Hogyan találjuk meg a boldogságot a jelszó őrület világában?

Wired Riporter Mat Honan értékes jelszavait összetett szociális mérnöki kihasználás. A jogsértés főbb címeket tett közzé, mivel az az Apple és az Amazon ügyfélszolgálati politikáiban jelentett biztonsági hibákat tárt fel; de ne felejtsük el, hogy a Honan saga egy hosszú, szervezett inváziót fedezett fel, amely több millió felhasználói jelszót fedezett fel. Júniusban a hackerek elloptak mintegy 6,5 millió LinkedIn jelszót és elküldték őket online. Ugyanebben a hónapban a betolakodók körülbelül 1,5 millió eHarmony jelszót veszélyeztetettek a biztonság megsértése miatt, és júliusban a hackerek 450 ezer Yahoo Voice-jelszót fogtak meg. A Yahoo tagok által használt legelterjedtebb jelszavak közül: "123456", "welcome" és az egyre népszerűbb "jelszó".

Az alapvető probléma nem az, hogy ezek a webhelyek jobban védjék a felhasználói adatokat (bár nekik kellene lenniük). És nem az, hogy a felhasználók olyan jelszavakat választottak, amelyek rendkívül könnyűek voltak feltörni, és ugyanazokat a titkos jelszavakat újra felhasználták minden olyan helyszínen, ahol regisztrálták őket (bár ők).

[További olvasnivalók:

A probléma az, hogy a jelszavak önmagát legyőző, gyakran impotens eszközökké váltak a digitális biztonság nagyszerű rendszerében. Túl sok emberre van szükségünk, és az erősek túl nehézek emlékezni.

"A Net használata ma már több tucat jelszóval és bejelentkezéssel kell rendelkeznie" - mondja Terry Hartmann, az Unisys globális biztonsági megoldásainak alelnöke. "Minden alkalommal, amikor visszamegy egy webhelyre, úgy érzi, hogy új szabályokat vezetett be a jelszavak összetettebbé tételéhez. Végül a felhasználók minden jelszóval visszaállnak. "

Röviden: A jelszórendszer megszakadt. A LinkedIn, az eHarmony és a Yahoo kizsákmányolt összes jelszava "hashed" volt - azaz a tényleges jelszavakat algoritmikusan generált kód váltotta fel. Ez átalakítja a kiszolgálókon tárolt jelszavakat (és a hackerek lopják) alfanumerikus gobbledygook-ba. Mégis, ha a jelszava olyan egyszerű, mint például az "officepc", akkor a hacker még haszontalan formában is könnyedén kitörölheti a nyers erő vagy a szivárványtáblázatot.

De mindent nem veszített el. A számokkal és speciális karakterekkel ellátott összetett jelszavak (amelyek nem hasonlítanak egy igazi névhez vagy szóhoz) adnak harci esélyt a hackerek ellen, és ezeket a kódokat egy kéznélgedelmező kezelő alkalmazásban tárolhatja. A weboldalak ezzel párhuzamosan többet tesznek a biztonság növelése érdekében, ami többfaktoros hitelesítést igényel, és úgy tűnik, mintha a biometrikus technológiát hamarosan alkalmazni fogják a tömegpiaci biztonság szempontjából is.

A jelszóprobléma nem fog eltűnni hamarosan, és mostantól az alábbiakban ismertetett alkalmazásokra, szolgáltatásokra és új technológiákra kell támaszkodnunk, hogy egy lépéssel megelőzze a rosszfiúkat.

Password vaults

A jelszókezelő programok olyanok, mint a spamszűrők - a digitális élet kezelése nélkülözhetetlen eszközei. A jó jelszókezelő emlékezteti az összes bejelentkezést, az egyszerű jelszavak helyébe lép, amelyeket összetettekkel választasz, és gyorsan megváltoztathatja azokat a jelszavakat, ha egy webhelyet vagy szolgáltatást használ, amelyet feltörnek.

