Lösenord är trasiga: det finns ett bättre sätt att autentisera användare

Varje vecka verkar det som att vi läser historier om företag och webbplatser som äventyras och konsumentdata blir stulna. För många av oss är de värsta inbrotten när lösenord stulits. De LastPass Hack att vara en av de senaste attackerna. På många sätt är det en form av digital terrorism som bara växer. Tvåfaktorsautentisering och biometri är trevliga korrigeringar för problemet, men de ignorerar de grundläggande frågorna relaterade till inloggningshantering. Vi har verktygen för att lösa problemet, men de har inte tillämpats korrekt.

Varför vi tar av oss skorna i USA men inte i Israel

Alla som flygs i USA vet om TSA-säkerhet. Vi tar av våra rockar, undviker vätskor och tar av oss skorna innan vi går igenom säkerheten. Vi har en flygningslista baserad på namn. Detta är reaktioner på specifika hot. Det är inte så som ett land som Israel gör säkerhet. Jag har inte flög El-Al (Israels nationella flygbolag), men vänner berättar för mig om intervjuerna som de genomgår i säkerhet. Säkerhetsombudet kodar hot baserat på

personliga egenskaper och beteenden.

Vi använder TSA-strategin för onlinekonton och det är därför vi har alla säkerhetsproblem. Tvåfaktorsautentisering är en början. Men när vi lägger till en andra faktor till våra konton, kommer vi till en falsk känsla av säkerhet. Den andra faktorn skyddar mot att någon stjäl mitt lösenord - ett specifikt hot. Kan min andra faktor äventyras? Säker. Min telefon kan stulas eller skadlig kod kan äventyra min andra faktor.

The Human Factor: Social Engineering

Även med tvåfaktorstrategier har människor fortfarande möjligheten att åsidosätta säkerhetsinställningarna. För några år tillbaka övertygade en flitig hackare Apple att återställa en författares Apple-ID. Kör pappa blev lurad till att vända ett domännamn som möjliggjorde ett Twitter-kontoövertagande. Min identitet var slogs samman med en annan Dave Greenbaum på grund av ett mänskligt misstag hos MetLife. Det här misstaget resulterade nästan i att jag avbröt hem- och bilförsäkring för andra Dave Greenbaum.

Även om en människa inte åsidosätter en inställning av två faktorer, är det andra symbolet bara ett hinder för angriparen. Det är ett spel för en hacker. Om jag vet när du loggar in i din Dropbox som jag behöver en godkännandekod för, så behöver jag bara få den koden från dig. Om jag inte får dina textmeddelanden riktade till mig (SIM-hacka någon?), Jag behöver bara övertyga dig om att släppa den koden till mig. Det här är inte raketvetenskap. Kan jag övertyga dig om att ge den koden tillbaka? Eventuellt. Vi litar mer på våra telefoner än våra datorer. Det är därför människor faller för saker som a falska iCloud-inloggningsmeddelande.

En annan sann historia som hände mig två gånger. Mitt kreditkortsföretag märkte misstänkt aktivitet och ringde mig. Bra! Det är en beteendebaserad strategi som jag kommer att prata om senare. De bad mig dock att ge mitt fulla kreditkortsnummer via telefon med ett samtal jag inte ringde. De var chockade jag vägrade att ge dem numret. En chef sa till mig att de sällan får klagomål från kunder. De flesta uppringare lämnar bara kreditkortsnumret. Aj. Det kan ha varit någon besviken person i andra änden som försöker få mina personuppgifter.

Lösenord skyddar inte oss

Vi har för många lösenord i vårt liv på för många platser. Medium har redan blev av med lösenord. De flesta av oss vet att vi borde ha ett unikt lösenord för varje webbplats. Den metoden är alldeles för mycket för att be våra bråka jordhjärnor som lever ett rikt och rikt digitalt live. Lösenordshanterare (analog eller digital) hjälper till att förebygga tillfälliga hackare, men inte en sofistikerad attack. Heck, hackarna behöver inte ens lösenord för att få tillgång till våra enskilda konton. De bryter bara in i databaserna som lagrar informationen (Sony, Target, Federal Government).

Ta en lektion från kreditkortsföretag

Trots att algoritmerna kanske är lite av har kreditföretag rätt idé. De tittar på våra köpmönster och plats för att veta om det är du som använder ditt kort. Om du köper bensin i Kansas och sedan köper en kostym i London är det ett problem.

