Video: Skift/ændre adgangskode/password (Oktober 2024)
Når et online shopping-site lider under en dataforbrydelse, får du en advarsel om at ændre din adgangskode. Hvis din bank er hacket, sender de dig et nyt kreditkort. Det virkelige problem opstår, når en virksomhed autentificerer dig ved hjælp af personlige data, der ikke kan ændres, f.eks. Din SSN eller fødselsdato. Et nyt whitepaper fra NSS Labs undersøger brugen af statisk og dynamisk information til godkendelse og tilbyder virksomheder rådgivning til forbedring af sikkerhed.
Statiske data
SSN var aldrig ment som en personlig identifikator. Rapporten bemærker, at den tilsvarende identifikator i Storbritannien aldrig bruges til godkendelse. Når din SSN er afsløret i et brud, er det for evigt kompromitteret. Og det er et problem.
Nogle virksomheder forsøger at beskytte kunder ved kun at gemme de sidste fire cifre i SSN. Det viser sig, at dette ikke er meget effektivt. De første fem cifre er ikke tilfældige; de er baseret på hvornår og hvor du først ansøgte om dit SSN. Et forskningsprojekt fra fem år siden analyserede data fra regeringens "Death Master File" og udtænkte en algoritme til at forudsige de første fem cifre. Med kun to forsøg lykkedes det 60 procent nøjagtighed. Hvis cybercrooks allerede har de sidste fire cifre, er din SSN pwned.
Fødselsdato er et andet datum, der bare ikke kan ændres. Rapporten bemærker, at fødested, køn og statsborgerskab også kan bruges til autentificering og heller ikke kan ændres. Det fortsætter med at anføre, at "Virksomheder og regeringer bør afstå fra at bruge disse attributter til onlinesikkerhedsformål, selvom de historisk set er blevet betragtet som fortrolige."
Dynamiske data
Forbrugerne skal bruge forskellige stærke adgangskoder til alle sikre websteder, og virksomheder er nødt til at hjælpe og ikke hindre denne indsats. Rapporten råder alle virksomheder til at tillade lange adgangskoder og fjerne eventuelle begrænsninger for, hvilke tegn der kan bruges. Det er meget nedslående, når et websted afviser den supersikre adgangskode, der genereres af din adgangskodeadministrator.
Brugere, der har glemt deres adgangskoder, kan ofte autentificere ved at give svar på et eller flere sikkerhedsspørgsmål. At bede om offentligt tilgængelige oplysninger som kundens hjemby eller mors pigenavn er en enorm fejltagelse. Virksomheder skal give kunderne mulighed for at definere deres egne spørgsmål, og kunderne skal lave spørgsmål, som ingen udenforstående kunne svare på. Rapporten siger ikke dette, men hvis du bliver konfronteret med et dårligt sikkerhedsspørgsmål, anbefaler jeg, at du leverer et svar, der er usande, men alligevel mindeværdigt.
Kriminel profilering
Annoncører og online-virksomheder profilerer konstant forbrugere på mange forskellige måder. De ser ud til at identificere loyale kunder, dårlige kreditrisici, selv finde ud af, hvem der er sunde og hvem der ikke. Dine shoppingvaner bestemmer muligvis, om du får en rabatkupon, eller hvilken annonceplads, der rammer din browser.
Den nøjagtige samme ting sker i den lyssky verden af cyberkriminalitet. Hver dataovertrædelse giver de onde flere data, og ved at kombinere resultater fra overlappende overtrædelser kan de skabe meget nøjagtige profiler. Hvidbogen antyder, at sådanne profiler allerede findes for "millioner af brugere."
Rådgivning til erhvervslivet
Hvidbogen tilbyder en række forslag til online-virksomheder. Det tilrådes kun at gemme det nødvendige minimum af personlige data og ikke gemme noget overhovedet til en engangstransaktion. Virksomheder bør undgå at gemme følsomme data som almindelig tekst; især skal de gemme adgangskodehascher, ikke adgangskoder. De bør også give brugerne mulighed for at afslutte konti og derved udslette alle personlige data fra systemet, inklusive data, der er gemt i sikkerhedskopier.
Virksomheder skal antage, at der vil ske en dataovertrædelse. Rapporten bemærker, at halvdelen af de ti største krænkelser i det sidste årti er sket i 2013. Forberedelse til et brud inkluderer opsætning af en alternativ kommunikationskanal for hver bruger, i tilfælde af at den primære kanal brydes. Virksomheder bør proaktivt nå ud efter et brud og implementere metoder til re-autentificering af brugere i fare, som f.eks. Oprette udfordringsspørgsmål baseret på faktisk brugeraktivitet.
Den komplette whitepaper med titlen "Hvorfor dit dataforbrud er mit problem" tilbyder et væld af nyttige og handlingsrige oplysninger, og det er overraskende læseligt. Se på.
