Las contraseñas están rotas Hay una mejor manera de autenticar a los usuarios
Foto de polomex - http://flic.kr/p/cCzxju
Por qué nos quitamos los zapatos en los Estados Unidos pero no en Israel
Cualquiera que haya volado en los Estados Unidos sabe acerca de la seguridad de la TSA. Nos quitamos los abrigos, evitamos los líquidos y nos quitamos los zapatos antes de pasar por la seguridad. Tenemos una lista de exclusión aérea basada en nombres. Estas son reacciones a amenazas específicas. No es así como un país como Israel hace la seguridad. No he volado El-Al (las aerolíneas nacionales de Israel), pero mis amigos me cuentan las entrevistas que realizan en materia de seguridad. Los oficiales de seguridad codifican amenazas basadas en características y comportamientos personales..
Foto de Ben Popken.
Estamos tomando el enfoque de TSA para las cuentas en línea y es por eso que tenemos todos los problemas de seguridad. La autenticación de dos factores es un comienzo. Sin embargo, cuando agregamos un segundo factor a nuestras cuentas, caemos en una falsa sensación de seguridad. Ese segundo factor protege contra que alguien robe mi contraseña, una amenaza específica. ¿Podría estar comprometido mi segundo factor? Por supuesto. Mi teléfono podría ser robado o el malware podría comprometer mi segundo factor.
El factor humano: la ingeniería social
Foto de Kevin Baird
Incluso con enfoques de dos factores, los seres humanos todavía tienen la capacidad de anular la configuración de seguridad. Hace unos años, un hacker industrial convenció a Apple para restablecer la ID de Apple de un escritor. GoDaddy fue engañado para que entregara un nombre de dominio que permitiera la toma de control de una cuenta de Twitter. Mi identidad se fusionó accidentalmente con otro Dave Greenbaum debido a un error humano en MetLife. Este error casi me lleva a cancelar el seguro de hogar y auto del otro Dave Greenbaum.
Incluso si un ser humano no anula una configuración de dos factores, esa segunda ficha es solo otro obstáculo para el atacante. Es un juego para un hacker. Si sé cuándo inicia sesión en su Dropbox para el que necesito un código de autorización, todo lo que debo hacer es obtener ese código de usted. Si no recibo tus mensajes de texto dirigidos a mí (¿SIM-hackear a alguien?), Solo necesito convencerte de que me envíes ese código. Esto no es ciencia espacial. ¿Puedo convencerte de devolver ese código? Posiblemente. Confiamos en nuestros teléfonos más que en nuestras computadoras. Es por eso que la gente se enamora de cosas como un mensaje de inicio de sesión de iCloud falso.
Otra historia real que me pasó dos veces. Mi compañía de tarjetas de crédito notó actividad sospechosa y me llamó. ¡Genial! Ese es un enfoque basado en el comportamiento del que hablaré más adelante. Sin embargo, me pidieron que proporcionara mi número completo de tarjeta de crédito por teléfono con una llamada que no hice. Se sorprendieron al negarme a darles el número. Un gerente me dijo que rara vez reciben quejas de los clientes. La mayoría de las personas que llaman simplemente entregan el número de la tarjeta de crédito. Ay. Eso podría haber sido cualquier persona malvada en el otro extremo tratando de obtener mis datos personales.
Las contraseñas no nos protegen
Foto de ditatompel.
Tenemos demasiadas contraseñas en nuestra vida en muchos lugares. Medium ya se ha deshecho de las contraseñas. La mayoría de nosotros sabemos que debemos tener una contraseña única para cada sitio. Ese enfoque es demasiado pedir a nuestros enclenques cerebrales que viven una vida digital rica y completa. Los administradores de contraseñas (analógicos o digitales) ayudan a prevenir piratas informáticos ocasionales, pero no un ataque sofisticado. Diablos, los hackers ni siquiera necesitan contraseñas para acceder a nuestras cuentas individuales. Simplemente entran en las bases de datos que almacenan la información (Sony, Target, Gobierno Federal).
Tome una lección de las compañías de tarjetas de crédito
A pesar de que los algoritmos pueden estar un poco apagados, las compañías de crédito tienen la idea correcta. Miran nuestros patrones de compra y ubicación para saber si está usando su tarjeta. Si compras gasolina en Kansas y luego compras un traje en Londres, eso es un problema..
Foto por kozumel.
