Πώς να βρεις την ευτυχία σε έναν κόσμο φρενίτη κωδικού πρόσβασης

Στις αρχές Αυγούστου, ο ρεπόρτερ Mat Honan είχε τους πιο πολύτιμους κωδικούς πρόσβασης σε hacked μέσω μιας σύνθετης σειράς τα κοινωνικά μηχανήματα εκμεταλλεύονται. Η παραβίαση έκανε τους τίτλους, διότι εμφάνισαν ελαττώματα ασφαλείας στις πολιτικές εξυπηρέτησης πελατών της Apple και της Amazon. αλλά μην ξεχνάμε ότι το σενάριο Honan κάλυψε ένα μακρύ καλοκαίρι γεμάτο εισβολές διακομιστών που εξέθεσαν εκατομμύρια κωδικούς πρόσβασης χρηστών μαζικά. Τον Ιούνιο, οι χάκερ έκλεψαν περίπου 6,5 εκατομμύρια κωδικούς πρόσβασης LinkedIn και τα δημοσίευσαν στο διαδίκτυο. Τον ίδιο μήνα, οι εισβολείς διακυβεύουν περίπου 1,5 εκατομμύρια κωδικούς eHarmony σε περίπτωση παραβίασης της ασφάλειας και τον Ιούλιο οι χάκερ αρπάζουν 450.000 κωδικούς πρόσβασης φωνής Yahoo. Μεταξύ των πιο συνηθισμένων κωδικών πρόσβασης που χρησιμοποιούνται από τα μέλη του Yahoo: "123456", "welcome", και ο ολοένα και πιο δημοφιλής "κωδικός πρόσβασης".

Το βασικό πρόβλημα δεν είναι ότι αυτοί οι ιστότοποι αν και θα πρέπει να έχουν). Και δεν είναι ότι οι χρήστες επέλεξαν κωδικούς πρόσβασης που ήταν εξαιρετικά εύκολο να σπάσουν και στη συνέχεια να ανακυκλώσει τους ίδιους αδύνατους κωδικούς πρόσβασης σε κάθε τοποθεσία όπου καταχωρήθηκαν (αν και το έκαναν)

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Το πρόβλημα είναι ότι οι κωδικοί πρόσβασης έχουν γίνει αυτοκαταστροφικοί, συχνά ανυπόφοροι εργαλεία στο μεγάλο σχέδιο ψηφιακής ασφάλειας. Χρειαζόμαστε πάρα πολλούς από αυτούς και οι ισχυροί είναι πολύ δύσκολο να θυμηθούμε

"Για να χρησιμοποιήσετε το Net αυτές τις μέρες πρέπει να έχετε δεκάδες κωδικούς πρόσβασης και συνδέσεις", λέει ο Terry Hartmann, αντιπρόεδρος λύσεων παγκόσμιας ασφάλειας για Unisys. "Κάθε φορά που επιστρέφετε σε έναν ιστότοπο, αισθάνεστε σαν να έχετε εισαγάγει νέους κανόνες για να κάνετε τους κωδικούς πρόσβασης πιο περίπλοκους. Τελικά, οι χρήστες επιστρέφουν στη χρήση ενός κωδικού πρόσβασης για όλα. "

Εν συντομία: Το σύστημα κωδικού πρόσβασης είναι σπασμένο. Όλοι οι κωδικοί πρόσβασης που έχουν παραβιαστεί στα εκμεταλλεύματα του LinkedIn, του eHarmony και του Yahoo είχαν "εξαπλωθεί" - δηλαδή, οι πραγματικοί κωδικοί πρόσβασης είχαν αντικατασταθεί με αλγόριθμο που δημιουργήθηκε στον κώδικα. Αυτό μετατρέπει τους κωδικούς πρόσβασης που είναι αποθηκευμένοι σε διακομιστές (και κλαπεί από τους χάκερ) σε αλφαριθμητικό gobbledygook. Ακόμα, αν ο κωδικός σας είναι τόσο απλός, όπως λέει, "officepc", ένας χάκερ μπορεί εύκολα να τον σπάσει ακόμη και σε χαστούρη μορφή χρησιμοποιώντας ωμή δύναμη ή τραπέζι ουράνιου τόξου.

