As senhas estão quebradas: existe uma maneira melhor de autenticar usuários

Toda semana, parece que estamos lendo histórias de empresas e sites comprometidos e dados de consumidores roubados. Para muitos de nós, as piores invasões são quando as senhas são roubadas. o LastPass Hack sendo um dos ataques mais recentes. De várias maneiras, é uma forma de terrorismo digital que só está crescendo. Autenticação de dois fatores e biometria são boas correções para o problema, mas ignoram os problemas fundamentais relacionados ao gerenciamento de login. Temos as ferramentas para resolver o problema, mas elas não foram aplicadas corretamente.

Por que tiramos os sapatos nos Estados Unidos, mas não em Israel

Qualquer pessoa que voou nos Estados Unidos conhece a segurança da TSA. Tiramos os casacos, evitamos líquidos e tiramos os sapatos antes de passar pela segurança. Temos uma lista de exclusão aérea baseada em nomes. Essas são reações a ameaças específicas. Não é assim que um país como Israel faz segurança. Não voei com a El-Al (companhias aéreas nacionais de Israel), mas os amigos me contam as entrevistas que realizam em segurança. Os agentes de segurança codificam ameaças com base em

características e comportamentos pessoais.

Estamos adotando a abordagem TSA para contas online e é por isso que temos todos os problemas de segurança. A autenticação de dois fatores é um começo. No entanto, quando adicionamos um segundo fator às nossas contas, somos levados a uma falsa sensação de segurança. Esse segundo fator protege contra alguém que rouba minha senha - uma ameaça específica. Meu segundo fator poderia ser comprometido? Certo. Meu telefone pode ser roubado ou malware pode comprometer meu segundo fator.

O fator humano: engenharia social

Mesmo com abordagens de dois fatores, os humanos ainda têm a capacidade de substituir as configurações de segurança. Alguns anos atrás, um hacker diligente convenceu a Apple a redefinir o ID da Apple de um escritor. Vai Papai foi enganado em transformar um nome de domínio que ativou a aquisição de uma conta no Twitter. Minha identidade era acidentalmente se fundiu com outro Dave Greenbaum devido a um erro humano na MetLife. Esse erro quase resultou no cancelamento do seguro residencial e automóvel do outro Dave Greenbaum.

Mesmo que um humano não substitua uma configuração de dois fatores, esse segundo token é apenas mais um obstáculo para o atacante. É um jogo para um hacker. Se eu souber, quando você fizer login no seu Dropbox, para o qual preciso de um código de autorização, tudo o que preciso fazer é obter esse código. Se eu não receber suas mensagens de texto direcionadas para mim (SIM hackear alguém?), Só preciso convencê-lo a liberar esse código para mim. Isso não é ciência do foguete. Posso convencê-lo a devolver esse código? Possivelmente. Confiamos mais em nossos telefones do que em nossos computadores. É por isso que as pessoas se apaixonam por coisas como um mensagem de login falsa do iCloud.

Outra história verdadeira que me aconteceu duas vezes. Minha empresa de cartão de crédito notou atividade suspeita e me ligou. Ótimo! Essa é uma abordagem baseada em comportamento que falarei mais adiante. No entanto, eles me pediram para fornecer meu número de cartão de crédito completo por telefone com uma ligação que eu não fiz. Eles ficaram chocados por eu me recusar a dar o número. Um gerente me disse que eles raramente recebem reclamações dos clientes. A maioria dos chamadores apenas entrega o número do cartão de crédito. Ai. Poderia ser qualquer pessoa nefasta do outro lado tentando obter meus dados pessoais.

As senhas não nos protegem

Temos muitas senhas em nossa vida em muitos lugares. Médio já se livrou de senhas. Muitos de nós sabemos que devemos ter uma senha exclusiva para cada site. Essa abordagem é pedir demais aos nossos cérebros terrestres insignificantes que vivem uma vida digital completa e rica. Gerenciadores de senhas (analógico ou digital) ajudam a impedir hackers casuais, mas não um ataque sofisticado. Caramba, os hackers nem precisam de senhas para acessar nossas contas individuais. Eles simplesmente invadem os bancos de dados que armazenam as informações (Sony, Target, Governo Federal).

Tire uma lição das empresas de cartão de crédito

Embora os algoritmos possam estar um pouco errados, as empresas de crédito têm a ideia certa. Eles analisam nossos padrões de compra e localização para saber se você está usando seu cartão. Se você compra gasolina no Kansas e depois compra um terno em Londres, isso é um problema.

