Passwörter sind defekt: Es gibt eine bessere Möglichkeit, Benutzer zu authentifizieren

Wie es scheint, lesen wir jede Woche Geschichten über Unternehmen und Websites, die kompromittiert und Verbraucherdaten gestohlen werden. Für viele von uns sind die schlimmsten Einbrüche, wenn Passwörter gestohlen werden. Das LastPass Hack einer der jüngsten Angriffe. In vielerlei Hinsicht ist es eine Form des digitalen Terrorismus, die nur wächst. Zwei-Faktor-Authentifizierung und Biometrie sind nette Patches für das Problem, aber sie ignorieren die grundlegenden Probleme im Zusammenhang mit der Anmeldeverwaltung. Wir haben die Tools, um das Problem zu lösen, aber sie wurden nicht richtig angewendet.

Warum wir unsere Schuhe in den USA ausziehen, aber nicht in Israel

Jeder, der in den USA geflogen ist, kennt die TSA-Sicherheit. Wir ziehen unsere Mäntel aus, vermeiden Flüssigkeiten und ziehen unsere Schuhe aus, bevor wir die Sicherheitskontrolle durchlaufen. Wir haben eine Flugverbotsliste, die auf Namen basiert. Dies sind Reaktionen auf bestimmte Bedrohungen. So macht ein Land wie Israel keine Sicherheit. Ich bin noch nicht mit El-Al (Israels nationalen Fluggesellschaften) geflogen, aber Freunde erzählen mir von den Interviews, die sie im Sicherheitsbereich führen. Die Sicherheitsbeauftragten codieren Bedrohungen basierend auf

persönliche Eigenschaften und Verhaltensweisen.

Wir verfolgen den TSA-Ansatz für Online-Konten und haben daher alle Sicherheitsprobleme. Die Zwei-Faktor-Authentifizierung ist ein Anfang. Wenn wir unseren Konten jedoch einen zweiten Faktor hinzufügen, werden wir in ein falsches Sicherheitsgefühl versetzt. Dieser zweite Faktor schützt vor jemandem, der mein Passwort stiehlt - eine spezifische Bedrohung. Könnte mein zweiter Faktor beeinträchtigt werden? Sicher. Mein Telefon könnte gestohlen werden oder Malware könnte meinen zweiten Faktor gefährden.

Der menschliche Faktor: Social Engineering

Selbst mit Zwei-Faktor-Ansätzen haben Menschen immer noch die Möglichkeit, Sicherheitseinstellungen zu überschreiben. Vor einigen Jahren überzeugte ein fleißiger Hacker Apple, die Apple ID eines Schriftstellers zurückzusetzen. Los Papa wurde ausgetrickst Umdrehen eines Domainnamens, der die Übernahme eines Twitter-Kontos ermöglichte. Meine Identität war versehentlich mit einem anderen Dave Greenbaum verschmolzen aufgrund eines menschlichen Fehlers bei MetLife. Dieser Fehler führte fast dazu, dass ich die Haus- und Autoversicherung des anderen Dave Greenbaum kündigte.

Selbst wenn ein Mensch eine Zwei-Faktor-Einstellung nicht überschreibt, ist dieses zweite Zeichen nur eine weitere Hürde für den Angreifer. Es ist ein Spiel für einen Hacker. Wenn ich weiß, wenn Sie sich in Ihre Dropbox einloggen, für die ich einen Autorisierungscode benötige, muss ich diesen Code nur von Ihnen erhalten. Wenn ich Ihre Textnachrichten nicht an mich bekomme (SIM-Hack jemand?), Ich muss Sie nur überzeugen, diesen Code für mich freizugeben. Dies ist keine Raketenwissenschaft. Könnte ich Sie überzeugen, diesen Code zurückzugeben? Möglicherweise. Wir vertrauen unseren Handys mehr als unseren Computern. Deshalb fallen Menschen auf Dinge wie a gefälschte iCloud-Anmeldemeldung.