A legjobb rész: ahelyett, hogy több tucat emlékezni kellene az egyedülálló jelszavak közül csak emlékezni kell az egyikre: a boltozat fő jelszava. És ha nem mindig jelentkezel be ugyanarra a gépre és ugyanazon a böngészőre (ebben az esetben valószínűleg olvashatod ezt egy AOL telefonos kapcsolaton), akkor olyan felhőalapú programot szeretne, mint a LastPass, az 1Password vagy a Roboform a bejelentkezésedet bármilyen számítógépre, telefonra vagy táblagépre.

A hátránya: még mindig emlékezned kell a fő jelszavadra, és tényleg jónak kell lennie, a számok, tőkés kisbetűk és különleges karakterek, például kérdőjelek és felkiáltójelek keveredésével.

Természetesen, egy támadó, aki sikeresen telepít egy keyloggeret a rendszerbe, képes lesz arra, hogy kiszabadítsa a jelszavát, amikor beírja azt, jegyzi meg Robert Siciliano, a McAfee online biztonsági szakértője, aki egy jelszóvédőt használ több, mint 700 bejelentkezés tárolására. Hasonlóképpen, ha a bűnözők egy felhőalapú jelszósávot csapnak be - mint ahogy a LastPass 2011 májusában történt - akkor lehet, hogy vége a játéknak. Szerencsére a LastPass ügyfelei számára a 2011-es támadás során semmilyen bizalmas információt nem sértettek; de a következő alkalommal, amikor sikeres behatolás következik be (és ez bizonyos védelmi céllal valahol elkerülhetetlen), a felhasználók esetleg nem lesznek ilyen szerencsések.

Alsó sor: A jelszókezelő boltívek hatalmas értéket képviselnek, értékek digitális biztonság.

Többfaktoros hitelesítés

A titkosított boltívben tárolt összetett jelszavak csak az első lépés. Egyes webhelyek egy második szintű biztonsági szintre támaszkodnak a felhasználók azonosítására - jellemzően egy olyan hardverrészre, amelyet csak a jogos felhasználó fér hozzá. Így még a jelszavát ismerő támadónak is szüksége van hozzáférésre, például a telefonra vagy a számítógépre, hogy ellopja adatait.

A pénzintézeteket a törvény előírja, hogy több tényezőt használjanak az online tranzakciók kezelésénél, de a háttérben a gép hitelesítésével vagy annak helyével, mondja Siciliano. Például ha San Franciscóban lakik, és Sanghajban tartózkodó személy megpróbálja hozzáférni a bankszámlájához, akkor ez a tranzakció blokkolható, vagy az adott személynek további hitelesítési bizonyítékot kell előírnia egy adott eszközhöz küldött szám megadásával. a bank.

A Google és a Facebook mostantól kétszintű hitelesítést is kínál: Átmeneti PIN-kódot küldhet mobiltelefonjára, amikor bejelentkezik egy ismeretlen gépről (ezt a PIN-kódot meg kell adni a jelszóval együtt amikor először próbál bejelentkezni az új gépen keresztül). Ez a meghibásodás megelőzte a Mat Honan által a múlt hónapban elszenvedett összes nehézséget.

A Google két részből álló hitelesítési rendszere nagyobb biztonságot nyújt, de sok felhasználó fáradságosnak találja a valós gyakorlatban.

Sajnos, a bankoktól és egy maroknyi nagy horderejű weboldaltól, a legtöbb helyen online egyszerűen nem kínál többfaktoros hitelesítést - részben azért, mert nem túl kényelmes, és az internetezők túlnyomó többsége hajlandó kereskedelmet biztosítani a gondtalan bejelentkezéshez.

A kétszeres hitelesítés nem mindig halad a nagymama teszten - mondja Siciliano. "Ez több támogatási hívást, több jelszókezelést és magasabb költségeket jelent. Éppen ezért általában csak olyan cégek használják, akiknek sok a veszíteniük. "

Biometria

A biometria szépsége az, hogy nem kell semmit sem emlékezned, sőt egy összetett jelszót. Ehelyett a biometrikus biztonsági rendszer a saját fizikai csomagolás egyedülálló tulajdonságaira csap át a személyazonosságának hitelesítésére.

