Video: Hvordan endre passord på ditt trådløse nettverk (Oktober 2024)
Når et nettbasert shoppingnettsted lider av dataovertredelse, får du en advarsel om å endre passord. Hvis banken din er hacket, sender de deg et nytt kredittkort. Det virkelige problemet oppstår når en virksomhet autentiserer deg ved å bruke personlige data som ikke kan endres, som SSN eller fødselsdato. Et nytt whitepaper fra NSS Labs undersøker bruken av statisk og dynamisk informasjon for autentisering, og tilbyr bedrifter råd for å forbedre sikkerheten.
Statiske data
SSN var aldri ment som en personlig identifikator. Rapporten bemerker at den tilsvarende identifikatoren i Storbritannia aldri brukes til autentisering. Når SSN-en din er avslørt i et brudd, er den for alltid kompromittert. Og det er et problem.
Noen virksomheter prøver å beskytte kundene ved å lagre bare de fire siste sifrene i SSN. Det viser seg at dette ikke er veldig effektivt. De første fem sifrene er ikke tilfeldige. de er basert på når og hvor du først søkte om SSN. Et forskningsprosjekt fra fem år siden analyserte data fra regjeringens "Death Master File" og utviklet en algoritme for å forutsi de første fem sifrene. Med bare to forsøk klarte de 60 prosent nøyaktighet. Hvis cybercrooks allerede har de fire siste sifrene, blir SSN-en din pwned.
Fødselsdato er et annet datum som bare ikke kan endres. Rapporten bemerker at fødested, kjønn og statsborgerskap også kan brukes til autentisering, og at de heller ikke kan endres. Den fortsetter med å uttale at "Foretak og myndigheter bør avstå fra å bruke disse attributtene til sikkerhetsformål på nettet, selv om de historisk sett har blitt ansett som fortrolige."
Dynamiske data
Forbrukerne må bruke forskjellige sterke passord for alle sikre nettsteder, og bedrifter må hjelpe, ikke hindre denne innsatsen. Rapporten råder alle virksomheter til å la lange passord og fjerne eventuelle begrensninger for hvilke tegn som kan brukes. Det er veldig nedslående når et nettsted avviser det supersikre passordet som genereres av passordbehandleren din.
Brukere som har glemt passordene sine, kan ofte autentisere ved å gi svar på ett eller flere sikkerhetsspørsmål. Det er en stor feil å be om offentlig tilgjengelig informasjon som kundens hjemby eller mors pikenavn. Virksomheter bør la kundene definere egne spørsmål, og kundene bør lage spørsmål som ingen utenforstående kunne svare på. Rapporten sier ikke dette, men hvis du blir konfrontert med et dårlig sikkerhetsspørsmål, anbefaler jeg at du gir et svar som er usant men likevel minneverdig.
Kriminell profilering
Annonsører og online virksomheter profilerer forbrukere kontinuerlig på mange forskjellige måter. De ser etter å identifisere lojale kunder, dårlig kredittrisiko, til og med finne ut hvem som er sunne og hvem som ikke er det. Shoppingvanene dine kan avgjøre om du får en rabattkupong eller ikke, eller hvilken annonseringsbane som treffer nettleseren din.
Akkurat det samme skjer i den skyggefulle verdenen med nettkriminalitet. Hvert datainnbrudd gir skurkene mer data, og ved å kombinere resultater fra overlappende brudd kan de lage veldig nøyaktige profiler. Whitepaper antyder at slike profiler allerede eksisterer for "millioner av brukere."
Råd for virksomheten
Whitepaper tilbyr en rekke forslag for online virksomheter. Den råder til å bare lagre nødvendig minimum av personopplysninger, og ikke lagre noe i det hele tatt for en engangstransaksjon. Bedrifter bør unngå å lagre sensitive data som ren tekst; spesielt bør de lagre hash-passord, ikke passord. De bør også tillate brukere å avslutte kontoer og derved utslette alle personopplysninger fra systemet, inkludert data som er lagret i sikkerhetskopier.
Bedrifter bør anta at et datainnbrudd vil skje. Rapporten bemerker at av de ti største bruddene i det siste tiåret skjedde halvparten i 2013. Forberedelsene til et brudd inkluderer å sette opp en alternativ kommunikasjonskanal for alle brukere, i tilfelle den primære kanalen blir brutt. Virksomheter bør proaktivt nå ut etter et brudd, og implementere metoder for å autentifisere brukere i fare, for eksempel å lage utfordringsspørsmål basert på faktisk brukeraktivitet.
Den komplette tavlen, med tittelen "Why Your Data Breach Is My Problem", tilbyr et vell av nyttig og handlingsfull informasjon, og den er overraskende lesbar. Ta en titt.
