Kata Sandi Patah: Ada Cara yang Lebih Baik untuk Mengotentikasi Pengguna
Pribadi Keamanan / / March 16, 2020
Setiap minggu, kami membaca cerita tentang korps dan situs web yang disusupi. Bagi banyak dari kita, pembobolan terburuk adalah kata sandi yang dicuri. Diperlukan perubahan!
Tampaknya setiap minggu, kami membaca berita tentang perusahaan dan situs web yang dikompromikan dan data konsumen dicuri. Bagi banyak dari kita, pembobolan terburuk adalah ketika kata sandi dicuri. Itu Hack LastPass menjadi salah satu serangan yang lebih baru. Dalam beberapa hal, ini adalah bentuk terorisme digital yang hanya berkembang. Otentikasi dua faktor dan biometrik adalah tambalan yang bagus untuk masalah ini, tetapi mereka mengabaikan masalah mendasar terkait dengan manajemen login. Kami memiliki alat untuk menyelesaikan masalah, tetapi belum diterapkan dengan benar.

Foto oleh polomex - http://flic.kr/p/cCzxju
Mengapa Kami Melepas Sepatu Kami di Amerika Serikat tetapi tidak di Israel
Siapa pun yang terbang di Amerika Serikat tahu tentang keamanan TSA. Kami melepas mantel kami, menghindari cairan, dan melepas sepatu kami sebelum melewati keamanan. Kami memiliki daftar larangan terbang berdasarkan nama. Ini adalah reaksi terhadap ancaman khusus. Itu bukan cara negara seperti Israel melakukan keamanan. Saya belum terbang El-Al (maskapai penerbangan nasional Israel), tetapi teman-teman memberi tahu saya tentang wawancara yang mereka lakukan dalam keamanan. Petugas keamanan mengkode ancaman berdasarkan

foto oleh Ben Popken
Kami mengambil pendekatan TSA ke akun daring dan itulah sebabnya kami memiliki semua masalah keamanan. Otentikasi dua faktor adalah permulaan. Namun ketika kami menambahkan faktor kedua ke akun kami, kami terbuai dalam rasa aman yang salah. Faktor kedua itu melindungi seseorang yang mencuri kata sandi saya — ancaman khusus. Bisakah faktor kedua saya dikompromikan? Tentu. Ponsel saya bisa dicuri atau malware bisa membahayakan faktor kedua saya.
Faktor Manusia: Rekayasa Sosial

foto oleh Kevin Baird
Bahkan dengan pendekatan dua faktor, manusia masih memiliki kemampuan untuk mengesampingkan pengaturan keamanan. Beberapa tahun yang lalu, seorang hacker yang rajin meyakinkan Apple untuk mengatur ulang Apple ID seorang penulis. Ayo ayah tertipu untuk mengubah nama domain yang memungkinkan pengambilalihan akun Twitter. Identitas saya dulu secara tidak sengaja bergabung dengan Dave Greenbaum lainnya karena kesalahan manusia di MetLife. Kesalahan ini hampir mengakibatkan saya membatalkan asuransi rumah dan mobil Dave Greenbaum lainnya.
Bahkan jika manusia tidak mengesampingkan pengaturan dua faktor, token kedua hanyalah rintangan bagi penyerang. Ini adalah permainan untuk seorang peretas. Jika saya tahu ketika Anda masuk ke Dropbox Anda bahwa saya memerlukan kode otorisasi, maka yang perlu saya lakukan adalah mendapatkan kode itu dari Anda. Jika saya tidak mengarahkan pesan teks Anda kepada saya (SIM-hack siapa saja?), Saya hanya perlu meyakinkan Anda untuk merilis kode itu kepada saya. Ini bukan ilmu roket. Bisakah saya meyakinkan Anda untuk mengembalikan kode itu? Mungkin. Kami mempercayai ponsel kami lebih dari komputer kami. Itu sebabnya orang-orang jatuh cinta pada hal-hal seperti a pesan masuk iCloud palsu.
Kisah nyata lain yang terjadi pada saya dua kali. Perusahaan kartu kredit saya memperhatikan aktivitas mencurigakan dan menelepon saya. Bagus! Itu pendekatan berbasis perilaku yang akan saya bicarakan nanti. Namun, mereka meminta saya untuk memberikan nomor kartu kredit lengkap saya melalui telepon dengan panggilan yang tidak saya lakukan. Mereka terkejut saya menolak memberi mereka nomor. Seorang manajer mengatakan kepada saya bahwa mereka jarang mendapatkan keluhan dari pelanggan. Sebagian besar penelepon hanya menyerahkan nomor kartu kredit. Aduh. Itu bisa saja orang jahat yang mencoba mendapatkan data pribadi saya.
Kata Sandi Jangan Lindungi Kami

