Rsa: ikke mere adgangskoder, nogensinde?

Google har erklæret krig mod adgangskoder, men Alisdair Faulkner Chief Products Officer og medstifter af ThreatMetrix, mener, at de kæmper forkert krig. "Ideen er prisværdig, " sagde Faulkner. "Faktisk bruger de fleste den samme enkle adgangskode igen og igen. Google foreslår en fysisk autentificering. Problemet er, at enhver form for to-faktor-ordning skal vedtages både af websteder og af brugere. Og hvis du mister din autentificering, Hvad så?" Han påpegede også problemet med at autentificere en bruger under den første tilmelding.

ThreatMetrix foreslår en anden løsning, der ikke kræver nogen indsats fra brugerens side. "Vi (og mange andre) mener, at vi er nødt til at gøre sikkerhed til en standarddel af hver operation, " sagde Faulkner. "Det skal være passivt og ikke påtrængende. Kombinationen af ​​din adfærd og dine enheder på tværs af mange interaktioner kan tjene til at identificere dig og kun dig."

Afvigende adfærd

Banker identificerer mistænkelige transaktioner ved at bemærke afvigelser fra normale mønstre. ThreatMetrix anvender den samme slags logik til online-godkendelse. De ved ikke nødvendigvis noget om dig personligt, men de ved for eksempel, at en bestemt e-mail-konto normalt forbinder fra tre bestemte enheder, normalt i Californien. Hvis denne konto pludselig begynder at oprette forbindelse flere gange på én gang fra ukendte enheder, måske i Kina, er det et rødt flag.

"Banker, e-handelswebsteder og nogle af de største teknologiselskaber bruger ThreatMetrix, " sagde Faulkner. "De holder øje med tegn på overtagelse af konti og kreditkortsvindel og bruger det til at validere ny tilmelding." Han understregede, at virksomheden strengt kigger efter mønstre i data, ikke efter nogens personlige oplysninger.

Hvor alle kender dit navn

Det giver mig meget mening. Når jeg går rundt på RSA-konferencen, siger folk, der kender mig, "Hej!", Og folk, der ikke tjekker min badge. Hvis en attraktiv ung kvinde havde min badge, ville ingen tro, at hun er mig; badget er ikke min identitet. Jeg behøver ikke at indtaste en adgangskode for at gå ind i presserummet; de ved, hvem jeg er. ThreatMetrix-planen udvides med at vide, hvem du er i cyberspace.

Jeg spurgte Faulkner, hvad med falske positiver? Mange af os har oplevet kreditkortbesiddelser, fordi vi har købt et usædvanligt sted. Kunne ThreatMetrix ikke fejlagtigt blokere min adgang til, siger en bankside? "Vi leverer kontekst, " svarede han, "men vi er ikke håndhæveren. Webstedet kan beslutte at afvise transaktionen eller udsætte den for ekstra kontrol. Medmindre det er åbenlyst svigagtig, ville de sandsynligvis ikke benægte det direkte."

Bankbranchen bruger allerede lignende teknikker til at markere potentielt risikable transaktioner. Jeg kan helt se, at jeg udvider denne model til webstedsgodkendelse. Naturligvis kan det kun ske med næsten universel deltagelse. Hvis dette høje mål er nået, er vi måske aldrig mere nødt til at huske et kodeord som 8l3yO5JgtxIC eller CorrectHorseBatteryStaple.

For at se alle indlæg fra vores RSA-dækning, tjek vores side Vis rapporter.