Por que não podemos aplicar isso às nossas contas online? Algumas empresas oferecem alertas de IPs estrangeiros (parabéns ao LastPass por permitir que os usuários definir países preferenciais para acesso). Se meu telefone, computador, tablet e dispositivo de pulso estiverem todos no Kansas, eu deveria ser notificado se minha conta for acessada em outro lugar. No mínimo, essas empresas devem me fazer algumas perguntas adicionais antes de assumirem que sou quem afirmo que sou. Esse controle é especialmente necessário para contas do Google, Apple e Facebook que são autenticadas em outras contas pelo OAuth. Google e Facebook dê avisos para atividades incomuns, mas geralmente são apenas um aviso, e os avisos não são proteção. A empresa do meu cartão de crédito diz não à transação até que ela verifique quem eu sou. Eles simplesmente não dizem "Ei... pensei que você deveria saber". Minhas contas on-line não devem avisar, elas devem bloquear atividades incomuns. A mais nova reviravolta na segurança do cartão de crédito é reconhecimento facial. Claro, alguém pode dedicar um tempo para tentar duplicar seu rosto, mas as empresas de cartão de crédito parecem estar trabalhando mais para nos proteger.

Nossos assistentes inteligentes (e dispositivos) são uma defesa melhor

Siri, Alexa, Cortana e Google sabem muito sobre nós. Eles prevêem inteligentemente para onde estamos indo, onde estivemos e do que gostamos. Esses assistentes vasculham nossas fotos para organizar nossas férias, lembrar quem são nossos amigos e até a música que gostamos. É assustador em um nível, mas muito útil em nossas vidas diárias. Se seus dados Fitbit puderem ser usados ​​em um tribunal, eles também poderão ser usado para identificar você.

Quando você cria uma conta on-line, as empresas fazem perguntas idiotas, como o nome da sua namorada do ensino médio ou do seu professor da terceira série. Nossas memórias não são tão sólidas quanto um computador. Não é possível confiar nessas perguntas para verificar nossa identidade. Já fui bloqueado antes porque meu restaurante favorito em 2011 não é o meu restaurante favorito hoje, por exemplo.

O Google deu o primeiro passo nessa abordagem comportamental com o Smart Lock para tablets e Chromebooks. Se você é quem diz ser, provavelmente o telefone está perto de você. A Apple realmente jogou a bola com o hack do iCloud, permitindo milhares de tentativas do mesmo endereço IP.

Em vez de descobrir qual música queremos ouvir a seguir, quero que esses dispositivos protejam minha identidade de algumas maneiras.

1. Você sabe onde eu estou: Com o GPS do meu celular, ele sabe minha localização. Deveria poder dizer aos meus outros dispositivos "Ei, que legal, deixe ele entrar". Se eu estiver em roaming Timbuktu, você não deve confiar na minha senha e possivelmente no meu segundo fator.
2. Você sabe o que eu faço: Você sabe quando eu faço login e com o que, então é hora de me fazer mais algumas perguntas. "Sinto muito, Dave, não posso fazer isso" deve ser a resposta quando normalmente não peço para você abrir as portas do compartimento de bagagens.
3. Você sabe como me verificar: "Minha voz é meu passaporte, verifique-me." Não, qualquer um pode copiar isso. Em vez disso, faça-me perguntas fáceis de responder e lembrar, mas difíceis de encontrar na Internet. O nome de solteira da minha mãe pode ser fácil de encontrar, mas onde eu almocei na semana passada com a mamãe não é (veja meu calendário). É fácil adivinhar onde eu conheci minha namorada do ensino médio, mas não é fácil encontrar o filme que vi na semana passada (basta verificar meus recibos por e-mail).
4. Você sabe como eu sou: O Facebook pode me reconhecer pelo parte de trás da minha cabeça e Mastercard pode detectar meu rosto. Essas são formas melhores de verificar quem eu sou.

Sei que poucas empresas estão implementando soluções como essa, mas isso não significa que não posso cobiçar por elas. Antes de você reclamar, sim, eles podem ser invadidos. O problema para os hackers será saber qual conjunto de medidas secundárias um serviço online está usando. Pode fazer uma pergunta um dia, mas tirar uma selfie no dia seguinte.

A Apple está fazendo um grande esforço para proteger minha privacidade e eu aprecio isso. No entanto, depois que meu ID Apple estiver conectado, é hora de a Siri me proteger proativamente. O Google Now e a Cortana também podem fazer isso. Talvez alguém já esteja desenvolvendo isso, e o Google esteja avançando nessa área, mas precisamos disso agora! Até esse momento, precisamos ser um pouco mais vigilantes na proteção de nossas coisas. Procure algumas idéias sobre isso na próxima semana.