Les mots de passe sont brisés: il existe une meilleure façon d'authentifier les utilisateurs

Il semble que chaque semaine, nous lisons des histoires d'entreprises et de sites Web compromis et des données de consommateurs volées. Pour bon nombre d'entre nous, les pires introductions par effraction se produisent lorsque des mots de passe sont volés. le LastPass Hack étant l'une des attaques les plus récentes. À bien des égards, c'est une forme de terrorisme numérique qui ne fait que croître. Authentification à deux facteurs et biométrie sont de bons correctifs au problème, mais ils ignorent les problèmes fondamentaux liés à la gestion des connexions. Nous avons les outils pour résoudre le problème, mais ils n'ont pas été appliqués correctement.

Pourquoi nous enlevons nos chaussures aux États-Unis mais pas en Israël

Quiconque a voyagé aux États-Unis connaît la sécurité de la TSA. Nous enlevons nos manteaux, évitons les liquides et enlevons nos chaussures avant de passer par la sécurité. Nous avons une liste d'interdiction de vol basée sur les noms. Ce sont des réactions à des menaces spécifiques. Ce n'est pas ainsi qu'un pays comme Israël assure la sécurité. Je n’ai pas piloté El-Al (les compagnies aériennes nationales d’Israël), mais des amis me parlent des interviews qu’ils passent en sécurité. Les agents de sécurité codent les menaces en fonction

caractéristiques et comportements personnels.

Nous adoptons l'approche TSA pour les comptes en ligne et c'est pourquoi nous avons tous les problèmes de sécurité. L'authentification à deux facteurs est un début. Pourtant, lorsque nous ajoutons un deuxième facteur à nos comptes, nous sommes bercés par un faux sentiment de sécurité. Ce deuxième facteur protège contre le vol de mon mot de passe, une menace spécifique. Mon deuxième facteur pourrait-il être compromis? Sûr. Mon téléphone pourrait être volé ou un logiciel malveillant pourrait compromettre mon deuxième facteur.

Le facteur humain: l'ingénierie sociale

Même avec des approches à deux facteurs, les humains ont toujours la possibilité de remplacer les paramètres de sécurité. Il y a quelques années, un pirate informatique industrieux a convaincu Apple de réinitialiser l'identifiant Apple d'un écrivain. Allez papa a été trompé en retournant un nom de domaine qui a permis une prise de contrôle de compte Twitter. Mon identité était fusionné accidentellement avec un autre Dave Greenbaum en raison d'une erreur humaine chez MetLife. Cette erreur a failli me faire annuler l'assurance habitation et auto de l'autre Dave Greenbaum.

Même si un humain ne remplace pas un paramètre à deux facteurs, ce deuxième jeton n'est qu'un autre obstacle pour l'attaquant. C'est un jeu pour un hacker. Si je sais que lorsque vous vous connectez à votre Dropbox, j'ai besoin d'un code d'autorisation, alors tout ce que je dois faire est de vous l'obtenir. Si je ne reçois pas vos SMS vers moi (SIM pirater n'importe qui?), Je dois juste vous convaincre de me fournir ce code. Ce n'est pas sorcier. Puis-je vous convaincre de rendre ce code? Peut-être. Nous faisons plus confiance à nos téléphones qu'à nos ordinateurs. C’est pourquoi les gens tombent amoureux de choses comme faux message de connexion iCloud.

Une autre histoire vraie qui m'est arrivée deux fois. Ma compagnie de carte de crédit a remarqué une activité suspecte et m'a appelé. Génial! C’est une approche comportementale dont je parlerai plus tard. Cependant, ils m'ont demandé de donner mon numéro de carte de crédit complet par téléphone avec un appel que je n'ai pas passé. Ils ont été choqués, j'ai refusé de leur donner le numéro. Un gestionnaire m'a dit qu'ils recevaient rarement des plaintes des clients. La plupart des appelants remettent simplement le numéro de carte de crédit. Aie. Cela pourrait être n'importe quelle personne néfaste à l'autre bout essayant d'obtenir mes données personnelles.

Les mots de passe ne nous protègent pas

Nous avons trop de mots de passe dans notre vie dans trop d'endroits. Le médium a déjà débarrassé des mots de passe. La plupart d'entre nous savent que nous devons avoir un mot de passe unique pour chaque site. Cette approche est beaucoup trop demander à nos cerveaux terriens chétifs vivant une vie numérique riche et complète. Gestionnaires de mots de passe (analogique ou numérique) aident à prévenir les pirates informatiques occasionnels, mais pas une attaque sophistiquée. Heck, les pirates n'ont même pas besoin de mots de passe pour accéder à nos comptes individuels. Ils pénètrent simplement dans les bases de données qui stockent les informations (Sony, Target, gouvernement fédéral).

Prenez une leçon des sociétés de cartes de crédit

Même si les algorithmes sont un peu décalés, les sociétés de crédit ont la bonne idée. Ils examinent nos habitudes d'achat et notre emplacement pour savoir si c'est vous qui utilisez votre carte. Si vous achetez du gaz au Kansas puis achetez un costume à Londres, c'est un problème.