foto oleh ditatompel
Kami memiliki terlalu banyak kata sandi dalam hidup kami di terlalu banyak tempat. Medium sudah menyingkirkan kata sandi. Sebagian besar dari kita tahu kita harus memiliki kata sandi unik untuk setiap situs. Pendekatan itu terlalu banyak untuk ditanyakan pada otak bumi kecil kita yang hidup dalam kehidupan digital yang penuh dan kaya. Pengelola kata sandi (analog atau digital) membantu mencegah peretas biasa, tetapi bukan serangan canggih. Heck, para peretas bahkan tidak memerlukan kata sandi untuk mengakses akun individual kami. Mereka hanya membobol basis data yang menyimpan informasi (Sony, Target, Pemerintah Federal).
Ambil Pelajaran Dari Perusahaan Kartu Kredit
Meskipun algoritmanya mungkin sedikit salah, perusahaan kredit memiliki ide yang tepat. Mereka melihat pola dan lokasi pembelian kami untuk mengetahui apakah Anda menggunakan kartu Anda. Jika Anda membeli gas di Kansas dan kemudian membeli jas di London, itu masalah.

Foto oleh kozumel
Mengapa kami tidak dapat menerapkan ini ke akun online kami? Beberapa perusahaan menawarkan peringatan dari IP asing (pujian ke LastPass untuk mengizinkan pengguna mengatur negara yang disukai untuk akses). Jika ponsel, komputer, tablet, dan perangkat pergelangan tangan saya semuanya ada di Kansas, maka saya harus diberi tahu jika akun saya diakses di tempat lain. Paling tidak, perusahaan-perusahaan ini harus mengajukan beberapa pertanyaan tambahan kepada saya sebelum mereka menganggap saya adalah saya. Penjagaan gerbang ini terutama diperlukan untuk akun Google, Apple, dan Facebook yang mengautentikasi ke akun lain oleh OAuth. Google dan Facebook memberikan peringatan untuk aktivitas yang tidak biasa, tetapi biasanya itu hanya peringatan, dan peringatan itu bukan perlindungan. Perusahaan kartu kredit saya mengatakan tidak pada transaksi sampai mereka memverifikasi siapa saya. Mereka hanya tidak mengatakan "Hei... pikir kamu harus tahu". Akun online saya tidak boleh memperingatkan, mereka harus memblokir untuk aktivitas yang tidak biasa. Sentuhan terbaru untuk keamanan kartu kredit, adalah pengenalan wajah. Tentu, seseorang dapat meluangkan waktu untuk mencoba menduplikasi wajah Anda, tetapi perusahaan kartu kredit tampaknya bekerja lebih keras untuk melindungi kami.
Asisten Cerdas Kami (dan Perangkat) Adalah Pertahanan Yang Lebih Baik

