Şifreler Kırık: Kullanıcıları Kimlik Doğrulamanın Daha İyi Yolu Var
Her hafta göründüğü gibi, şirketlerin ve web sitelerinin tehlikeye atıldığı ve tüketici verilerinin çalındığı hikayelerini okuyoruz. Birçoğumuz için, parolalar çalındığında en kötü kırılmalardır. LastPass Hack, daha yeni saldırılardan biridir. Bazı şekillerde, bu sadece büyüyen bir dijital terörizm biçimidir. İki faktörlü kimlik doğrulama ve biyometri problemin güzel yamalarıdır, ancak giriş yönetimi ile ilgili temel konuları göz ardı ederler. Sorunu çözecek araçlara sahibiz, ancak düzgün bir şekilde uygulanmadılar.
ABD'de ayakkabılarımızı neden çıkardık ama İsrail’de değil
Amerika Birleşik Devletleri'nde uçulan herkes TSA güvenliğini biliyor. Coats'ları çıkarırız, sıvılardan kaçınırız ve güvenliğe girmeden önce ayakkabılarımızı çıkarırız. İsimlere dayanarak no-fly listesi var. Bunlar belirli tehditlere karşı reaksiyonlardır. İsrail gibi bir ülkenin güvenliği yok. El-Al'ı (İsrail'in ulusal havayolları) uçurmadım ama arkadaşlar bana güvenlikte yaptıkları görüşmelerden bahseder. Güvenlik görevlileri kişisel özellikleri ve davranışları temel alarak tehditleri kodlarlar.
TSA yaklaşımını çevrimiçi hesaplara alıyoruz ve bu yüzden tüm güvenlik sorunlarımız var. İki faktörlü kimlik doğrulama bir başlangıçtır. Yine de, hesaplarımıza ikinci bir faktör eklediğimizde, yanlış bir güvenlik duygusuna kapıldık. İkinci faktör, şifremi çalan birisine karşı özel bir tehdit oluşturuyor. İkinci faktörümü ele geçirebilir miyim? Emin. Telefonum çalınabilir veya kötü amaçlı yazılım ikinci faktörümü tehlikeye atabilir.
İnsan Faktörü: Sosyal Mühendislik
İki faktörlü yaklaşımlarda bile, insanlar hala güvenlik ayarlarını geçersiz kılma becerisine sahiptir. Birkaç yıl önce, çalışkan bir hacker Apple'ı bir yazarın Apple kimliğini sıfırlamaya ikna etti. GoDaddy, Twitter hesabını ele geçirmeyi etkinleştiren bir alan adı üzerinde dönerek kandırıldı. Kimliğim MetLife'daki bir insan hatası nedeniyle kazara başka bir Dave Greenbaum ile birleştirildi. Bu hata neredeyse beni diğer Dave Greenbaum'un evini ve otomatik sigortasını iptal etmekle sonuçlandı.
Bir insan iki faktörlü bir ayarı geçersiz kılmazsa, bu ikinci jeton, saldırgan için başka bir engeldir. Bu bir hacker için bir oyun. Dropbox'ınıza ne zaman bir yetkilendirme koduna ihtiyacım olduğunu bildiğimi biliyorsanız, yapmam gereken tek şey bu kodu senden almak. Metin mesajlarınızı bana yönlendirmezseniz (SIM'i hack eden herkese?), Sadece bu kodu bana bırakmaya ikna etmem gerekiyor. Bu roket bilimi değil. Bu kodu geri vermen için seni ikna edebilir miyim? Muhtemelen. Telefonlarımıza bilgisayarlarımızdan daha çok güveniriz. Bu yüzden insanlar sahte bir iCloud giriş mesajı gibi şeyler için düşer.
Bana iki kez gelen bir başka gerçek hikaye. Kredi kartı şirketim şüpheli etkinliği fark etti ve beni aradı. Harika! Bu daha sonra hakkında konuşacağım davranışsal bir yaklaşım. Ancak, bana vermediğim bir telefonla tam kredi kartı numaramı vermemi istediler. Şok olmuşlar, onlara sayı vermeyi reddettim. Bir yönetici bana müşterilerden nadiren şikayette bulunduklarını söyledi. Çoğu arayanlar sadece kredi kartı numaralarını teslim eder. Ahh. Bu, kişisel verilerinimi elde etmeye çalışan diğer herkesin hain olduğu bir kişi olabilirdi.
Şifreler Bizi Korumaz
Hayatımızda çok fazla yerde çok fazla şifrelerimiz var. Orta zaten parolalardan kurtuldu. Çoğumuz her site için benzersiz bir şifreye sahip olmamız gerektiğini biliyoruz. Bu yaklaşım, dolu ve zengin bir dijital canlı yaşamakta olan cılız dünyamızın beyinlerini sormak için çok fazla şey. Parola yöneticileri (analog veya dijital) rahat hacker'ları önlemeye yardımcı olur, ancak karmaşık bir saldırı değildir. Heck, bilgisayar korsanlarının bireysel hesaplarımıza erişmek için şifrelere bile ihtiyaçları yoktur. Sadece bilgileri saklayan veritabanlarına girerler (Sony, Target, Federal Government).
Kredi Kartı Şirketlerinden Ders Alın
Algoritmalar biraz kapalı olsa bile, kredi şirketleri doğru fikre sahip. Kartınızı kullanıp kullanmadığınızı öğrenmek için satın alma kalıplarımıza ve konumumuza bakarlar. Kansas'ta benzin alır ve Londra'da bir elbise alırsanız, bu bir problemdir.
