Rsa: Ei enää salasanoja?

Google on julistanut sotasalasanoista, mutta Alisdair Faulknerin toimitusjohtaja ja ThreatMetrixin perustaja luulee taistelevansa väärää sotaa. "Idea on kiitettävä", sanoi Faulkner. "Tosiasiassa suurin osa ihmisistä käyttää uudestaan ​​ja uudestaan ​​samaa yksinkertaista salasanaa. Google ehdottaa fyysistä todennusta. Ongelmana on, että sekä sivustojen että käyttäjien on hyväksyttävä kaikenlainen kaksifaktorinen järjestelmä. Ja jos kadotat todentajan, mitä sitten?" Hän huomautti myös käyttäjän todentamisen ongelmasta alkuperäisen kirjautumisen yhteydessä.

ThreatMetrix ehdottaa erilaista ratkaisua, joka ei vaadi käyttäjän ponnisteluja. "Me (ja monet muut) uskomme, että turvallisuudesta on tehtävä jokaiselle operaatiolle oletusosa", Faulkner sanoi. "Sen tulisi olla passiivinen, ei häiritsevä. Käyttäytymisesi ja laitteidesi yhdistelmä monissa vuorovaikutuksissa voi auttaa tunnistamaan sinut ja vain sinut."

Deviant käyttäytyminen

Pankit tunnistavat epäilyttävät liiketoimet havaitsemalla poikkeamat normaalista mallista. ThreatMetrix soveltaa samanlaista logiikkaa online-todennukseen. He eivät välttämättä tiedä mitään sinusta henkilökohtaisesti, mutta he esimerkiksi tietävät, että tietty sähköpostitili muodostaa yhteyden yleensä kolmesta tietystä laitteesta, yleensä Kaliforniassa. Jos tili alkaa yhtäkkiä yhdistää useita kertoja kerralla tuntemattomista laitteista, esimerkiksi Kiinassa, se on punainen lippu.

"Pankit, verkkokauppasivustot ja eräät suurimmista teknologiayrityksistä käyttävät ThreatMetrixiä", Faulkner sanoi. "He tarkkailevat merkkejä tilin haltuunotosta ja luottokorttipetoksista ja käyttävät sitä vahvistaakseen uuden ilmoittautumisen." Hän korosti, että yritys etsii tiukasti tietomalleja, ei kenenkään henkilökohtaisia ​​tietoja.

Missä kaikki tietävät nimesi

Minulla on paljon järkeä. Kun kävelen RSA-konferenssin ympäri, ihmiset, jotka tuntevat minut, sanovat "Hei!" Ja ihmiset, jotka eivät tarkista tunnusta. Jos houkutteleva nuori nainen käytti tunnusmerkkiäni, kukaan ei uskoisi olevansa minä; rintanappi ei ole henkilöllisyyteni. Minun ei tarvitse antaa salasanaa mennäksesi lehdistötilaan; he tietävät kuka olen. ThreatMetrix-suunnitelma laajentaa tietäen kuka olet kyberavaruudessa.

Kysyin Faulknerilta, entä vääriä positiivisia? Monet meistä ovat kokeneet luottokorttipidot, koska olemme ostaneet epätavallisessa paikassa. Eikö ThreatMetrix estänyt virheellisesti pääsyäni sanomme pankkisivustolle? "Tarjoamme asiayhteyden", hän vastasi, "mutta emme ole toimeenpanija. Sivusto voi päättää hylätä kaupan tai valvoa sitä ylimääräiselle tarkastukselle. Ellei se ole räikeästi petollinen, he eivät todennäköisesti kieltäisi sitä suoraan."

Pankkisektori käyttää jo samanlaisia ​​tekniikoita potentiaalisesti riskialtisten liiketoimien merkitsemiseksi. Voin täysin nähdä, että tämä malli ulottuu verkkosivustojen todennukseen. Tietysti se voi tapahtua vain lähes universaalissa osallistumisessa. Jos tämä ylevä tavoite saavutetaan, meidän ei ehkä enää koskaan tarvitse muistaa salasanaa, kuten 8l3yO5JgtxIC tai CorrectHorseBatteryStaple.

Katso kaikki RSA-kattavuutemme viestit tarkistamalla Näytä raportit -sivumme.