Les mots de passe sont brisés Il existe un meilleur moyen d'authentifier les utilisateurs
Photo de polomex - http://flic.kr/p/cCzxju
Pourquoi nous enlevons nos chaussures aux États-Unis mais pas en Israël
Tous ceux qui voyagent aux États-Unis connaissent la sécurité de la TSA. Nous enlevons nos manteaux, évitons les liquides et nos chaussures avant de passer la sécurité. Nous avons une liste d'interdiction de vol basée sur des noms. Ce sont des réactions à des menaces spécifiques. Ce n'est pas comme cela qu'un pays comme Israël assure la sécurité. Je n'ai pas piloté El-Al (compagnie aérienne nationale israélienne), mais des amis me parlent des entretiens qu'ils passent par la sécurité. Les agents de sécurité codent les menaces en fonction de caractéristiques et de comportements personnels.
Photo de Ben Popken
Nous adoptons l'approche TSA pour les comptes en ligne et c'est pourquoi nous avons tous les problèmes de sécurité. L'authentification à deux facteurs est un début. Pourtant, lorsque nous ajoutons un deuxième facteur à nos comptes, nous sommes endormis dans un faux sentiment de sécurité. Ce deuxième facteur protège contre le vol de mon mot de passe, une menace spécifique. Mon deuxième facteur pourrait-il être compromis? Sûr. Mon téléphone pourrait être volé ou un logiciel malveillant pourrait compromettre mon deuxième facteur.
Le facteur humain: ingénierie sociale
Photo de Kevin Baird
Même avec des approches à deux facteurs, les humains ont toujours la possibilité de remplacer les paramètres de sécurité. Il y a quelques années, un pirate informatique persistant a convaincu Apple de réinitialiser l'identifiant Apple d'un écrivain. GoDaddy a été amené à donner un nom de domaine qui permettait une prise de contrôle de compte Twitter. Mon identité a été fusionnée accidentellement avec un autre Dave Greenbaum suite à une erreur humaine sur MetLife. Cette erreur m'a presque conduit à annuler les assurances habitation et automobile de l'autre Dave Greenbaum..
Même si un humain ne remplace pas un paramètre à deux facteurs, ce second jeton n'est qu'un obstacle supplémentaire pour l'attaquant. C'est un jeu pour un pirate informatique. Si je sais que, lorsque vous vous connectez à votre Dropbox, j'ai besoin d'un code d'autorisation, tout ce que j'ai à faire, c'est de le récupérer. Si je ne reçois pas vos messages texte (SIM-pirater quelqu'un?), Je dois simplement vous convaincre de me communiquer ce code. Ce n'est pas sorcier. Puis-je vous convaincre de rendre ce code? Peut-être. Nous faisons davantage confiance à nos téléphones qu'à nos ordinateurs. C’est pourquoi les gens s’efforcent de recevoir un faux message de connexion iCloud.
Une autre histoire vraie qui m'est arrivée deux fois. Ma compagnie de carte de crédit a remarqué une activité suspecte et m'a appelé. Génial! C'est une approche comportementale dont je parlerai plus tard. Cependant, ils m'ont demandé de donner mon numéro complet de carte de crédit par téléphone avec un appel que je n'ai pas passé. Ils ont été choqués, j'ai refusé de leur donner le numéro. Un responsable m'a dit qu'ils recevaient rarement des plaintes de clients. La plupart des appelants ne font que donner le numéro de carte de crédit. Aie. Cela pourrait être n'importe quelle personne néfaste à l'autre bout essayant d'obtenir mes données personnelles.
Les mots de passe ne nous protègent pas
Photo de ditatompel
Nous avons trop de mots de passe dans notre vie dans trop d'endroits. Medium s'est déjà débarrassé des mots de passe. La plupart d'entre nous savons que nous devrions avoir un mot de passe unique pour chaque site. Cette approche est beaucoup trop demander à nos cerveaux chétifs vivant dans un live numérique riche et riche. Les gestionnaires de mots de passe (analogiques ou numériques) aident à prévenir les pirates occasionnels, mais pas les attaques sophistiquées. Heck, les pirates n'ont même pas besoin de mots de passe pour accéder à nos comptes individuels. Ils viennent de pénétrer dans les bases de données qui stockent les informations (Sony, Target, Gouvernement fédéral)..
Prenez une leçon des sociétés émettrices de cartes de crédit
Même si les algorithmes sont un peu décalés, les sociétés de crédit ont la bonne idée. Ils examinent nos habitudes d'achat et notre emplacement pour savoir si c'est vous qui utilisez votre carte. Si vous achetez de l'essence au Kansas, puis un costume à Londres, c'est un problème..