Bunu neden çevrimiçi hesaplarımıza uygulayamıyoruz? Bazı şirketler yabancı IP'lerden (kullanıcılara erişim için tercih edilen ülkeleri ayarlamalarını sağlamak için LastPass'dan kudos) uyarı sunuyor. Telefonum, bilgisayarım, tabletim ve bilek cihazım Kansas'ta olsaydı, hesabıma başka bir yerden erişilirse bildirilmem gerekir. En azından, bu şirketler, kim olduğumu söylediğimi varsaymadan önce bana birkaç soru sormalılar. Bu ağ geçidi, özellikle OAuth tarafından diğer hesaplara kimlik doğrulaması yapan Google, Apple ve Facebook hesapları için gereklidir. Google ve Facebook olağandışı etkinlik için uyarı verir, ancak genellikle bir uyarıdır ve uyarılar koruma değildir. Kredi kartı şirketim, kim olduğumu doğrulayana kadar işleme hayır diyor. Sadece “Hey… bilmen gerektiğini düşündüm” demezler. Çevrimiçi hesaplarım uyarılmamalıdır, olağandışı etkinlik için engellenmelidir. Kredi kartı güvenliğindeki en yeni dokunuş, yüz tanımadır. Elbette, birisi yüzünü kopyalamaya çalışmak için zaman harcayabilir, ancak kredi kartı şirketleri bizi korumak için daha fazla çalışıyor gibi görünüyor.
Akıllı Asistanlarımız (ve Cihazlar) Daha İyi Bir Savunma
Siri, Alexa, Cortana ve Google, hakkımızda çok şey biliyor. Nereye gittiğimizi, nerede olduğumuzu ve neyi sevdiğimizi akıllıca tahmin ediyorlar. Bu asistanlar fotograflarımızı, tatilimizi organize etmek, arkadaşlarımızın kim olduğunu ve hatta sevdiğimiz müziği hatırlamak için birleştirir. Bir düzeyde ürkütücüdür, ama günlük hayatımızda çok faydalıdır. Fitbit verileriniz bir mahkemede kullanılabiliyorsa, sizi tanımlamak için de kullanılabilir.
Çevrimiçi bir hesap oluştururken, şirketler lise sevgilinizin adı veya üçüncü sınıf öğretmeniniz gibi aptalca sorular sormanızı ister. Anılarımız bilgisayar kadar sağlam değil. Bu sorular kimliğimizi doğrulamak için güvenilmez. Daha önce hesaplardan kilitlendim çünkü 2011'deki favori restoranım bugün favori restoranım değil.
Google, Tabletler ve Chromebook'lar için Smart Lock ile bu davranışsal yaklaşımda ilk adımı atmıştır. Eğer kim olduğunu söylüyorsanız, muhtemelen telefonunuzu yanınızda bulundurursunuz. Apple gerçekten iCloud hack ile topu bıraktı, aynı IP adresinden binlerce girişime izin verdi.
Daha sonra dinlemek istediğimiz şarkıyı bulmak yerine, bu cihazların kimliğimi birkaç şekilde korumasını istiyorum.
- Nerede olduğumu biliyorsun: Cep telefonumun GPS’iyle konumumu biliyor. Diğer cihazlara “Hey, havalı, izin ver” diyebilmeli. Eğer Timbuktu gezindeysem, şifremi ve hatta muhtemelen ikinci faktöre güvenmemelisin.
- Ne yaptığımı biliyorsun: Ne zaman ve ne ile giriş yaptığımı biliyorsun, o yüzden bana birkaç soru sorma zamanı geldi. “Üzgünüm Dave, bunu yapamam” cevabım, normalde pod yuvası kapılarını açmamı istemediğimde cevap olmalı.
- Beni nasıl doğrulayacağımı biliyorsun: “Sesim pasaportum, beni doğrula.” Hayır, kimse bunu kopyalayabilir. Bunun yerine, bana cevap vermek ve hatırlamak için kolay, ancak internette bulmak zor sorular sor. Annemin kızlık soyadı bulmak kolay olabilir, ama annemle geçen hafta öğle yemeğini yedim (takvimime bak). Lisemle tanıştığım yerde tahmin etmek kolay ama geçen hafta gördüğüm filmi bulmak kolay değil (sadece e-posta faturalarımı kontrol et).
- Neye benzediğimi biliyorsun: Facebook beni başımın arkasından tanıyabilir ve Mastercard yüzümü tespit edebilir. Bunlar kim olduğumu doğrulamanın daha iyi yolları.
Çok az sayıda şirketin bu gibi çözümler geliştirdiğini biliyorum, ama bu onlar için şehvet edemem anlamına gelmez. Şikayet etmeden önce-evet bunlar saldırıya uğrayabilir. Bilgisayar korsanlarının sorunu, bir çevrimiçi hizmetin hangi ikincil önlemleri kullandığını bilecektir. Bir gün bir soru sorabilir, ama bir dahaki sefere bir selfie al.
Apple gizliliğimi korumak için büyük bir baskı yapıyor ve bunu takdir ediyorum. Ancak, Apple ID'm giriş yaptıktan sonra, Siri'nin proaktif olarak beni koruduğu zamanı. Google Asistan ve Cortana da bunu yapabilir. Belki birileri bunu zaten geliştiriyor ve Google bu alanda bazı adımlar atıyor, ama şimdi buna ihtiyacımız var! Bu zamana kadar, eşyalarımızı korumada biraz daha ihtiyatlı olmalıyız. Gelecek hafta için bazı fikirler ara.