Αλλά όλα δεν χάνονται. Συμπληρωματικοί κωδικοί πρόσβασης με αριθμούς και ειδικούς χαρακτήρες (και που δεν έχουν καμία ομοιότητα με ένα πραγματικό όνομα ή λέξη) σας δίνουν μια πιθανότητα μάχης εναντίον των χάκερ και μπορείτε να αποθηκεύσετε αυτούς τους κωδικούς σε μια εύχρηστη εφαρμογή διαχείρισης κωδικού πρόσβασης. Οι ιστότοποι, εν τω μεταξύ, κάνουν περισσότερα για να ενισχύσουν την ασφάλεια στο τέλος τους, απαιτώντας ταυτότητα πολλών παραγόντων, και φαίνεται ότι η βιομετρική τεχνολογία θα χρησιμοποιηθεί σύντομα και για την ασφάλεια της μαζικής αγοράς.

Το πρόβλημα κωδικού πρόσβασης δεν θα εξαφανιστεί αλλά σύντομα θα χρειαστεί να βασιστείτε στις εφαρμογές, τις υπηρεσίες και τις αναδυόμενες τεχνολογίες που εξηγούνται παρακάτω για να παραμείνετε ένα βήμα μπροστά από τους κακούς.

Θύρες κωδικού πρόσβασης

Τα προγράμματα διαχείρισης κωδικών πρόσβασης μοιάζουν με φίλτρα ανεπιθύμητης αλληλογραφίας -οργάνωση αλλά βασικά εργαλεία για τη διαχείριση της ψηφιακής σας ζωής. Ένας καλός διαχειριστής κωδικών πρόσβασης θυμάται όλες τις συνδέσεις σας, αντικαθιστά τους απλούς κωδικούς πρόσβασης που επιλέγετε με πολύπλοκες και σας επιτρέπει να αλλάζετε γρήγορα αυτούς τους κωδικούς πρόσβασης, αν ένας ιστότοπος ή μια υπηρεσία που χρησιμοποιείτε παίρνει hacked

Το καλύτερο μέρος: Αντί να θυμάστε δεκάδες των μοναδικών κωδικών πρόσβασης, πρέπει να θυμάστε μόνο ένα: τον κύριο κωδικό πρόσβασης για το θησαυροφυλάκιο σας. Και αν δεν συνδέεστε πάντα από το ίδιο μηχάνημα και από το ίδιο πρόγραμμα περιήγησης (στην περίπτωση αυτή πιθανότατα διαβάζετε αυτό σε μια σύνδεση dial-up AOL), θα χρειαστείτε ένα πρόγραμμα που βασίζεται σε σύννεφο, όπως το LastPass, το 1Password ή το Roboform που μπορούν να εφαρμοστούν τις συνδέσεις σας σε οποιοδήποτε υπολογιστή, τηλέφωνο ή tablet που χρησιμοποιείτε.

Το μειονέκτημα: Πρέπει ακόμα να θυμάστε τον κύριο κωδικό σας και πρέπει πραγματικά να είναι καλός, γεμάτος με μείγμα αριθμών, κεφαλαίων και πεζών γραμμάτων και ειδικούς χαρακτήρες όπως ερωτηματικά και θαυμαστικά.

