كلمات المرور معطلة: هناك طريقة أفضل لمصادقة المستخدمين

خصوصية الأمان   /   by admin   /   March 16, 2020

كل أسبوع ، نقرأ قصصًا عن مواقع الويب والمواقع المخترقة. بالنسبة للعديد منا ، فإن أسوأ عمليات الاختراق هي كلمات المرور المسروقة. التغيير مطلوب!

يبدو أننا نقرأ كل أسبوع قصصًا عن اختراق الشركات والمواقع الإلكترونية وسرقة بيانات المستهلكين. بالنسبة للعديد منا ، فإن أسوأ عمليات الاختراق هي عندما تتم سرقة كلمات المرور. ال لاست باس هاك كونها واحدة من أحدث الهجمات. في بعض النواحي ، إنه شكل من أشكال الإرهاب الرقمي الذي ينمو فقط. توثيق ذو عاملين و القياسات الحيوية تعد تصحيحات جيدة للمشكلة ، لكنها تتجاهل المشكلات الأساسية المتعلقة بإدارة تسجيل الدخول. لدينا الأدوات لحل المشكلة ، ولكن لم يتم تطبيقها بشكل صحيح.

نسيت رقمك السري

صورة بواسطة polomex - http://flic.kr/p/cCzxju

لماذا نخلع أحذيتنا في الولايات المتحدة وليس في إسرائيل

أي شخص يسافر في الولايات المتحدة يعرف عن أمن إدارة أمن النقل. نخلع معاطفنا ونتجنب السوائل ونخلع أحذيتنا قبل المرور بالأمن. لدينا قائمة حظر طيران على أساس الأسماء. هذه هي ردود فعل على تهديدات محددة. ليست هذه هي الطريقة التي تقوم بها دولة مثل إسرائيل بالأمن. لم أقم بطيران العال (شركات الطيران الوطنية الإسرائيلية) ، لكن الأصدقاء يخبرونني عن المقابلات التي يجرونها في الأمن. ضباط الأمن رمز التهديدات على أساس

الخصائص والسلوكيات الشخصية.

علامة Tsa تخبر الأطفال أنهم لا يضطرون إلى خلع أحذيتهم

الصورة من تصوير بن بوبكين

نحن نتخذ نهج TSA للحسابات عبر الإنترنت ولهذا السبب لدينا جميع المشاكل الأمنية. المصادقة الثنائية عامل بداية. ومع ذلك ، عندما نضيف عاملًا ثانيًا إلى حساباتنا ، فإننا نغرق في شعور زائف بالأمان. يحمي هذا العامل الثاني ضد شخص ما يسرق كلمة المرور الخاصة بي - تهديدًا محددًا. هل يمكن اختراق العامل الثاني؟ أكيد. يمكن أن يُسرق هاتفي أو قد تضر البرامج الضارة بعاملتي الثانية.

العامل البشري: الهندسة الاجتماعية

9849 Viss People Hacking 2.0

الصورة من تصوير كيفين بيرد

حتى مع وجود نهجين ، مازال لدى البشر القدرة على تجاوز إعدادات الأمان. قبل بضع سنوات ، أقنع متسلل مجتهد شركة Apple بإعادة تعيين معرف Apple الخاص بالكاتب. GoDaddy تم خداعه إلى تسليم اسم المجال الذي مكّن عملية الاستحواذ على حساب Twitter. كانت هويتي اندمج بالصدفة مع ديف جرينباوم آخر بسبب خطأ بشري في MetLife. أدى هذا الخطأ تقريبًا إلى إلغاء التأمين على المنزل والتأمين على السيارة من ديف غرينباوم الآخر.

حتى إذا لم يتخطى الإنسان إعدادًا من عاملين ، فإن هذا الرمز الثاني هو مجرد عقبة أخرى للمهاجم. إنها لعبة مخترق. إذا كنت أعرف عند تسجيل الدخول إلى Dropbox الخاص بك أنني بحاجة إلى رمز تفويض خاص به ، فكل ما أحتاجه هو الحصول على هذا الرمز منك. إذا لم أحصل على رسائلك النصية الموجهة إلي (اختراق أي شخص SIM؟) ، أريد فقط أن أقنعك بإطلاق هذا الرمز لي. هذا ليس علم الصواريخ. هل يمكنني إقناعك بإعادة هذا الرمز؟ ربما. نحن نثق في هواتفنا أكثر من أجهزة الكمبيوتر الخاصة بنا. لهذا السبب يقع الناس في أمور مثل رسالة تسجيل دخول وهمية على iCloud.

