Video: Adela Borș - Sofia (September 2024)
När en webbshopsajt har ett dataintrång får du en varning om att ändra ditt lösenord. Om din bank har hackats skickar de dig ett nytt kreditkort. Det verkliga problemet uppstår när ett företag autentiserar dig med hjälp av personuppgifter som inte kan ändras, till exempel din SSN eller födelsedatum. En ny whitepaper från NSS Labs undersöker användningen av statisk och dynamisk information för autentisering och erbjuder företag råd för att förbättra säkerheten.
Statiska data
SSN var aldrig tänkt som en personlig identifierare. Rapporten konstaterar att motsvarande identifierare i Storbritannien aldrig används för autentisering. När din SSN har avslöjats i ett brott, är den för evigt komprometterad. Och det är ett problem.
Vissa företag försöker skydda kunder genom att bara lagra de sista fyra siffrorna i SSN. Det visar sig att detta inte är särskilt effektivt. De första fem siffrorna är inte slumpmässiga. de är baserade på när och var du först sökte ditt SSN. Ett forskningsprojekt från fem år sedan analyserade data från regeringens "Death Master File" och utformade en algoritm för att förutsäga de första fem siffrorna. Med bara två försök lyckades de 60 procent noggrannhet. Om cybercrooks redan har de sista fyra siffrorna är din SSN pwned.
Födelsedatum är ett annat datum som bara inte kan ändras. Rapporten konstaterar att födelseort, kön och medborgarskap också kan användas för autentisering och inte heller kan ändras. Det fortsätter att konstatera att "Företag och regeringar bör avstå från att använda dessa attribut för online-säkerhetsändamål, även om de historiskt sett har betraktats som konfidentiella."
Dynamiska data
Konsumenter måste använda olika starka lösenord för alla säkra webbplatser, och företag behöver hjälpa, inte hindra, denna ansträngning. Rapporten råder alla företag att tillåta långa lösenord och ta bort eventuella begränsningar för vilka tecken som kan användas. Det är mycket avskräckande när en webbplats avvisar det supersäkra lösenord som genereras av din lösenordshanterare.
Användare som har glömt sina lösenord kan ofta verifiera genom att ge svar på en eller flera säkerhetsfrågor. Att be om allmänt tillgänglig information som kundens hemstad eller mammas flicknamn är ett stort misstag. Företag bör tillåta kunder att definiera sina egna frågor och kunder bör skapa frågor som ingen utomstående kan svara på. Rapporten säger inte detta, men om du står inför en dålig säkerhetsfråga, rekommenderar jag att du ger ett svar som är osant men ändå minnesvärd.
Kriminell profilering
Annonsörer och onlineföretag profilerar ständigt konsumenter på många olika sätt. De ser för att identifiera lojala kunder, dåliga kreditrisker, till och med räkna ut vem som är friska och vem inte. Dina shoppingvanor kan bestämma om du får en rabattkupong eller inte, eller vilken reklamhöjd som träffar din webbläsare.
Samma sak händer i den skuggiga världen för cyberbrott. Varje dataintrång ger skurkarna mer data, och genom att kombinera resultat från överlappande överträdelser kan de skapa mycket exakta profiler. Vitboken föreslår att sådana profiler redan finns för "miljoner användare."
Råd för företag
Vitboken erbjuder ett antal förslag för online-företag. Den rekommenderar att bara lagra nödvändigt minimum av personuppgifter och lagra ingenting alls för en engångstransaktion. Företag bör undvika att lagra känslig information som vanlig text. i synnerhet bör de lagra hash-lösenord, inte lösenord. De bör också tillåta användare att säga upp konton och därmed radera ut alla personuppgifter från systemet, inklusive data lagrade i säkerhetskopior.
Företag bör anta att ett dataöverträdelse kommer att hända. Rapporten konstaterar att av de tio största överträdelserna under det senaste decenniet inträffade hälften under 2013. Förberedelserna för ett överträdelse inkluderar att inrätta en alternativ kommunikationskanal för varje användare, om den primära kanalen bryts. Företag bör proaktivt nå ut efter ett överträdelse och implementera metoder för att autentisera användare i riskzonen, till exempel att skapa utmaningsfrågor baserade på faktisk användaraktivitet.
Den fullständiga whitepaper, med titeln "Varför ditt databrott är mitt problem", erbjuder en mängd användbar och handlingsbar information, och den är förvånansvärt läsbar. Ta en titt.
