Video: 1.3 Salasana ja sen vaihtaminen (Lokakuu 2024)
Kun verkkokauppasivusto kärsii tietosuojavirheestä, saat varoituksen salasanasi vaihtamisesta. Jos pankkisi hakkeroidaan, he lähettävät sinulle uuden luottokortin. Todellinen ongelma ilmenee, kun yritys todentaa sinut henkilökohtaisilla tiedoilla, joita ei voi muuttaa, kuten SSN-tunnuksellasi tai syntymäpäivälläsi. Uusi NSS Labsin esite tutkii staattisen ja dynaamisen tiedon käyttöä todentamisessa ja tarjoaa yrityksille neuvoja turvallisuuden parantamiseksi.
Staattinen tieto
SSN: tä ei ole koskaan tarkoitettu henkilökohtaiseksi tunnisteeksi. Raportissa todetaan, että vastaavaa tunnistetta Yhdistyneessä kuningaskunnassa ei koskaan käytetä todennukseen. Kun SSN-palvelusi paljastuu rikkomuksella, se vaarantuu ikuisesti. Ja se on ongelma.
Jotkut yritykset yrittävät suojata asiakkaita tallentamalla vain SSN: n neljä viimeistä numeroa. Osoittautuu, että tämä ei ole kovin tehokasta. Ensimmäiset viisi numeroa eivät ole satunnaisia; ne perustuvat siihen, milloin ja missä haki ensimmäisen kerran SSN-tunnustasi. Viiden vuoden takaisesta tutkimusprojektista analysoitiin hallituksen "kuoleman päätiedoston" tietoja ja kehitettiin algoritmi näiden viiden ensimmäisen numeron ennustamiseksi. Vain kahdella yrityksellä he hallitsivat 60 prosentin tarkkuuden. Jos verkkosivustolla on jo neljä viimeistä numeroa, SSN-osoitettasi on täynnä.
Syntymäaika on toinen peruskohta, jota ei vain voida muuttaa. Raportissa todetaan, että syntymäpaikkaa, sukupuolta ja kansalaisuutta voidaan käyttää myös todennukseen, eikä niitä myöskään voida muuttaa. Siinä todetaan edelleen, että "yritysten ja hallitusten tulisi pidättäytyä käyttämästä näitä ominaisuuksia verkkoturvallisuustarkoituksiin, vaikka historiallisesti niitä on pidetty luottamuksellisina".
Dynaaminen data
Kuluttajien on käytettävä erilaisia vahvoja salasanoja kaikille suojatuille sivustoille, ja yritysten on autettava, ei estättävä tätä ponnistelua. Raportissa kehotetaan kaikkia yrityksiä sallimaan pitkät salasanat ja poistamaan kaikki merkit, joita voidaan käyttää. Se on hyvin lannistavaa, kun verkkosivusto hylkää salasananhallinnan tuottaman erittäin turvallisen salasanan.
Salasanan unohtaneet käyttäjät voivat usein todentaa uudelleen antamalla vastauksia yhteen tai useampaan turvakysymykseen. Pyydä julkisesti saatavilla olevia tietoja, kuten asiakkaan kotikaupunki tai äidin neito, on valtava virhe. Yritysten tulisi antaa asiakkaille mahdollisuus määritellä omat kysymyksensä, ja asiakkaiden tulisi käsitellä kysymyksiä, joihin kukaan ulkopuolinen ei pystynyt vastaamaan. Raportissa ei sanota tätä, mutta jos kohtaat huonon turvallisuuskysymyksen, suosittelen antamaan vastaus, joka ei ole totta mutta mieleenpainuva.
Rikosprofiilit
Mainostajat ja verkkoyritykset profiloivat kuluttajia jatkuvasti monin eri tavoin. He etsivät tunnistamaan uskollisia asiakkaita, huonot luottoriskit, jopa selvittää, kuka on terve ja kuka ei. Ostostottumuksesi voivat määrittää, saatko alennuskuponin vai ei, vai mikä mainontakorko osuu selaimeesi.
Aivan sama asia tapahtuu tietoverkkorikollisuuden varjoisassa maailmassa. Jokainen tietosuojavirhe antaa pahoille pojille enemmän tietoa, ja yhdistämällä päällekkäisten rikkomusten tulokset he voivat luoda erittäin tarkkoja profiileja. Lehdestä ilmenee, että sellaisia profiileja on jo "miljoonille käyttäjille".
Neuvonta yrityksille
Esite tarjoaa useita ehdotuksia verkkoyrityksille. Siinä suositellaan, että tallennetaan vain tarvittava vähimmäistaso henkilötietoja, ja säilytä vain mitään kertaluonteista kauppaa varten. Yritysten tulisi välttää arkaluontoisten tietojen tallentamista selkeänä tekstinä. erityisesti heidän tulisi tallentaa salasanat, ei salasanoja. Niiden tulisi myös antaa käyttäjille mahdollisuus lopettaa tilit ja pyyhkiä siten kaikki henkilökohtaiset tiedot järjestelmästä, mukaan lukien varmuuskopioihin tallennetut tiedot.
Yritysten pitäisi olettaa tapahtuvan tietoturvaloukkauksia. Raportissa todetaan, että viimeisen vuosikymmenen kymmenestä suurimmasta rikkomuksesta puolet tapahtui vuonna 2013. Rikkomukseen valmistautuminen käsittää vaihtoehtoisen viestintäkanavan perustamisen jokaiselle käyttäjälle, jos ensisijainen kanava rikotaan. Yritysten tulisi ennakoivasti tavoittaa rikkomuksen jälkeen ja toteuttaa menetelmiä, joilla todennetaan riskikäyttäjät uudelleen, esimerkiksi luomalla haastekysymykset todellisen käyttäjän toiminnan perusteella.
Koko seloste, jonka otsikko on "Miksi tietosi rikkominen on minun ongelmani", tarjoaa runsaasti hyödyllistä ja toimittavaa tietoa, ja se on yllättäen luettavissa. Katso.