Eine andere wahre Geschichte, die mir zweimal passiert ist. Meine Kreditkartenfirma bemerkte verdächtige Aktivitäten und rief mich an. Groß! Dies ist ein verhaltensbasierter Ansatz, über den ich später sprechen werde. Sie baten mich jedoch, meine vollständige Kreditkartennummer telefonisch mit einem Anruf zu versehen, den ich nicht getätigt hatte. Sie waren schockiert. Ich weigerte mich, ihnen die Nummer zu geben. Ein Manager sagte mir, dass sie selten Beschwerden von Kunden erhalten. Die meisten Anrufer geben nur die Kreditkartennummer weiter. Autsch. Das könnte jede schändliche Person am anderen Ende sein, die versucht, meine persönlichen Daten zu erhalten.

Passwörter schützen uns nicht

Wir haben zu viele Passwörter in unserem Leben an zu vielen Orten. Medium hat schon Passwörter losgeworden. Die meisten von uns wissen, dass wir für jede Site ein eindeutiges Passwort haben sollten. Dieser Ansatz ist viel zu viel verlangt von unseren kümmerlichen Erdhirnen, die ein volles und reichhaltiges digitales Leben führen. Passwort-Manager (analog oder digital) helfen, gelegentliche Hacker zu verhindern, aber keine raffinierten Angriffe. Die Hacker benötigen nicht einmal Passwörter, um auf unsere individuellen Konten zuzugreifen. Sie brechen einfach in die Datenbanken ein, in denen die Informationen gespeichert sind (Sony, Target, Bundesregierung).

Nehmen Sie eine Lektion von den Kreditkartenunternehmen

Auch wenn die Algorithmen ein wenig abweichen, haben Kreditunternehmen die richtige Idee. Sie sehen sich unsere Kaufmuster und unseren Standort an, um festzustellen, ob Sie Ihre Karte verwenden. Wenn Sie in Kansas Benzin kaufen und dann in London einen Anzug kaufen, ist das ein Problem.

Warum können wir dies nicht auf unsere Online-Konten anwenden? Einige Unternehmen bieten Warnungen von ausländischen IPs an (ein großes Lob an LastPass für die Erlaubnis von Benutzern Legen Sie bevorzugte Länder für den Zugang fest). Wenn sich mein Telefon, Computer, Tablet und Handgelenk in Kansas befinden, sollte ich benachrichtigt werden, wenn auf mein Konto an einer anderen Stelle zugegriffen wird. Zumindest sollten diese Unternehmen mir ein paar zusätzliche Fragen stellen, bevor sie annehmen, dass ich der bin, von dem ich sage, dass ich bin. Diese Gatekeeping-Funktion wird insbesondere für Google-, Apple- und Facebook-Konten benötigt, die sich bei anderen Konten von OAuth authentifizieren. Google und Facebook Geben Sie Warnungen für ungewöhnliche Aktivitäten, aber sie sind normalerweise nur eine Warnung, und Warnungen sind kein Schutz. Meine Kreditkartenfirma sagt Nein zu der Transaktion, bis sie überprüft, wer ich bin. Sie sagen einfach nicht "Hey... dachte du solltest es wissen". Meine Online-Konten sollten nicht warnen, sondern für ungewöhnliche Aktivitäten blockieren. Die neueste Variante der Kreditkartensicherheit ist Gesichtserkennung. Sicher, jemand kann sich die Zeit nehmen, um zu versuchen, Ihr Gesicht zu duplizieren, aber Kreditkartenunternehmen scheinen härter daran zu arbeiten, uns zu schützen.

Unsere intelligenten Assistenten (und Geräte) sind eine bessere Verteidigung

Siri, Alexa, Cortana und Google wissen eine Menge über uns. Sie sagen intelligent voraus, wohin wir gehen, wo wir waren und was wir mögen. Diese Assistenten kämmen unsere Fotos, um unsere Ferien zu organisieren, sich daran zu erinnern, wer unsere Freunde sind und sogar die Musik, die wir mögen. Es ist auf einer Ebene gruselig, aber in unserem täglichen Leben sehr nützlich. Wenn Ihre Fitbit-Daten vor Gericht verwendet werden können, kann dies auch der Fall sein verwendet, um Sie zu identifizieren.

