Video: MARCO EFFEKTEN I Hovedtrailer (Oktober 2024)
At være sikker er ikke nogle gange noget, men en løbende proces. Du er ikke sikker, fordi du bruger et bestemt værktøj - du er sikker, fordi du anvender et sikkerhedssindet hver dag.
Tag adgangskoder. Du hører påmindelserne hele tiden - brug ikke adgangskoder på tværs af websteder, applikationer og tjenester. Vælg ikke svage adgangskoder. Brug en password manager, så du kan vælge superkomplicerede adgangskoder og ikke behøver at bekymre dig om at prøve at huske dem. Tænd for to-faktor-godkendelse, hvor det er muligt. Dette er alle gode råd at huske og følge. Tidligere denne uge tog min kollega Neil Rubenking adgangskodeadministratorens anbefaling et skridt videre og sagde, at det er en sikkerhedsrisiko at logge ind på tredjepartswebsteder med din Google, Facebook, Twitter eller andre legitimationsoplysninger på sociale medier. Jeg køber ikke det argument.
Du har set, hvad jeg taler om. Mens de fleste tjenester kræver, at du opretter en konto fra bunden, er der steder, hvor du kan logge ind med dine sociale medieoplysninger. Med Expedia kan du for eksempel logge ind med Facebook. Eller Inoreader (min valgte RSS-læser), som giver dig mulighed for at logge ind med Google. Dette giver dig mulighed for at springe over oprettelsen af kontoen og bare logge ind med en konto, du allerede har. Praktisk, ikke? Meget. Er det et sikkerhedsproblem, som Neil sagde i sit stykke? Ingen.
Hver gang jeg ser et websted, der tillader mig at logge ind med en anden konto, vælger jeg denne mulighed. Jeg bruger ikke min Facebook-konto til at logge ind (undskyld, Expedia), men hvis der er en mulighed for at bruge min Google-konto, gør jeg det. Jeg har en stærk og kompleks adgangskode, og jeg aktiverede også to-faktor autentificering. Så min Google-konto er så sikker som jeg kan gøre det, og jeg stoler på Google til at tage de nødvendige skridt for at holde mine oplysninger sikre. Intet imod Facebook, men jeg tror, jeg har taget bedre skridt for at beskytte min Google-konto end Facebook.
Stoler jeg på dig? Ingen
Når jeg kommer til et websted, og jeg skal oprette en konto, er min første tanke: "Stoler jeg på dig?" Stoler jeg på webstedet for at beskytte mine data? Og jeg mener ikke bare adgangskoder og kreditkortnumre. Stoler jeg på, at webstedet har taget de nødvendige skridt til at beskytte mit telefonnummer, mailadresse og min fødselsdato i dens database? Ærligt talt? For de fleste virksomheder, nej, det gør jeg ikke. Applikationssikkerhed er hård - de fleste udviklere lærer stadig kun sikker kodningspraksis - ligesom det er at sikre databasen effektivt. Dette er et igangværende arbejde, og mange virksomheder er stadig ikke der med hensyn til sikkerhed. Da jeg ikke kan gå rundt og spørge virksomheder, "stoler jeg på, at du holder min adgangskode sikker og ikke har den stjålet af hackere?" Jeg tager den lette vej og antager, at jeg ikke kan.
Kan du huske Gawker-bruddet for et par år siden? Alle disse e-mail-adresser og adgangskoder blev udsat, fordi Gawkers udviklere ikke tog skridt til at sikre dem korrekt. Jeg siger ikke, at Gawker tog fejl - det er et medieselskab, og ingen der forestillede sig, at nogen ville gå efter webstedets kommentarsystem. Men det skete. Som forbruger vil jeg ikke prøve at dyrlægge hvilke virksomheder, der er sikkerhedsindstillede nok til at stole på deres anvendelse, og hvilke ikke. Jeg vil fokusere på, hvem der gør jobbet rigtigt.