Pourquoi ne pouvons-nous pas appliquer cela à nos comptes en ligne? Certaines entreprises proposent des alertes d'adresses IP étrangères (bravo à LastPass pour permettre aux utilisateurs définir les pays préférés pour l'accès). Si mon téléphone, mon ordinateur, ma tablette et mon appareil au poignet se trouvent tous au Kansas, je devrais être averti si mon compte est accessible ailleurs. À tout le moins, ces entreprises devraient me poser quelques questions supplémentaires avant de supposer que je suis qui je dis que je suis. Ce contrôle d'accès est particulièrement nécessaire pour les comptes Google, Apple et Facebook qui s'authentifient auprès d'autres comptes par OAuth. Google et Facebook donner des avertissements pour une activité inhabituelle, mais ils ne sont généralement qu'un avertissement et les avertissements ne sont pas une protection. Ma compagnie de carte de crédit a dit non à la transaction jusqu'à ce qu'elle vérifie qui je suis. Ils ne disent simplement pas "Hé... pensais que tu devrais savoir". Mes comptes en ligne ne doivent pas avertir, ils doivent bloquer pour une activité inhabituelle. La dernière nouveauté en matière de sécurité des cartes de crédit est la reconnaissance faciale. Bien sûr, quelqu'un peut prendre le temps d'essayer de reproduire votre visage, mais les sociétés de cartes de crédit semblent travailler plus fort pour nous protéger.

Nos assistants intelligents (et appareils) sont une meilleure défense

Siri, Alexa, Cortana et Google connaissent une tonne de choses sur nous. Ils prédisent intelligemment où nous allons, où nous sommes allés et ce que nous aimons. Ces assistants peignent nos photos pour organiser nos vacances, se souviennent de qui sont nos amis et même de la musique que nous aimons. C'est effrayant à un niveau, mais très utile dans notre vie quotidienne. Si vos données Fitbit peuvent être utilisées par un tribunal, elles peuvent également être utilisé pour vous identifier.

Lorsque vous créez un compte en ligne, les entreprises vous posent des questions stupides comme le nom de votre chéri du secondaire ou de votre professeur de troisième année. Nos souvenirs ne sont pas aussi solides qu’un ordinateur. Ces questions ne peuvent pas être invoquées pour vérifier notre identité. J'ai déjà été exclu de comptes parce que mon restaurant préféré en 2011 n'est pas mon restaurant préféré aujourd'hui, par exemple.

Google a franchi la première étape de cette approche comportementale avec Smart Lock pour tablettes et Chromebooks. Si vous êtes qui vous dites être, vous avez probablement votre téléphone près de chez vous. Apple a vraiment laissé tomber la balle avec le hack iCloud, permettant des milliers de tentatives à partir de la même adresse IP.

Au lieu de déterminer quelle chanson nous voulons écouter ensuite, je veux que ces appareils protègent mon identité de plusieurs façons.

1. Tu sais où je suis: Avec le GPS de mon téléphone portable, il connaît ma position. Il devrait pouvoir dire à mes autres appareils "Hé, c'est cool, laisse-le entrer." Si je suis en itinérance à Tombouctou, vous ne devriez pas vraiment faire confiance à mon mot de passe et peut-être même à mon deuxième facteur.
2. Tu sais ce que je fais: Vous savez quand je me connecte et avec quoi, il est donc temps de me poser quelques questions supplémentaires. "Je suis désolé Dave, je ne peux pas faire ça" devrait être la réponse quand je ne vous demande pas normalement d'ouvrir les portes de la baie de pod.
3. Vous savez me vérifier: "Ma voix est mon passeport, vérifie-moi." Non, tout le monde peut le copier. Au lieu de cela, posez-moi des questions auxquelles il est facile pour moi de répondre et de me souvenir, mais difficiles à trouver sur Internet. Le nom de jeune fille de ma mère est peut-être facile à trouver, mais ce n’est pas le cas pour le déjeuner de la semaine dernière avec maman (regardez mon calendrier). Il est facile de deviner où j'ai rencontré mon amour de lycée, mais le film que j'ai vu la semaine dernière n'est pas facile à trouver (il suffit de vérifier mes reçus par e-mail).
4. Vous savez à quoi je ressemble: Facebook peut me reconnaître par le derrière ma tête et Mastercard peut détecter mon visage. Ce sont de meilleures façons de vérifier qui je suis.

Je sais que très peu d'entreprises mettent en œuvre des solutions comme celle-ci, mais cela ne signifie pas que je ne peux pas les désirer. Avant de vous plaindre, oui, ceux-ci peuvent être piratés. Le problème pour les pirates sera de savoir quel ensemble de mesures secondaires un service en ligne utilise. Cela pourrait poser une question un jour, mais prenez un selfie le lendemain.

Apple fait un gros effort pour protéger ma vie privée et je l'apprécie. Cependant, une fois mon identifiant Apple connecté, il est temps que Siri me protège de manière proactive. Google Now et Cortana peuvent également le faire. Peut-être que quelqu'un développe déjà cela, et Google fait des progrès dans ce domaine, mais nous en avons besoin maintenant! Jusque-là, nous devons être un peu plus vigilants pour protéger nos affaires. Recherchez des idées à ce sujet la semaine prochaine.