A biometrikus rendszerek képesek ujjlenyomatot, íriszeket, arcokat és hangokat is beolvasni annak megállapítására, hogy egy személynek hozzáférést kell-e kapnia egy szolgáltatáshoz vagy egy darabhoz a hardver. A felhőalapú szolgáltatások még nem települtek be, de az Unisys Terry Hartmann szerint a nagy bankok jelenleg biometrikus azonosítási rendszereket tesztelnek, és elvárják tőlük, hogy jövőre elinduljanak. Az Apple legújabb, az ujjlenyomat-szkennelési technológiát gyártó AuthenTec 360 millió dolláros vásárlása azt sugallja, hogy a biometrikus azonosítás valamilyen formája beépülhet a jövőbeli Apple termékekbe.

A biometrikus biztonság már számos notebookon elérhető.

A biometria nem tökéletes. A kutatók ujjlenyomat-szkennereket használtak zselatin ujjak használatával, és fényképeket használnak az arcfelismerési rendszerekkel. A júniusi BlackHat konferencián a biztonsági kutatók úgy mutattak be módot, hogy az írisz szkennereket a képadatok visszafordításával demonstrálják.

Természetesen a hackerek a központi adatbázisban tárolt biometrikus adatokat is megcélozhatják, és ellophatják az identitást azáltal, hogy a saját biometrikus adataikat az áldozatok helyett helyettesítik. A jelszavakhoz és egyéb személyesen azonosítható adatokhoz hasonlóan a biometrikus biztonság nyújtotta védelem szintje teljesen attól függ majd, hogy az adat tárolója (mi mindannyian tudjuk, hogy működik a LinkedIn-ben).

A biometrikus azonosítás igénylése az anonimitás bonyolult (ha nem lehetetlen) a politikai disszidensek, a felszólalók és az emberek számára, akik személyes vagy szakmai okokból több identitást élnek meg. Mindezek ellenére Joseph Pritikin, az AOptix Technologies termékmarketing igazgatója, a repülőtereken és a határátkelőhelyeken telepített írisz-szkennerek készítője mellett is több fogyasztó szünetet tarthat.

Kisebbségi jelentés, azt jósolja, hogy a biometrikus technológiát alkalmazó okostelefonok a jövő egyik legfontosabb azonosítási eszköze lesz, részben azért, mert az adatokat biztonságosan tárolhatják az eszközön.

"Ez olyan kombináció lesz, valószínűleg okostelefon "- mondja Pritikin. "A hardveres titkosítás nehezen kompromisszumos lehet."

Egy azonosító, amely mindegyiket szabályozza

Végül, a jelszófáradtság ideális megoldása, hogy egyesítse az összes eltérő bejelentkezési és online identitást. Lépjen be az Obama-adminisztrációba, amely 2011 áprilisában nyilvános-magán kezdeményezést indított el a nemzeti információbiztonsági identitási stratégia számára, hogy olyan identitási ökoszisztémát fejlesszen ki, amely lehetővé teszi a fogyasztók számára, hogy minden ellenőrző rendszert használjanak, és zökkenőmentesen működjenek az összes webhelyen. > Egy ilyen rendszer képes lenne ellenőrizni, hogy elég idős vagy ahhoz, hogy bort vásároljon online, vagy hogy egy diák kedvezményre jogosult, anélkül, hogy feltétlenül megosztaná az összes személyes adatait az összes webhelyen "- mondja Jim Fenton, a OneID vezető biztonsági szakértője, internetes identitáskezelő rendszer. A rendszer lehetővé tenné, hogy álnév alatt is működjenek, ha így akarták beindítani.

De a kormány kerekei lassan változnak. A múlt hónapban az NTSIC irányító bizottsága tartotta első találkozóját. A kérdések között, amelyeknek végül is foglalkozniuk kell, mennyi információt kell megosztaniuk a felek között, és mennyi legyen a fogyasztóknak az információ felett való ellenőrzése, mondja Fenton, a kormányzási bizottság adatvédelmi csoportjának tagja.

Más szavakkal: Súgó úton van, de hamarosan nem jön el. Időközben jelszavakat ragadtunk meg. Hozzon létre néhány jóat, és győződjön meg arról, hogy zárolás és kulcs alatt van.