Video: What if I forget my password? (Oktober 2024)
ThreatMetrix foreslår en anden løsning, der ikke kræver nogen indsats fra brugerens side. "Vi (og mange andre) mener, at vi er nødt til at gøre sikkerhed til en standarddel af hver operation, " sagde Faulkner. "Det skal være passivt og ikke påtrængende. Kombinationen af din adfærd og dine enheder på tværs af mange interaktioner kan tjene til at identificere dig og kun dig."
Afvigende adfærd
Banker identificerer mistænkelige transaktioner ved at bemærke afvigelser fra normale mønstre. ThreatMetrix anvender den samme slags logik til online-godkendelse. De ved ikke nødvendigvis noget om dig personligt, men de ved for eksempel, at en bestemt e-mail-konto normalt forbinder fra tre bestemte enheder, normalt i Californien. Hvis denne konto pludselig begynder at oprette forbindelse flere gange på én gang fra ukendte enheder, måske i Kina, er det et rødt flag.
Hvor alle kender dit navn
Det giver mig meget mening. Når jeg går rundt på RSA-konferencen, siger folk, der kender mig, "Hej!", Og folk, der ikke tjekker min badge. Hvis en attraktiv ung kvinde havde min badge, ville ingen tro, at hun er mig; badget er ikke min identitet. Jeg behøver ikke at indtaste en adgangskode for at gå ind i presserummet; de ved, hvem jeg er. ThreatMetrix-planen udvides med at vide, hvem du er i cyberspace.
Jeg spurgte Faulkner, hvad med falske positiver? Mange af os har oplevet kreditkortbesiddelser, fordi vi har købt et usædvanligt sted. Kunne ThreatMetrix ikke fejlagtigt blokere min adgang til, siger en bankside? "Vi leverer kontekst, " svarede han, "men vi er ikke håndhæveren. Webstedet kan beslutte at afvise transaktionen eller udsætte den for ekstra kontrol. Medmindre det er åbenlyst svigagtig, ville de sandsynligvis ikke benægte det direkte."
Bankbranchen bruger allerede lignende teknikker til at markere potentielt risikable transaktioner. Jeg kan helt se, at jeg udvider denne model til webstedsgodkendelse. Naturligvis kan det kun ske med næsten universel deltagelse. Hvis dette høje mål er nået, er vi måske aldrig mere nødt til at huske et kodeord som 8l3yO5JgtxIC eller CorrectHorseBatteryStaple.
For at se alle indlæg fra vores RSA-dækning, tjek vores side Vis rapporter.