Photo de kozumel
Pourquoi ne pouvons-nous pas appliquer cela à nos comptes en ligne? Certaines entreprises proposent des alertes depuis des adresses IP étrangères (félicitations à LastPass pour permettre aux utilisateurs de définir les pays d'accès préférés). Si mon téléphone, mon ordinateur, ma tablette et mon appareil au poignet sont tous situés au Kansas, je devrais être averti si mon compte est utilisé ailleurs. À tout le moins, ces entreprises devraient me poser quelques questions supplémentaires avant de présumer que je suis ce que je dis. Ce contrôle est particulièrement nécessaire pour les comptes Google, Apple et Facebook qui s’authentifient auprès d’autres comptes via OAuth. Google et Facebook donnent des avertissements pour les activités inhabituelles, mais ils ne sont généralement qu'un avertissement, et les avertissements ne constituent pas une protection. Ma compagnie de carte de crédit dit non à la transaction jusqu'à ce qu'elle vérifie qui je suis. Ils ne disent tout simplement pas «Hé… pensais que tu devrais savoir». Mes comptes en ligne ne doivent pas avertir, ils doivent bloquer les activités inhabituelles. La plus récente modification de la sécurité des cartes de crédit est la reconnaissance faciale. Bien sûr, quelqu'un peut prendre le temps d'essayer de reproduire votre visage, mais les sociétés émettrices de cartes de crédit semblent travailler plus fort pour nous protéger.
Nos assistants intelligents (et nos appareils) constituent une meilleure défense
Photo de Foomandoonian
Siri, Alexa, Cortana et Google connaissent beaucoup de choses sur nous. Ils prédisent intelligemment où nous allons, où nous sommes allés et ce que nous aimons. Ces assistants peignent nos photos pour organiser nos vacances, rappellent qui sont nos amis et même la musique que nous aimons. C'est effrayant à un niveau, mais très utile dans nos vies quotidiennes. Si vos données Fitbit peuvent être utilisées devant un tribunal, elles peuvent également être utilisées pour vous identifier..
Lorsque vous configurez un compte en ligne, les entreprises vous posent des questions stupides, telles que le nom de votre amoureuse du lycée ou de votre enseignant de troisième année. Nos souvenirs ne sont pas aussi solides qu'un ordinateur. On ne peut pas compter sur ces questions pour vérifier notre identité. Je suis en lock-out auparavant parce que mon restaurant préféré en 2011 n'est pas mon restaurant préféré aujourd'hui, par exemple.
Google a franchi la première étape de cette approche comportementale avec Smart Lock pour les tablettes et les Chromebooks. Si vous dites qui vous êtes, votre téléphone est probablement proche de vous. Apple a vraiment laissé tomber la balle avec le piratage iCloud, permettant des milliers de tentatives à partir de la même adresse IP.
Au lieu de déterminer quelle chanson nous voulons écouter ensuite, je souhaite que ces appareils protègent mon identité de plusieurs manières..
- Vous savez où je suis: avec le GPS de mon téléphone portable, il connaît ma position. Il devrait pouvoir dire à mes autres appareils «Hé, c'est cool, laissez-le entrer.» Si je suis en itinérance à Tombouctou, vous ne devriez pas vraiment faire confiance à mon mot de passe et peut-être même à mon deuxième facteur.
- Vous savez ce que je fais: vous savez quand je me connecte et avec quoi, alors il est temps de me poser quelques questions supplémentaires. «Je suis désolé Dave, je ne peux pas faire ça» devrait être la réponse quand je ne vous demande pas normalement d'ouvrir les portes de la baie de pod..
- Vous savez comment me vérifier: «Ma voix est mon passeport, vérifiez-moi.» Non, tout le monde peut le copier. Au lieu de cela, posez-moi des questions qu'il m'est facile de répondre et de retenir, mais difficiles à trouver sur Internet. Le nom de jeune fille de ma mère est peut-être facile à trouver, mais l'endroit où j'ai déjeuné la semaine dernière avec maman ne l'est pas (regardez mon calendrier). Il est facile de deviner où j'ai rencontré ma chérie du secondaire, mais il est difficile de trouver le film que j'ai vu la semaine dernière (il suffit de consulter mes reçus de courriel).
- Vous savez à quoi je ressemble: Facebook peut me reconnaître à l'arrière de ma tête et Mastercard peut détecter mon visage. Ce sont de meilleurs moyens de vérifier qui je suis.
Je sais que très peu d'entreprises mettent en œuvre de telles solutions, mais cela ne signifie pas que je ne peux pas les désirer. Avant de vous plaindre-oui, ils peuvent être piratés. Le problème pour les pirates sera de savoir quel ensemble de mesures secondaires est utilisé par un service en ligne. Il pourrait poser une question un jour, mais prenez un selfie le lendemain.
Apple fait de gros efforts pour protéger ma vie privée et je l’apprécie. Cependant, une fois mon identifiant Apple connecté, il est temps que Siri me protège de manière proactive. Google Now et Cortana peuvent également le faire. Peut-être que quelqu'un est déjà en train de développer cela, et que Google fait des progrès dans ce domaine, mais nous en avons besoin maintenant! En attendant, nous devons être un peu plus vigilants dans la protection de nos produits. Cherchez des idées à ce sujet la semaine prochaine.