voorkeurslanden in voor toegang). Als mijn telefoon, computer, tablet en polsapparaat allemaal in Kansas zijn, moet ik op de hoogte worden gesteld als mijn account ergens anders wordt geopend. Deze bedrijven zouden me op zijn minst een paar aanvullende vragen moeten stellen voordat ze aannemen dat ik ben wie ik zeg dat ik ben. Deze gatekeeping is vooral nodig voor Google-, Apple- en Facebook-accounts die door OAuth worden geverifieerd bij andere accounts. Google en Facebook geef waarschuwingen voor ongebruikelijke activiteiten, maar ze zijn meestal slechts een waarschuwing en waarschuwingen zijn geen bescherming. Mijn creditcardmaatschappij zegt nee tegen de transactie totdat ze verifiëren wie ik ben. Ze zeggen gewoon niet "Hey... dacht dat je het zou moeten weten". Mijn online accounts mogen niet waarschuwen, ze moeten blokkeren voor ongebruikelijke activiteiten. De nieuwste draai aan creditcardbeveiliging is gezichtsherkenning. Natuurlijk kan iemand de tijd nemen om je gezicht te dupliceren, maar creditcardmaatschappijen lijken harder te werken om ons te beschermen.

Onze slimme assistenten (en apparaten) zijn een betere verdediging

Siri, Alexa, Cortana en Google weten heel veel over ons. Ze voorspellen intelligent waar we heen gaan, waar we zijn geweest en wat we leuk vinden. Deze assistenten kammen onze foto's om onze vakanties te organiseren, onthouden wie onze vrienden zijn en zelfs de muziek die we leuk vinden. Het is griezelig op één niveau, maar erg handig in ons dagelijks leven. Als je Fitbit-gegevens voor de rechtbank kunnen worden gebruikt, kan dat ook gebruikt om u te identificeren.

Wanneer u een online account opzet, stellen bedrijven u domme uitdagingsvragen zoals de naam van uw middelbare schoolliefje of uw leraar van de derde klas. Onze herinneringen zijn niet zo solide als een computer. Op deze vragen kan niet worden vertrouwd om onze identiteit te verifiëren. Ik ben eerder geblokkeerd voor accounts omdat mijn favoriete restaurant in 2011 bijvoorbeeld niet mijn favoriete restaurant is.

Google heeft de eerste stap gezet in deze gedragsaanpak met Smart Lock voor tablets en Chromebooks. Als je bent wie je zegt dat je bent, heb je waarschijnlijk je telefoon bij je in de buurt. Apple liet de bal echt vallen met de iCloud-hack, waardoor duizenden pogingen vanaf hetzelfde IP-adres mogelijk zijn.

In plaats van uit te zoeken naar welk nummer we vervolgens willen luisteren, wil ik dat deze apparaten mijn identiteit op een paar manieren beschermen.

1. Je weet waar ik ben: Met de GPS van mijn mobiele telefoon weet het mijn locatie. Het zou mijn andere apparaten moeten kunnen vertellen: 'Hé, het is cool, laat hem binnen.' Als ik in Timboektoe roam, moet je mijn wachtwoord en misschien zelfs mijn tweede factor niet echt vertrouwen.
2. Je weet wat ik doe: Je weet wanneer ik inlog en met wat, dus het is tijd om me nog een paar vragen te stellen. "Het spijt me Dave, dat kan ik niet" zou het antwoord moeten zijn als ik je normaal niet vraag om de deuren van de podruimte te openen.
3. Je weet hoe je me kunt verifiëren: 'Mijn stem is mijn paspoort, verifieer me.' Nee, iedereen kan dat kopiëren. Stel me in plaats daarvan vragen die ik gemakkelijk kan beantwoorden en onthouden, maar die moeilijk te vinden zijn op internet. De meisjesnaam van mijn moeder is misschien gemakkelijk te vinden, maar waar ik vorige week met mama heb geluncht, is dat niet (kijk naar mijn agenda). Waar ik mijn middelbare schoolliefje ontmoette, is gemakkelijk te raden, maar welke film ik vorige week heb gezien, is niet gemakkelijk te vinden (controleer gewoon mijn e-mailbevestigingen).
4. Je weet hoe ik eruit zie: Facebook kan me herkennen aan de achterkant van mijn hoofd en Mastercard kan mijn gezicht detecteren. Dit zijn betere manieren om te verifiëren wie ik ben.

Ik weet dat maar heel weinig bedrijven dergelijke oplossingen implementeren, maar dat betekent niet dat ik er niet naar verlang. Voordat je gaat klagen - ja, deze kunnen worden gehackt. Het probleem voor de hackers is te weten welke reeks secundaire maatregelen een online service gebruikt. Het kan de ene dag een vraag stellen, maar de volgende dag een selfie maken.

Apple doet er alles aan om mijn privacy te beschermen en dat waardeer ik. Zodra mijn Apple ID is ingelogd, wordt het tijd dat Siri me proactief beschermt. Google Now en Cortana kunnen dat ook. Misschien is iemand dit al aan het ontwikkelen, en Google maakt wat vooruitgang op dit gebied, maar we hebben dit nu nodig! Tot die tijd moeten we wat waakzamer zijn bij het beschermen van onze spullen. Zoek daar volgende week enkele ideeën over op.