foto oleh Foomandoonian
Siri, Alexa, Cortana, dan Google tahu banyak hal tentang kami. Mereka dengan cerdas memprediksi ke mana kita pergi, ke mana kita pergi dan apa yang kita sukai. Asisten-asisten ini menyisir foto-foto kami untuk mengatur liburan kami, mengingat siapa teman-teman kami, dan bahkan musik yang kami sukai. Ini menyeramkan di satu tingkat, tetapi sangat berguna dalam kehidupan kita sehari-hari. Jika data Fitbit Anda dapat digunakan di pengadilan, itu juga bisa digunakan untuk mengidentifikasi Anda.
Saat Anda membuat akun online, perusahaan mengajukan pertanyaan-pertanyaan tantangan bodoh seperti nama kekasih sekolah menengah Anda atau guru kelas tiga Anda. Kenangan kami tidak sekeras komputer. Pertanyaan-pertanyaan ini tidak dapat diandalkan untuk memverifikasi identitas kami. Saya telah dikunci dari akun sebelumnya karena restoran favorit saya pada tahun 2011 bukan restoran favorit saya hari ini misalnya.
Google telah mengambil langkah pertama dalam pendekatan perilaku ini dengan Smart Lock untuk Tablet dan Chromebook. Jika Anda adalah siapa Anda sebenarnya, maka Anda mungkin memiliki ponsel di dekat Anda. Apple benar-benar menjatuhkan bola dengan hack iCloud, memungkinkan ribuan upaya dari alamat IP yang sama.
Alih-alih mencari tahu lagu mana yang ingin kami dengarkan selanjutnya, saya ingin perangkat ini melindungi identitas saya dalam beberapa cara.
- Anda tahu keberadaan saya: Dengan GPS ponsel saya, ia tahu lokasi saya. Seharusnya bisa memberi tahu perangkat saya yang lain "Hei, keren, biarkan dia masuk." Jika saya di Timbuktu roaming, Anda seharusnya tidak benar-benar mempercayai kata sandi saya dan bahkan mungkin faktor kedua saya.
- Anda tahu apa yang saya lakukan: Anda tahu kapan saya masuk dan dengan apa, jadi sekarang saatnya untuk bertanya kepada saya beberapa pertanyaan lagi. "Maaf, Dave, saya tidak bisa melakukan itu" harus menjadi jawaban ketika saya biasanya tidak meminta Anda untuk membuka pintu ruang pod.
- Anda tahu cara memverifikasi saya: "Suaraku adalah pasporku, verifikasi aku." Tidak, siapa pun dapat menyalinnya. Sebaliknya, ajukan pertanyaan yang mudah saya jawab dan ingat, tetapi sulit ditemukan di Internet. Nama gadis ibu saya mungkin mudah ditemukan, tetapi di mana saya makan siang minggu lalu dengan Mom tidak (lihat kalender saya). Di mana saya bertemu kekasih sekolah menengah saya mudah ditebak, tetapi film mana yang saya tonton minggu lalu tidak mudah ditemukan (cukup periksa kwitansi email saya).
- Anda tahu seperti apa penampilan saya: Facebook dapat mengenali saya dengan belakang kepalaku dan Mastercard dapat mendeteksi wajah saya. Ini adalah cara yang lebih baik untuk memverifikasi siapa saya.
Saya tahu sangat sedikit perusahaan yang menerapkan solusi seperti ini, tetapi itu tidak berarti saya tidak bisa bernafsu terhadap mereka. Sebelum Anda mengeluh-ya ini bisa diretas. Masalah bagi para peretas adalah mengetahui serangkaian tindakan sekunder yang digunakan layanan online. Mungkin suatu hari nanti mengajukan pertanyaan, tetapi selfie berikutnya.
Apple membuat dorongan besar untuk melindungi privasi saya dan saya menghargai itu. Namun, begitu ID Apple saya masuk, saatnya Siri secara proaktif melindungi saya. Google Now dan Cortana dapat melakukannya juga. Mungkin seseorang sudah mengembangkan ini, dan Google membuat beberapa langkah di bidang ini, tetapi kita membutuhkan ini sekarang! Sampai saat itu, kita perlu sedikit lebih waspada dalam melindungi barang-barang kita. Cari beberapa ide tentang itu minggu depan.