Φυσικά, ένας εισβολέας που καταφέρνει να φυτέψει ένα keylogger στο σύστημά σας θα μπορεί να ξεγελάσει τον κωδικό πρόσβασης καθώς το πληκτρολογείτε, σημειώνει ο Robert Siciliano, ειδικός σε θέματα ασφαλείας για το McAfee, ο οποίος χρησιμοποιεί μια θήκη κωδικών πρόσβασης για να αποθηκεύσει περισσότερα από 700 στοιχεία σύνδεσης. Ομοίως, εάν οι απατεώνες hack ένα σύννεφο με βάση τον κωδικό θόλο-όπως συνέβη στο LastPass τον Μάιο του 2011-θα μπορούσε να είναι πάνω από το παιχνίδι. Ευτυχώς για τους πελάτες της LastPass, δεν υπήρξαν παραβιάσεις ευαίσθητων πληροφοριών στην επίθεση του 2011. αλλά η επόμενη φορά που θα συμβεί μια επιτυχημένη διείσδυση (και ότι θα συμβεί σε κάποια εταιρεία ασφάλειας κάπου είναι αναπόφευκτη), οι χρήστες μπορεί να μην είναι τόσο τυχεροί.

Βυθός: Τα θύρα διαχείρισης κωδικών πρόσβασης προσφέρουν τεράστια αξία και είναι απαραίτητα εργαλεία για όσους αξίζει την ψηφιακή ασφάλεια.

Πολλαπλών παραμέτρων ταυτότητας

Οι πολύπλοκοι κωδικοί πρόσβασης που είναι αποθηκευμένοι σε κρυπτογραφημένο θησαυροφυλάκιο είναι μόνο ένα πρώτο βήμα. Ορισμένοι ιστότοποι βασίζονται σε ένα δεύτερο επίπεδο ασφάλειας για τον εντοπισμό των χρηστών - συνήθως ένα κομμάτι υλικού στο οποίο έχει πρόσβαση μόνο ο νόμιμος χρήστης. Με αυτόν τον τρόπο, ακόμη και ένας εισβολέας που γνωρίζει τον κωδικό πρόσβασής σας θα χρειαστεί πρόσβαση, για παράδειγμα, στο τηλέφωνο ή στον υπολογιστή σας για να κλέψει τα δεδομένα σας.

Τα χρηματοπιστωτικά ιδρύματα υποχρεούνται από τον νόμο να χρησιμοποιούν πολλαπλούς παράγοντες όταν χειρίζονται συναλλαγές στο διαδίκτυο, στο παρασκήνιο, πιστοποιώντας το μηχάνημά σας ή την τοποθεσία του, λέει ο Siciliano. Έτσι, για παράδειγμα, αν ζείτε στο Σαν Φρανσίσκο και κάποιος στη Σαγκάη προσπαθεί να αποκτήσει πρόσβαση στον τραπεζικό σας λογαριασμό, η συναλλαγή αυτή ενδέχεται να αποκλειστεί ή αυτό το άτομο μπορεί να υποχρεωθεί να παράσχει ένα πρόσθετο τεστ επαλήθευσης εισάγοντας έναν αριθμό που αποστέλλεται σε μια συσκευή που παρέχεται από την τράπεζα

Η Google και το Facebook προσφέρουν επίσης έλεγχο ταυτότητας δύο παραγόντων: Μπορείτε να τους αποστείλετε έναν προσωρινό κωδικό PIN στο κινητό σας τηλέφωνο κάθε φορά που συνδέεστε από ένα μη γνωστό μηχάνημα (αυτό το PIN πρέπει να παρέχεται μαζί με τον κωδικό σας την πρώτη φορά που επιχειρείτε να συνδεθείτε μέσω αυτού του νέου μηχανήματος). Αυτή η αποτυχία θα είχε αποτρέψει όλες τις δυσκολίες που υπέστη ο Mat Honan τον περασμένο μήνα.

Το σύστημα εξακρίβωσης ταυτότητας δύο σημείων της Google εξασφαλίζει ένα υψηλότερο επίπεδο ασφάλειας, αλλά πολλοί χρήστες το βρίσκουν ενοχλητικό στην πραγματική πρακτική.

