Rsa: ikke flere passord, noen gang?

Google har erklært krig mot passord, men Alisdair Faulkner Chief Products Officer og medgründer av ThreatMetrix, tror de kjemper mot feil krig. "Ideen er prisverdig, " sa Faulkner. "Faktisk, de fleste bruker det samme enkle passordet igjen og igjen. Google foreslår en fysisk autentisator. Problemet er at enhver form for to-faktor-ordning må vedtas både av nettsteder og av brukere. Og hvis du mister autentisatoren din, hva da?" Han påpekte også problemet med å autentisere en bruker under den første registreringen.

ThreatMetrix foreslår en annen løsning, en som ikke krever noen innsats fra brukerens side. "Vi (og mange andre) tror at vi må gjøre sikkerhet til en standarddel av hver operasjon, " sa Faulkner. "Det skal være passivt, ikke påtrengende. Kombinasjonen av din atferd og enhetene dine på tvers av mange interaksjoner kan tjene til å identifisere deg, og bare deg."

Avvikende atferd

Bankene identifiserer mistenkelige transaksjoner ved å merke avvik fra normale mønstre. ThreatMetrix bruker samme slags logikk for online autentisering. De vet ikke nødvendigvis noe om deg personlig, men de vet for eksempel at en bestemt e-postkonto normalt kobles fra tre spesielle enheter, vanligvis i California. Hvis den kontoen plutselig begynner å koble flere ganger på en gang, fra ukjente enheter, kanskje i Kina, er det et rødt flagg.

"Banker, e-handelsnettsteder og noen av de største teknologiselskapene bruker ThreatMetrix, " sa Faulkner. "De ser etter tegn på overtakelse av konto og svindel med kredittkort, og bruker det for å validere ny påmelding." Han la vekt på at selskapet strengt tatt ser etter mønstre i data, ikke etter noens personlige informasjon.

Der alle kjenner navnet ditt

Det gir mye mening for meg. Når jeg går rundt RSA-konferansen, sier folk som kjenner meg "Hei!", Og folk som ikke sjekker merket mitt. Hvis en attraktiv ung kvinne hadde på meg merket, ville ingen tro at hun er meg; merket er ikke min identitet. Jeg trenger ikke å oppgi et passord for å gå inn i presserommet; de vet hvem jeg er. ThreatMetrix-planen utvides til å vite hvem du er i nettområdet.

Jeg spurte Faulkner, hva med falske positiver? Mange av oss har opplevd kredittkortbeholdninger fordi vi har kjøpt et uvanlig sted. Kunne ikke ThreatMetrix feilaktig blokkere min tilgang til, sier en bankside? "Vi gir kontekst, " svarte han, "men vi er ikke håndhever. Nettstedet kan bestemme seg for å avvise transaksjonen, eller underlegge den ekstra granskning. Med mindre det er skikkelig uredelig, vil de sannsynligvis ikke nekte den for direkte."

Banknæringen bruker allerede lignende teknikker for å flagge potensielt risikable transaksjoner. Jeg kan se at jeg utvider den modellen til autentisering på nettstedet. Selvfølgelig kan det bare skje med nesten universell deltakelse. Hvis det høye målet er nådd, kan det hende vi aldri igjen må huske et passord som 8l3yO5JgtxIC eller CorrectHorseBatteryStaple.

Hvis du vil se alle innlegg fra RSA-dekningen, kan du sjekke siden Vis rapporter.