قصة حقيقية أخرى حدثت لي مرتين. لاحظت شركة بطاقة الائتمان الخاصة بي نشاطًا مريبًا واتصلت بي. عظيم! هذا نهج قائم على السلوك الذي سأتحدث عنه لاحقًا. ومع ذلك ، طلبوا مني إعطاء رقم بطاقة الائتمان بالكامل عبر الهاتف بمكالمة لم أجريها. لقد صدموا ، رفضت إعطائهم الرقم. أخبرني أحد المديرين أنهم نادراً ما يتلقون شكاوى من العملاء. يقوم معظم المتصلين بتسليم رقم بطاقة الائتمان. عذرًا. يمكن أن يكون هذا أي شخص شرير على الطرف الآخر يحاول الحصول على بياناتي الشخصية.

كلمات المرور لا تحمينا

سرداب

الصورة من تصوير ديتاتومبيل

لدينا الكثير من كلمات المرور في حياتنا في العديد من الأماكن. الوسيط بالفعل تخلص من كلمات المرور. يعرف معظمنا أنه يجب أن يكون لدينا كلمة مرور فريدة لكل موقع. هذا النهج هو أكثر من أن نطلب من أدمغتنا الترابية الصغيرة التي تعيش حياة رقمية كاملة وغنية. مدراء كلمات المرور (التناظرية أو رقمي) يساعد في منع المتسللين العرضيين ، ولكن ليس هجومًا معقدًا. هيك ، لا يحتاج المتسللون حتى إلى كلمات مرور للوصول إلى حساباتنا الفردية. إنهم يقتحمون قواعد البيانات التي تخزن المعلومات (Sony ، Target ، الحكومة الفيدرالية).

خذ درسا من شركات بطاقات الائتمان

على الرغم من أن الخوارزميات قد تكون بعيدة بعض الشيء ، إلا أن شركات الائتمان لديها الفكرة الصحيحة. ينظرون إلى أنماط الشراء والموقع لمعرفة ما إذا كنت تستخدم بطاقتك. إذا اشتريت الغاز في كانساس ثم اشتريت بدلة في لندن ، فهذه مشكلة.

لندن

الصورة من كوزوميل

لماذا لا يمكننا تطبيق هذا على حساباتنا عبر الإنترنت؟ تقدم بعض الشركات تنبيهات من عناوين IP الأجنبية (مجد إلى LastPass للسماح للمستخدمين تعيين البلدان المفضلة للوصول). إذا كان هاتفي وجهاز الكمبيوتر والجهاز اللوحي وجهاز معصم جميعًا في كانساس ، فيجب إخطاري إذا تم الوصول إلى حسابي في مكان آخر. على الأقل ، يجب على هذه الشركات أن تسألني بعض الأسئلة الإضافية قبل أن تفترض أنني أنا من أقول أنني. يُعد هذا الحراسة ضروريًا بشكل خاص لحسابات Google و Apple و Facebook التي تصادق على حسابات أخرى بواسطة OAuth. جوجل و موقع التواصل الاجتماعي الفيسبوك إعطاء تحذيرات بشأن نشاط غير عادي ، ولكنها عادة ما تكون مجرد تحذير ، والتحذيرات ليست حماية. تقول شركة بطاقة الائتمان الخاصة بي لا للمعاملة حتى تتحقق من هويتي. إنهم لا يقولون "مرحبًا... أعتقد أنك يجب أن تعرف". حساباتي على الإنترنت لا ينبغي أن تحذر ، يجب أن تحظر بسبب نشاط غير عادي. أحدث تطور لأمن بطاقة الائتمان هو التعرف على الوجه. بالتأكيد ، يمكن لشخص ما أن يأخذ الوقت الكافي لمحاولة تكرار وجهك ، ولكن يبدو أن شركات بطاقات الائتمان تعمل بجد لحمايتنا.

المساعدون (والأجهزة) الذكية لدينا هم أفضل دفاع

تصوير Foomandoonian - http://flic.kr/p/7vn1x9

الصورة من تصوير فوماندونيان

يعرف كل من Siri و Alexa و Cortana و Google الكثير من الأشياء عنا. يتنبأون بذكاء إلى أين نتجه ، وأين كنا وماذا نحب. يقوم هؤلاء المساعدون بتمشيط صورنا لتنظيم عطلتنا ، وتذكر من هم أصدقاؤنا ، وحتى الموسيقى التي نحبها. إنه زاحف على مستوى واحد ، ولكنه مفيد جدًا في حياتنا اليومية. إذا كان من الممكن استخدام بيانات Fitbit الخاصة بك في محكمة قانونية ، فيمكن أن تكون كذلك تستخدم للتعرف عليك.