¿Por qué no podemos aplicar esto a nuestras cuentas en línea? Algunas compañías ofrecen alertas de direcciones IP extranjeras (felicitaciones a LastPass por permitir que los usuarios configuren los países preferidos para el acceso). Si mi teléfono, computadora, tableta y dispositivo de muñeca están todos en Kansas, entonces se me notificará si se accede a mi cuenta en otro lugar. Como mínimo, estas compañías deberían hacerme algunas preguntas adicionales antes de asumir que soy quien digo que soy. Este control de acceso es especialmente necesario para las cuentas de Google, Apple y Facebook que se autentican en otras cuentas por OAuth. Google y Facebook emiten advertencias sobre actividades inusuales, pero generalmente son solo una advertencia y las advertencias no son protección. La compañía de mi tarjeta de crédito dice que no a la transacción hasta que verifiquen quién soy. Simplemente no dicen "Hey ... pensaste que deberías saber". Mis cuentas en línea no deben avisar, deben bloquearse por actividad inusual. El nuevo giro a la seguridad de la tarjeta de crédito, es el reconocimiento facial. Claro, alguien puede tomarse el tiempo para intentar duplicar tu rostro, pero las compañías de tarjetas de crédito parecen estar trabajando más duro para protegernos..
Nuestros asistentes inteligentes (y dispositivos) son una mejor defensa
Foto de Foomandoonian.
Siri, Alexa, Cortana y Google saben muchas cosas sobre nosotros. Predicen inteligentemente a dónde vamos, a dónde hemos estado y qué nos gusta. Estos asistentes peinan nuestras fotos para organizar nuestras vacaciones, recuerdan quiénes son nuestros amigos e incluso la música que nos gusta. Es espeluznante en un nivel, pero muy útil en nuestra vida diaria. Si sus datos de Fitbit se pueden usar en un tribunal, también se pueden usar para identificarlo.
Cuando está configurando una cuenta en línea, las compañías le hacen preguntas tontas como el nombre de su novia de preparatoria o su maestra de tercer grado. Nuestros recuerdos no son tan sólidos como una computadora. No se puede confiar en estas preguntas para verificar nuestra identidad. He sido bloqueado de cuentas antes porque mi restaurante favorito en 2011 no es mi restaurante favorito hoy, por ejemplo.
Google ha dado el primer paso en este enfoque de comportamiento con Smart Lock para tabletas y Chromebooks. Si eres quien dices que eres, entonces probablemente tengas tu teléfono cerca de ti. Apple realmente dejó caer la pelota con el hackeo de iCloud, permitiendo miles de intentos desde la misma dirección IP.
En lugar de averiguar qué canción queremos escuchar a continuación, quiero que estos dispositivos protejan mi identidad de varias maneras..
- Sabes dónde estoy: con el GPS de mi teléfono móvil, conoce mi ubicación. Debería poder decirle a mis otros dispositivos "Oye, está bien, déjalo entrar". Si estoy en Timbuktu en roaming, no deberías confiar en mi contraseña y posiblemente en mi segundo factor..
- Sabes lo que hago: sabes cuándo entro y con qué, así que es hora de hacerme algunas preguntas más. "Lo siento, Dave, no puedo hacer eso" debería ser la respuesta cuando normalmente no te pido que abras las puertas de la bahía..
- Usted sabe cómo verificarme: "Mi voz es mi pasaporte, verifíqueme". No, cualquiera puede copiar eso. En su lugar, hágame preguntas que sean fáciles de responder y recordar, pero difíciles de encontrar en Internet. El apellido de soltera de mi madre puede ser fácil de encontrar, pero el lugar donde comí el almuerzo la semana pasada con mamá no es (mire mi calendario). Es fácil adivinar dónde conocí a mi novia del instituto, pero qué película que vi la semana pasada no es fácil de encontrar (solo revise mis recibos de correo electrónico).
- Sabes cómo me veo: Facebook puede reconocerme por la parte de atrás de mi cabeza y Mastercard puede detectar mi cara. Estas son mejores formas de verificar quién soy..
Sé que muy pocas compañías están implementando soluciones como esta, pero eso no significa que no pueda desearlas. Antes de quejarse, sí, estos pueden ser hackeados. El problema para los hackers será saber qué conjunto de medidas secundarias está utilizando un servicio en línea. Podría hacer una pregunta un día, pero tomar una selfie al siguiente.
Apple está haciendo un gran esfuerzo para proteger mi privacidad y lo aprecio. Sin embargo, una vez que inicie sesión mi ID de Apple, es hora de que Siri me proteja de forma proactiva. Google Now y Cortana también pueden hacer eso. Tal vez alguien ya esté desarrollando esto, y Google está haciendo algunos avances en esta área, ¡pero lo necesitamos ahora! Hasta ese momento, debemos estar un poco más alertas para proteger nuestras cosas. Busca algunas ideas sobre eso la próxima semana..