Varför kan vi inte tillämpa detta på våra onlinekonton? Vissa företag erbjuder varningar från utländska IP: er (kudos till LastPass för att låta användare) ställa in önskade länder för åtkomst). Om min telefon, dator, surfplatta och handledenhet alla finns i Kansas, bör jag meddelas om mitt konto nås någon annanstans. Åtminstone bör dessa företag ställa mig några ytterligare frågor innan de antar att jag är den jag säger att jag är. Denna gatekeeping behövs särskilt för Google-, Apple- och Facebook-konton som autentiserar till andra konton av OAuth. Google och Facebook ge varningar för ovanlig aktivitet, men de är vanligtvis bara en varning, och varningar är inte skydd. Mitt kreditkortsföretag säger nej till transaktionen förrän de har verifierat vem jag är. De säger bara inte "Hej... trodde att du borde veta". Mina onlinekonton bör inte varna, de bör blockera för ovanlig aktivitet. Den senaste twisten till kreditkortsäkerhet är ansiktsigenkänning. Visst kan någon ta sig tid att försöka duplicera ditt ansikte, men kreditkortsföretag verkar arbeta hårdare för att skydda oss.

Våra smarta assistenter (och enheter) är ett bättre försvar

Siri, Alexa, Cortana och Google känner till massor av saker om oss. De förutsäger intelligent vart vi ska, vart vi har varit och vad vi gillar. Dessa assistenter kamar våra bilder för att organisera våra semester, kom ihåg vilka våra vänner är och till och med den musik vi gillar. Det är läskigt på en nivå, men mycket användbart i våra dagliga liv. Om dina Fitbit-data kan användas i en domstol kan det också vara det används för att identifiera dig.

När du skapar ett onlinekonto ställer företag dig dumma utmaningsfrågor som namnet på din gymnasiet eller din lärare i tredje klass. Våra minnen är inte lika stenfast som en dator. Du kan inte lita på dessa frågor för att verifiera vår identitet. Jag har varit inlåst från konton förut eftersom min favoritrestaurang 2011 inte är min favoritrestaurang idag.

Google har tagit det första steget i denna beteendemetod med Smart Lock för surfplattor och Chromebooks. Om du är den du säger att du är, så har du förmodligen din telefon nära dig. Apple tappade verkligen bollen med iCloud-hacket, vilket tillåter tusentals försök från samma IP-adress.

Istället för att ta reda på vilken låt vi vill lyssna på nästa, vill jag att dessa enheter skyddar min identitet på några sätt.

1. Du vet var jag är: Med min mobiltelefons GPS vet den min plats. Det borde kunna säga till mina andra enheter "Hej, det är coolt, släpp honom in." Om jag är i Timbuktu-roaming borde du inte lita på mitt lösenord och kanske till och med min andra faktor.
2. Du vet vad jag gör: Du vet när jag loggar in och med vad, så det är dags att ställa mig några frågor till. ”Jag är ledsen Dave, jag kan inte göra det” borde vara svaret när jag vanligtvis inte ber dig att öppna dörrarna till bågen.
3. Du vet hur du verifierar mig: "Min röst är mitt pass, verifiera mig." Nej, vem som helst kan kopiera det. Ställ mig istället frågor som är lätta för mig att svara och komma ihåg, men som är svåra att hitta på Internet. Min mammas jungfrun kan vara lätt att hitta, men där jag åt lunch förra veckan med mamma är det inte (titta på min kalender). Där jag träffade min gymnasiets älskling är lätt att gissa, men vilken film jag såg förra veckan är inte lätt att hitta (kolla bara mina e-postkvitton).
4. Du vet hur jag ser ut: Facebook känner igen mig av bakhuvudet och Mastercard kan upptäcka mitt ansikte. Det här är bättre sätt att verifiera vem jag är.

Jag vet att väldigt få företag implementerar lösningar som det här, men det betyder inte att jag inte kan begära dem. Innan du klagar - ja dessa kan hackas. Problemet för hackarna kommer att veta vilken uppsättning sekundära åtgärder en onlinetjänst använder. Det kan ställa en fråga en dag, men ta en selfie nästa.

Apple gör ett stort tryck för att skydda min integritet och jag uppskattar det. Men när mitt Apple-ID har loggats in är det dags att Siri proaktivt skyddar mig. Google Now och Cortana kan också göra det. Kanske utvecklar någon redan detta och Google gör några framsteg på detta område, men vi behöver detta nu! Fram till dess måste vi vara lite mer vaksamma när det gäller att skydda våra saker. Leta efter några idéer om den nästa veckan.