Det vigtige ved at logge på med mine Google-legitimationsoplysninger: Webstedet opbevarer ikke min adgangskode eller andre oplysninger. Når jeg klikker på knappen Google+, omdirigeres jeg til en Google-side, og jeg godkender mod Googles servere. Google fortæller derefter webstedet, at ja, jeg er den, jeg siger, jeg er, og sender mig tilbage til webstedet. Hvilket betyder, at mine oplysninger forbliver hos Google, og webstedet får bare et symbol, der siger "hun er logget ind, lad hende komme igennem."
Overvej alle de webstedsovertrædelser, vi har set i de sidste to år. Der er steder, jeg tilmelder mig bare for at se, hvordan det er, og derefter opgive efter et par dage, fordi det ikke er, hvad jeg havde brug for. Hvis jeg oprettede en konto på webstedet, er mine oplysninger i webstedets database. Selv efter jeg har forladt dette websted, lever min konto videre. (Dette er grunden til, at jeg ikke kan lide websteder, der ikke lader dig slette konti, men det er en anden historie for en anden dag.) Det er en masse potentielle steder, hvor mine data bliver stjålet. Hvis jeg bruger min Google-konto til at logge ind, har webstedet ingen oplysninger om mig for at blive stjålet. Det er betryggende. Hvis jeg opgiver dette websted, lader Google mig tilbagekalde kontotilladelser, så ingen andre kan logge ind som mig.
Lad os tale om tilbagekaldelse. Hele pointen med at lade Google, Facebook og Twitter håndtere logning betyder, at du også kan bruge dem til at blokere adgangen. For eksempel bruger jeg Google til at logge på Inoreader. Sig, at jeg ikke længere vil bruge Inoreader længere. Jeg går bare ind på mine Google-kontoindstillinger og klikker på "tilbagekald adgang". Og det er det. Dette er også grunden til, at jeg bruger Twitter til at logge ind på nogle websteder. Twitter gør det ekstremt let at afbryde applikationer, når jeg er færdig.
Mit mål er at have så få databaser som muligt i verden, der indeholder en fortegnelse med mine personlige oplysninger.
En anden ting, jeg kan lide ved at logge ind med Google: kontospecifikke adgangskoder. Jeg genererer en tilfældig adgangskode, som Google nu ved, er adgangskoden til dette websted. Denne adgangskode fungerer kun på dette websted og giver ikke adgang til noget andet. I stedet for at generere adgangskoder gennem en adgangskodeadministrator og oprette en helt ny konto, holder jeg processen hos Google. Jeg bruger et andet kodeord end min e-mail-adgangskode, og jeg springer over hele processen med at oprette kontoen ved at holde mig til Googles mekanismer. Dette er ganske praktisk, hvis jeg f.eks. Logger på en mobilapp. Google ved nu, hvordan jeg bekræfter min identitet, og som den almindelige login, trækker jeg bare adgangskoden tilbage, og den app kan ikke længere logge ind.
Hold dig til den du stoler på
Neil stillede et meget godt spørgsmål: spørg dig selv, om dette websted har brug for at vide noget om dig. Har webstedet om dig brug for at kende dit navn, e-mail-adresse, fysisk adresse og telefonnummer eller andre profiloplysninger? Hvis det ikke gør det, skal du ikke udlevere det. Hold det med den, du har tillid til.
Hvis din Facebook-adgangskode er "Password1", og en person med ubehagelige intentioner finder ud af det, så ja, den person kan gå videre og kan logge på ethvert andet sted, du har linket til din konto. Men hvordan er det anderledes end du har valgt "Password1" til dette sted til at begynde med? Hvis du bruger en let at huske adgangskode til din e-mail-adresse eller sociale medieside, bruger du sandsynligvis ikke en streng med svært at huske-tegn til din hyppige konto med flyve miles, ikke? Så det er den svage adgangskode, der skriker "Hack mig!" ikke det faktum, at du logget ind med en anden konto. Og hvis nogen har fundet ud af din Google-adgangskode, tror jeg ikke, at din største bekymring er, om denne person nu kan logge ind på dine tilknyttede konti. Ikke når det er så let at bare bede om e-mail til nulstilling af adgangskode.
Sikkerhed har ikke en magisk kugle. Et givet værktøj kan bruges til både godt og dårligt. Det hele handler om hvordan du nærmer dig det. Min præference er at holde sig ude af databaser. Hvad er din?
