Bagaimana untuk mencari kebahagiaan dalam dunia kegila kata laluan

Pada awal bulan Ogos, wartawan Wired Mat Honan mempunyai kata laluan yang paling berharga yang digodam melalui siri kompleks eksploitasi kejuruteraan sosial. Pelanggaran itu menjadi berita utama kerana ia mendedahkan kecacatan keselamatan dalam dasar perkhidmatan pelanggan Apple dan Amazon; tetapi jangan lupa bahawa saman Honan dihadkan musim panas yang panjang penuh dengan pencerobohan pelayan yang mendedahkan berjuta-juta kata laluan pengguna secara beramai-ramai.

Pada bulan Jun, penggodam mencuri kira-kira 6.5 juta kata laluan LinkedIn dan menyiarkannya secara dalam talian. Bulan yang sama, penceroboh berkompromi kira-kira 1.5 juta kata laluan eHarmony dalam pelanggaran keselamatan, dan pada bulan Julai penggodam meraih 450,000 kata laluan suara Yahoo. Antara kata laluan yang paling biasa digunakan oleh ahli Yahoo: "123456," "selamat datang," dan kata laluan "yang paling popular."

Masalah asas bukanlah bahawa laman web ini sepatutnya melakukan kerja yang lebih baik yang melindungi data pengguna (walaupun mereka sepatutnya mempunyai). Dan bukannya pengguna memilih kata laluan yang sangat mudah untuk retak dan kemudian mengitar semula kata laluan yang tipis yang sama di setiap tapak di mana mereka berdaftar (walaupun mereka melakukannya).

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Masalahnya adalah bahawa kata laluan telah menjadi alat mengalahkan diri sendiri, sering kali tidak berkuasa dalam skema besar keselamatan digital.

"Untuk menggunakan Net hari ini, anda perlu mempunyai berpuluh-puluh kata laluan dan log masuk," kata Terry Hartmann, naib presiden penyelesaian keselamatan global untuk Unisys. "Setiap kali anda kembali ke tapak, terasa seperti mereka telah memperkenalkan peraturan baru untuk membuat kata laluan lebih rumit. Akhirnya, pengguna kembali menggunakan satu kata laluan untuk segalanya. "

Secara ringkas: Sistem kata laluan telah dipecahkan. Kesemua kata laluan yang dilanggar dalam eksploitasi LinkedIn, eHarmony, dan Yahoo telah "diketepikan" - iaitu kata laluan sebenar telah digantikan dengan kod yang dihasilkan secara algoritma. Ini mengubah kata laluan yang disimpan pada pelayan (dan dicuri oleh penggodam) ke gobbledygook alfanumerik. Walau bagaimanapun, jika kata laluan anda adalah semudah, katakan, "officepc," seorang penggodam boleh dengan mudah memecahkannya walaupun dalam bentuk hashed dengan menggunakan kekerasan atau meja pelangi.

Tetapi semuanya tidak hilang. Kata laluan kompleks yang digabungkan dengan nombor dan aksara khas (dan tidak mempunyai persamaan dengan nama atau perkataan sebenar) memberi anda peluang berjuang melawan penggodam, dan anda boleh menyimpan kod-kod ini dalam aplikasi pengurusan kata laluan yang berguna. Sementara itu, laman web sedang melakukan lebih banyak untuk meningkatkan keselamatan pada akhirnya, memerlukan pengesahan multifaktor, dan kelihatannya teknologi biometrik tidak lama lagi akan digunakan untuk keselamatan pasaran massa juga.

Masalah kata laluan tidak akan hilang apa-apa tetapi tidak lama lagi, dan pada masa ini, kita perlu bergantung pada aplikasi, perkhidmatan, dan teknologi baru yang dijelaskan di bawah untuk kekal satu langkah di hadapan orang jahat.

Kalan kata laluan

Program pengurusan kata laluan adalah seperti penapis spam - tetapi alat penting untuk menguruskan kehidupan digital anda. Seorang pengurus kata laluan yang baik mengingati semua log masuk anda, menggantikan kata laluan mudah yang anda pilih dengan yang rumit, dan membolehkan anda menukar kata laluan dengan cepat jika tapak atau perkhidmatan yang anda gunakan akan diretas.