Wenn Sie ein Online-Konto einrichten, stellen Unternehmen Ihnen dumme Fragen wie den Namen Ihres Highschool-Schatzes oder Ihres Lehrers der dritten Klasse. Unsere Erinnerungen sind nicht so solide wie bei einem Computer. Auf diese Fragen kann man sich nicht verlassen, um unsere Identität zu überprüfen. Ich wurde zuvor von Konten gesperrt, weil mein Lieblingsrestaurant im Jahr 2011 beispielsweise heute nicht mein Lieblingsrestaurant ist.

Google hat mit Smart Lock für Tablets und Chromebooks den ersten Schritt in diesem Verhaltensansatz getan. Wenn Sie der sind, von dem Sie sagen, dass Sie er sind, haben Sie wahrscheinlich Ihr Telefon in Ihrer Nähe. Apple hat den Ball mit dem iCloud-Hack wirklich fallen lassen. Tausende von Versuchen von derselben IP-Adresse aus zulassen.

Anstatt herauszufinden, welchen Song wir als nächstes hören möchten, möchte ich, dass diese Geräte meine Identität auf verschiedene Weise schützen.

1. Du weißt wo ich bin: Mit dem GPS meines Mobiltelefons kennt es meinen Standort. Es sollte meinen anderen Geräten sagen können: "Hey, es ist cool, lass ihn rein." Wenn ich im Timbuktu-Roaming bin, sollten Sie meinem Passwort und möglicherweise sogar meinem zweiten Faktor nicht wirklich vertrauen.
2. Sie wissen, was ich tue: Sie wissen, wann und mit was ich mich anmelde, also ist es Zeit, mir noch ein paar Fragen zu stellen. "Es tut mir leid, Dave, das kann ich nicht" sollte die Antwort sein, wenn ich Sie normalerweise nicht auffordere, die Türen der Pod-Bucht zu öffnen.
3. Sie wissen, wie Sie mich verifizieren können: "Meine Stimme ist mein Reisepass, verifiziere mich." Nein, das kann jeder kopieren. Stellen Sie mir stattdessen Fragen, die für mich leicht zu beantworten und zu merken sind, aber im Internet schwer zu finden sind. Der Mädchenname meiner Mutter mag leicht zu finden sein, aber wo ich letzte Woche mit Mama zu Mittag gegessen habe, ist nicht (siehe meinen Kalender). Wo ich meinen Highschool-Schatz getroffen habe, ist leicht zu erraten, aber welcher Film, den ich letzte Woche gesehen habe, ist nicht leicht zu finden (überprüfen Sie einfach meine E-Mail-Belege).
4. Sie wissen, wie ich aussehe: Facebook kann mich an der erkennen Hinterkopf und Mastercard kann mein Gesicht erkennen. Dies sind bessere Möglichkeiten, um zu überprüfen, wer ich bin.

Ich weiß, dass nur sehr wenige Unternehmen solche Lösungen implementieren, aber das bedeutet nicht, dass ich mich nicht nach ihnen sehnen kann. Bevor Sie sich beschweren - ja, diese können gehackt werden. Das Problem für die Hacker besteht darin, zu wissen, welche sekundären Maßnahmen ein Onlinedienst verwendet. Es könnte an einem Tag eine Frage stellen, aber am nächsten ein Selfie machen.

Apple unternimmt große Anstrengungen, um meine Privatsphäre zu schützen, und das weiß ich zu schätzen. Sobald meine Apple ID angemeldet ist, ist es an der Zeit, dass Siri mich proaktiv schützt. Google Now und Cortana können das auch. Vielleicht entwickelt dies bereits jemand und Google macht einige Fortschritte in diesem Bereich, aber wir brauchen das jetzt! Bis dahin müssen wir beim Schutz unserer Sachen etwas wachsamer sein. Suchen Sie nach Ideen für diese nächste Woche.