عند إنشاء حساب على الإنترنت ، تطرح عليك الشركات أسئلة تحدي غبية مثل اسم حبيبتك في المدرسة الثانوية أو مدرس الصف الثالث. ذكرياتنا ليست صلبة مثل الكمبيوتر. لا يمكن الاعتماد على هذه الأسئلة للتحقق من هويتنا. لقد تم حظر حساباتي من قبل لأن مطعمي المفضل في عام 2011 ليس مطعمي المفضل اليوم على سبيل المثال.

اتخذت Google الخطوة الأولى في هذا النهج السلوكي باستخدام Smart Lock للأجهزة اللوحية وأجهزة Chromebook. إذا كنت تقول أنك أنت ، فربما يكون هاتفك بالقرب منك. أبل أسقطت الكرة حقًا من خلال اختراق iCloud ، مما سمح بآلاف المحاولات من نفس عنوان IP.

بدلاً من معرفة الأغنية التي نريد الاستماع إليها بعد ذلك ، أريد أن تحمي هذه الأجهزة هويتي بعدة طرق.

    1. أنت تعرف أين أنا: من خلال نظام تحديد المواقع العالمي (GPS) لهاتفي المحمول ، يعرف موقعي من المفترض أن يكون قادرًا على إخبار أجهزتي الأخرى "مرحبًا ، إنه رائع ، دعه يدخل". إذا كنت في تجوال في تمبكتو ، فلا يجب أن تثق حقًا بكلمة مروري وربما حتى عاملي الثاني.
    2. أنت تعرف ما أفعله: أنت تعرف عندما أسجل الدخول وماذا ، لذلك حان الوقت لطرح بعض الأسئلة الإضافية. يجب أن تكون الإجابة "أنا آسف ديف ، لا يمكنني أن أفعل ذلك" عندما لا أطلب منك عادةً فتح أبواب حجرة الطعام.
    3. أنت تعرف كيف تتحقق مني: "صوتي هو جواز سفري ، تحقق مني". لا ، يمكن لأي شخص نسخ ذلك. بدلاً من ذلك ، اطرح علي أسئلة يسهل علي الإجابة عنها وتذكرها ، ولكن يصعب العثور عليها على الإنترنت. قد يكون من السهل العثور على اسم والدتي قبل الزواج ، ولكن حيث تناولت الغداء الأسبوع الماضي مع أمي لم يكن (انظر إلى التقويم الخاص بي). من السهل تخمين المكان الذي التقيت فيه بحبيبتي في المدرسة الثانوية ، لكن الفيلم الذي شاهدته الأسبوع الماضي ليس من السهل العثور عليه (ما عليك سوى التحقق من إيصالات البريد الإلكتروني).
    4. أنت تعرف كيف أبدو: يمكن للفيس بوك التعرف علي مؤخرة رأسي ويمكن لماستركارد كشف وجهي. هذه طرق أفضل للتحقق من هويتي.

أعلم أن عددًا قليلاً جدًا من الشركات تقوم بتنفيذ حلول مثل هذه ، لكن هذا لا يعني أنني لا أستطيع شهوتها. قبل أن تشكو - نعم يمكن اختراق هذه. سوف تكون مشكلة المتسللين هي معرفة مجموعة التدابير الثانوية التي تستخدمها خدمة عبر الإنترنت. قد تطرح سؤالاً في أحد الأيام ، ولكن يمكنك التقاط صورة ذاتية في اليوم التالي.

تبذل Apple دفعة كبيرة لحماية خصوصيتي وأنا أقدر ذلك. ومع ذلك ، بمجرد تسجيل الدخول إلى Apple ID الخاص بي ، فقد حان الوقت لحماية Siri بشكل استباقي. يمكن لـ Google Now و Cortana القيام بذلك أيضًا. ربما يقوم شخص ما بتطوير هذا بالفعل ، وتقوم Google بخطوات واسعة في هذا المجال ، لكننا نحتاج إلى ذلك الآن! حتى مثل هذا الوقت ، نحتاج إلى أن نكون أكثر يقظة في حماية أغراضنا. ابحث عن بعض الأفكار حول ذلك الأسبوع المقبل.

الكلمات سحابة
تصنيف
126
عدد المشاهدات
0
تعليقات
YOU MIGHT ALSO LIKE