Bahagian yang terbaik: Daripada harus mengingat puluhan kata laluan unik, anda hanya perlu mengingati satu: kata laluan utama untuk peti besi anda. Dan melainkan anda sentiasa log masuk dari mesin yang sama dan penyemak imbas yang sama (dalam hal ini anda mungkin membaca ini pada sambungan dialup AOL), anda akan mahukan program berasaskan awan seperti LastPass, 1Password, atau Roboform yang boleh digunakan log masuk anda ke mana-mana PC, telefon, atau tablet yang anda gunakan.

Kelemahan: Anda masih perlu mengingati kata laluan tuan anda, dan ia benar-benar sepatutnya menjadi yang baik, penuh dengan campuran nombor, huruf kecil dan huruf kecil, dan aksara khas seperti tanda tanya dan tanda seru.

Sudah tentu, penyerang yang berjaya menanam keylogger dalam sistem anda akan dapat menghidu kata laluan anda semasa anda mengetiknya, nota Robert Siciliano, pakar keselamatan dalam talian untuk McAfee yang menggunakan peti masuk kata laluan untuk menyimpan lebih daripada 700 log masuk. Begitu juga, jika penjahat menggodam kata laluan kata laluan berasaskan awan-seperti yang berlaku pada LastPass pada Mei 2011-ia boleh menjadi permainan lebih. Nasib baik untuk pelanggan LastPass, tiada maklumat sensitif telah dilanggar dalam serangan 2011; tetapi pada masa akan datang suatu pencerobohan yang berjaya berlaku (dan bahawa ia akan berlaku kepada sesetengah firma keselamatan di suatu tempat tidak dapat dielakkan), pengguna mungkin tidak begitu bernasib baik.

Bottom line: Klausa pengurusan kata laluan menawarkan nilai yang besar, dan merupakan alat penting bagi sesiapa nilai keselamatan digital

Pengesahan multifactor

Kata laluan kompleks yang disimpan dalam peti besi yang disulitkan hanyalah langkah pertama. Sesetengah laman web bergantung pada tahap keselamatan yang kedua untuk mengenal pasti pengguna-biasanya satu perkakasan yang hanya pengguna yang mempunyai akses kepada. Dengan cara itu, walaupun penyerang yang mengetahui kata laluan anda memerlukan akses kepada, katakan, telefon atau komputer anda untuk mencuri data anda.

Institusi kewangan diperlukan oleh undang-undang untuk menggunakan banyak faktor ketika menangani transaksi dalam talian, tetapi mereka dapat melakukannya ia di latar belakang dengan mengesahkan mesin anda atau lokasinya, kata Siciliano. Jadi, sebagai contoh, jika anda tinggal di San Francisco dan seseorang di Shanghai cuba mengakses akaun bank anda, urus niaga itu mungkin disekat, atau orang itu mungkin dikehendaki untuk memberikan sekeping pengesahan tambahan dengan memasukkan nombor yang dihantar ke peranti yang disediakan oleh pihak bank.

Google dan Facebook kini menawarkan pengesahan dua faktor juga: Anda boleh menghantar PIN sementara ke telefon bimbit anda setiap kali anda log masuk dari mesin yang tidak dikenali (PIN ini mesti disediakan bersama dengan kata laluan anda kali pertama anda cuba log masuk melalui mesin baru itu).

Sistem pengesahan dua bahagian Google memastikan tahap keselamatan yang lebih tinggi, tetapi banyak pengguna merasa meletihkan dalam praktik dunia nyata Malangnya, sekalipun dari bank dan segelintir laman web berprofil tinggi, kebanyakan tempat dalam talian hanya tidak menawarkan pengesahan multifactor-sebahagiannya kerana ia tidak begitu mudah, dan sebahagian besar pengguna Internet bersedia untuk berdagang keselamatan untuk log masuk yang tidak kerap.

"Pengesahan dua faktor tidak selalu lulus ujian nenek," kata Siciliano. "Ini bermakna lebih banyak panggilan sokongan, lebih banyak kata laluan ditetapkan semula, dan kos yang lebih tinggi. Itulah sebabnya ia biasanya hanya digunakan oleh syarikat yang banyak kalah. "

Biometrics

Keindahan biometrik adalah bahawa anda tidak perlu mengingati apa-apa, apalagi kata laluan yang kompleks. Sebaliknya, sistem keselamatan biometrik mengetuk ke dalam sifat unik pembungkusan fizikal anda sendiri untuk mengesahkan identiti anda.

