Rsa: inga fler lösenord, någonsin?

Google har förklarat krig mot lösenord, men Alisdair Faulkner Chief Products Officer och medgrundare av ThreatMetrix, tror att de kämpar fel krig. "Idén är lovbar", sa Faulkner. "Faktum är att de flesta använder samma enkla lösenord om och om igen. Google föreslår en fysisk autentiserare. Problemet är att alla typer av tvåfaktorscheman måste antas både av webbplatser och av användare. Och om du tappar din autentiserare, vad händer då?" Han påpekade också problemet med att autentisera en användare under den första registreringen.

ThreatMetrix föreslår en annan lösning, en som inte kräver någon ansträngning från användarens sida. "Vi (och många andra) tror att vi måste göra säkerhet till en standarddel i varje operation, " sa Faulkner. "Det borde vara passivt, inte påträngande. Kombinationen av ditt beteende och dina enheter över många interaktioner kan tjäna till att identifiera dig och bara du."

Avvikande beteende

Bankerna identifierar misstänkta transaktioner genom att notera avvikelser från normala mönster. ThreatMetrix tillämpar samma typ av logik för online-autentisering. De vet inte nödvändigtvis något om dig personligen, men de vet till exempel att ett visst e-postkonto normalt ansluter från tre specifika enheter, vanligtvis i Kalifornien. Om det kontot plötsligt börjar ansluta flera gånger på en gång från okända enheter, kanske i Kina, är det en röd flagga.

"Banker, e-handelswebbplatser och några av de största teknikföretagen använder ThreatMetrix", sa Faulkner. "De letar efter tecken på kontoövertagande och kreditkortsbedrägeri och använder det för att validera ny registrering." Han betonade att företaget strikt letar efter mönster i data, inte efter någons personliga information.

Där alla vet ditt namn

Det är mycket meningsfullt för mig. När jag går runt RSA-konferensen säger människor som känner mig "Hej!" Och människor som inte kontrollerar mitt märke. Om en attraktiv ung kvinna bar mitt märke, skulle ingen tro att hon är jag; märket är inte min identitet. Jag behöver inte ange ett lösenord för att gå in i Pressrummet; de vet vem jag är. ThreatMetrix-planen utvidgar att veta vem du är i cyberspace.

Jag frågade Faulkner, hur är det med falska positiver? Många av oss har upplevt kreditkortsinnehav eftersom vi gjorde ett köp på en ovanlig plats. Kunde inte ThreatMetrix felaktigt blockera min åtkomst till, säger en banksida? "Vi tillhandahåller sammanhang, " svarade han, "men vi är inte verkställande direktören. Webbplatsen kan besluta att avvisa transaktionen eller utsätta den för extra granskning. Om det inte är olagligt bedrägligt skulle de förmodligen inte förneka det direkt."

Bankbranschen använder redan liknande tekniker för att flagga potentiellt riskabla transaktioner. Jag kan helt se att jag utvidgar modellen till autentisering på webbplatsen. Naturligtvis kan det bara hända med nästan universellt deltagande. Om det höga målet uppnås kanske vi aldrig mer kommer att komma ihåg ett lösenord som 8l3yO5JgtxIC eller CorrectHorseBatteryStaple.

För att se alla inlägg från vår RSA-täckning, kolla in vår sida för rapporter.