Δυστυχώς όμως από τις τράπεζες και από μια χούφτα ιστότοπων υψηλού προφίλ, οι περισσότερες θέσεις σε απευθείας σύνδεση απλά δεν προσφέρουν έλεγχο ταυτότητας πολλαπλών παραμέτρων - εν μέρει επειδή δεν είναι πολύ βολικό και η συντριπτική πλειοψηφία των χρηστών του Διαδικτύου είναι διατεθειμένοι να ανταλλάσσουν ασφάλεια για συνδέσεις χωρίς προβλήματα.

"Ο έλεγχος ταυτότητας δύο παραγόντων δεν περνά πάντα το τεστ για τη γιαγιά", λέει ο Siciliano. "Αυτό σημαίνει περισσότερες κλήσεις υποστήριξης, περισσότερη επαναφορά κωδικού πρόσβασης και υψηλότερο κόστος. Αυτός είναι ο λόγος για τον οποίο χρησιμοποιείται συνήθως μόνο από εταιρείες που χάνουν πολλά. "

Βιομετρία

Η ομορφιά των βιομετρικών στοιχείων είναι ότι δεν χρειάζεται να θυμάστε τίποτα καθόλου, πολύ λιγότερο πολύπλοκο κωδικό πρόσβασης. Αντίθετα, ένα βιομετρικό σύστημα ασφαλείας μπαίνει στις μοναδικές ιδιότητες της δικής σας φυσικής συσκευασίας για να πιστοποιήσει την ταυτότητά σας.

Τα βιομετρικά συστήματα μπορούν να ανιχνεύσουν δακτυλικά αποτυπώματα, ίριδες, πρόσωπα και ακόμη και φωνές για να διαπιστώσουν εάν ένα άτομο πρέπει να έχει πρόσβαση σε μια υπηρεσία ή κομμάτι του υλικού. Δεν είναι ακόμη αναπτυγμένες για τις μεγάλες υπηρεσίες cloud, αλλά ο Terry Hartmann της Unisys λέει ότι μεγάλες τράπεζες πιλοτάρουν τώρα συστήματα βιομετρικών ταυτοποίησης και αναμένει να ξεκινήσουν το επόμενο έτος. Η πρόσφατη εξαγορά της τεχνολογίας ανίχνευσης δακτυλικών αποτυπωμάτων της AuthenTec της Apple, ύψους 360 εκατομμυρίων δολαρίων, υποδεικνύει ότι κάποια μορφή βιομετρικής αναγνώρισης μπορεί να ενσωματωθεί σε μελλοντικά προϊόντα της Apple

Η βιομετρική ασφάλεια είναι ήδη διαθέσιμη σε πολλά σημειωματάρια

. τέλεια, ωστόσο. Οι ερευνητές έχουν παίξει σε σαρωτές δακτυλικών αποτυπωμάτων χρησιμοποιώντας δάχτυλα ζελατίνης και έχουν ξεγελάσει τα συστήματα αναγνώρισης προσώπου χρησιμοποιώντας φωτογραφίες. Στο συνέδριο του BlackHat τον περασμένο Ιούλιο, οι ερευνητές στον τομέα της ασφάλειας παρουσίασαν έναν τρόπο να εξαπατήσουν τους ιριδικούς σαρωτές με αντίστροφη μηχανική επεξεργασία των δεδομένων εικόνας.

Και φυσικά, οι χάκερ μπορούν να στοχεύουν βιομετρικά δεδομένα που είναι αποθηκευμένα σε μια κεντρική βάση δεδομένων και να κλέβουν ταυτότητες υποκαθιστώντας τα βιομετρικά τους δεδομένα αντί των θυμάτων τους ». Όπως συμβαίνει με τους κωδικούς πρόσβασης και άλλες προσωπικές πληροφορίες, το επίπεδο προστασίας που παρέχεται από τη βιομετρική ασφάλεια εξαρτάται εξ ολοκλήρου από την ικανότητα όσων αποθηκεύουν τα δεδομένα (όλοι γνωρίζουμε πόσο καλά εργάστηκε στο LinkedIn).