Sistem biometrik boleh mengimbas cap jari, iris, muka, dan juga suara untuk menentukan sama ada orang harus mempunyai akses kepada perkhidmatan atau sekeping perkakasan. Mereka belum lagi digunakan untuk perkhidmatan awan utama, tetapi Terry Hartmann dari Unisys berkata bank-bank utama sedang menguji sistem pengenalan biometrik sekarang, dan menjangka mereka akan mula beroperasi tahun depan. Pengambilalihan $ 360 juta baru-baru ini oleh AuthenTec, pembuat teknologi pengimbasan cap jari, mencadangkan bahawa beberapa bentuk pengenalan biometrik boleh dibina ke dalam produk Apple pada masa hadapan.

Keselamatan biometrik kasar terdapat pada banyak buku nota.

Biometrik tidak sempurna, bagaimanapun. Penyelidik telah menggunakan pengimbas cap jari dengan menggunakan gelatin gelatin, dan mereka telah menipu sistem pengenalan muka dengan menggunakan gambar. Pada persidangan BlackHat pada bulan Julai, para penyelidik keselamatan menunjukkan cara untuk menipu pengimbas iris dengan rekaan kejuruteraan data imej.

Dan tentu saja, penggodam dapat menargetkan data biometrik yang disimpan dalam pangkalan data pusat, dan mencuri identiti dengan menggantikan data biometrik mereka sendiri di tempat korban mereka. Seperti kata laluan dan maklumat peribadi yang lain, tahap perlindungan yang disediakan oleh keselamatan biometrik bergantung sepenuhnya kepada kecekapan sesiapa yang menyimpan data tersebut (kita semua tahu bagaimana yang bekerja di LinkedIn).

Memerlukan biometrik semasa log masuk juga boleh membuat tidak mahu namanya disiarkan (jika tidak mustahil) untuk penentang politik, pemberi maklumat, dan orang yang mendiami pelbagai identiti atas alasan peribadi atau profesional. Pengawasan kerajaan yang bergaya juga boleh memberi banyak jeda pengguna. Meskipun demikian, Joseph Pritikin, pengarah pemasaran produk di AOptix Technologies, pembuat scanner iris yang dikerahkan di lapangan terbang dan lintasan sempadan, meramalkan bahawa telefon pintar yang menggunakan biometrik akan menjadi salah satu peranti pengenalan utama masa depan, sebahagiannya kerana data itu boleh disimpan dengan selamat pada peranti itu sendiri.

"Ini akan menjadi gabungan sesuatu yang saya dan sesuatu yang saya ada, kemungkinan besar telefon pintar, "kata Pritikin. "Penyulitan berasaskan perkakasan mereka sukar untuk dikompromikan."

Satu ID untuk memerintah mereka semua

Pada akhirnya, penyelesaian yang ideal untuk keletihan kata laluan adalah menyatukan semua log masuk dan identiti dalam talian kami. Masuk ke Pentadbiran Obama, yang pada April 2011 melancarkan inisiatif awam-swasta, Strategi Kebangsaan untuk Identiti Dipercayai di Ruang Siber, untuk membangunkan ekosistem identiti yang akan membolehkan pengguna menggunakan sistem pengesahan dan menjalankannya secara lancar di mana-mana laman web. > Sistem sedemikian akan dapat mengesahkan bahawa anda cukup tua untuk membeli wain secara dalam talian atau anda layak mendapat diskaun pelajar, tanpa perlu berkongsi semua maklumat peribadi anda dengan setiap tapak, kata Jim Fenton, ketua pakar keselamatan untuk OneID, sistem pengurusan identiti Internet. Sistem ini juga akan membolehkan anda untuk beroperasi dengan nama samaran, jika itu adalah bagaimana anda ingin melancarkan.

Tetapi roda kerajaan berpura-pura perlahan-lahan. Bulan lepas, jawatankuasa pemandu NTSIC mengadakan mesyuarat pertamanya. Antara isu-isu yang perlu ditangani ialah berapa banyak maklumat yang perlu dikongsi antara pihak-pihak, dan berapa banyak pengguna yang mengawal maklumat itu, kata Fenton, ahli kumpulan privasi jawatankuasa pengarah.

Dengan kata lain: Bantuan sedang dalam perjalanan, tetapi ia tidak akan tiba di sini tidak lama lagi. Dalam pada itu, kami terjebak dengan kata laluan. Buat beberapa yang baik, dan pastikan mereka berada di kunci dan kunci.