Η απαίτηση βιομετρίας κατά την σύνδεση θα μπορούσε επίσης ανωνυμία δύσκολη (αν όχι αδύνατη) για τους πολιτικούς αντιφρονούντες, τους καταγγελλείς και τους ανθρώπους που κατοικούν πολλαπλές ταυτότητες για προσωπικούς ή επαγγελματικούς λόγους. Επίσης, ο Joseph Pritikin, διευθυντής marketing στο AOptix Technologies, κατασκευαστής ιριδικών σαρωτών σε αεροδρόμια και συνοριακά σημεία διέλευσης, προβλέπει ότι τα smartphones που χρησιμοποιούν βιομετρικά στοιχεία θα είναι μια από τις βασικές συσκευές ταυτοποίησης του μέλλοντος, εν μέρει επειδή τα δεδομένα μπορούν να αποθηκευτούν με ασφάλεια στη συσκευή.

"Θα είναι ένας συνδυασμός κάτι που είμαι και κάτι που έχω, πιθανότατα ένα smartphone ", λέει ο Pritikin. "Η κρυπτογράφηση που βασίζεται σε υλικό θα ήταν δύσκολο να συμβιβαστεί." Ένα ID για να τους κυβερνήσεις Τελικά, η ιδανική λύση για κόπωση με κωδικό είναι να ενοποιήσουμε όλες τις διαφορετικές συνδέσεις και τις ηλεκτρονικές ταυτότητές μας. Εισάγετε την διοίκηση Obama, η οποία ξεκίνησε τον Απρίλιο του 2011 μια πρωτοβουλία δημόσιου-ιδιωτικού τομέα, την Εθνική Στρατηγική για Αξιόπιστες Ταυτότητες στον Κυβερνοχώρο, για να αναπτύξει ένα οικοσύστημα ταυτότητας που θα επιτρέπει στους καταναλωτές να χρησιμοποιούν οποιοδήποτε σύστημα επαλήθευσης και να λειτουργούν απρόσκοπτα σε κάθε τοποθεσία. > Ένα τέτοιο σύστημα θα είναι σε θέση να επιβεβαιώσει ότι είστε αρκετά μεγάλος για να αγοράσετε κρασί στο διαδίκτυο ή ότι πληρείτε τις προϋποθέσεις για έκπτωση για φοιτητές, χωρίς απαραίτητα να μοιράζεστε όλες τις προσωπικές σας πληροφορίες με κάθε ιστότοπο, λέει ο Jim Fenton, ένα σύστημα διαχείρισης ταυτότητας Διαδικτύου. Το σύστημα θα σας επέτρεπε επίσης να λειτουργείτε με ψευδώνυμο, αν θέλετε να μετακινηθείτε.

Αλλά οι τροχοί της κυβέρνησης χύνουν αργά. Τον περασμένο μήνα πραγματοποιήθηκε η πρώτη συνεδρίαση της διευθύνουσας επιτροπής του NTSIC. Μεταξύ των ζητημάτων που θα πρέπει τελικά να αντιμετωπίσει είναι πόση πληροφορία θα πρέπει να μοιράζονται μεταξύ των μερών και πόση έλεγχος θα πρέπει να έχουν οι καταναλωτές πάνω σε αυτές τις πληροφορίες, λέει ο Fenton, μέλος της ομάδας προστασίας προσωπικών δεδομένων της εταιρείας.

Με άλλα λόγια: είναι στο δρόμο, αλλά δεν θα έρθει σύντομα εδώ. Εν τω μεταξύ, έχουμε κολλήσει με κωδικούς πρόσβασης. Δημιουργήστε μερικές καλές και βεβαιωθείτε ότι βρίσκονται κάτω από κλειδαριά και κλειδί.