Domov Securitywatch Zmeň si heslo? poriadku. zmeniť svoje SSN? ach drahý ...

Zmeň si heslo? poriadku. zmeniť svoje SSN? ach drahý ...

Video: jak změnit heslo na WiFi (November 2024)

Video: jak změnit heslo na WiFi (November 2024)
Anonim

Ak dôjde k porušeniu údajov na stránkach s nakupovaním online, zobrazí sa upozornenie na zmenu hesla. Ak je vaša banka napadnutá, pošlú vám novú kreditnú kartu. Skutočný problém sa vyskytne, keď vás firma overí pomocou osobných údajov, ktoré sa nedajú zmeniť, napríklad SSN alebo dátum narodenia. Nový dokument spoločnosti NSS Labs skúma použitie statických a dynamických informácií na autentifikáciu a ponúka podnikovým poradenstvám na zlepšenie bezpečnosti.

Statické údaje

SSN nikdy nebol mienený ako osobný identifikátor. V správe sa uvádza, že ekvivalentný identifikátor vo Veľkej Británii sa nikdy nepoužíva na autentifikáciu. Keď bude vaše SSN odhalené v rozpore, bude to navždy ohrozené. A to je problém.

Niektoré podniky sa snažia chrániť zákazníkov uložením iba posledných štyroch číslic SSN. Ukazuje sa, že to nie je príliš efektívne. Prvých päť číslic nie je náhodné; sú založené na tom, kedy a kde ste sa prvýkrát prihlásili do svojho SSN. Výskumný projekt spred piatich rokov analyzoval údaje z vládneho súboru „Death Master File“ a navrhol algoritmus na predpovedanie týchto prvých päť číslic. Len s dvoma pokusmi dokázali dosiahnuť 60 percentnú presnosť. Ak už internetoví robotníci majú posledné štyri číslice, vaše číslo SSN je pozastavené.

Dátum narodenia je ďalší údaj, ktorý sa jednoducho nedá zmeniť. V správe sa uvádza, že miesto narodenia, pohlavie a občianstvo sa môžu použiť aj na autentifikáciu a tiež sa nedajú zmeniť. Ďalej sa uvádza, že „Podniky a vlády by sa mali zdržať používania týchto atribútov na účely online bezpečnosti, hoci sa historicky považovali za dôverné.“

Dynamické údaje

Spotrebitelia musia používať rôzne silné heslá pre všetky zabezpečené stránky a podniky musia tomuto úsiliu pomôcť, nie mu prekážať. V správe sa odporúča všetkým podnikom, aby povolili dlhé heslá a odstránili akékoľvek obmedzenia týkajúce sa toho, ktoré znaky možno použiť. Je veľmi odrádzajúce, keď webová stránka odmietne super bezpečné heslo vygenerované správcom hesiel.

Používatelia, ktorí zabudli svoje heslá, sa môžu často znova autentifikovať poskytnutím odpovedí na jednu alebo viac bezpečnostných otázok. Žiadosť o verejne dostupné informácie, ako je rodné mesto zákazníka alebo rodné priezvisko matky, je veľkou chybou. Podniky by mali zákazníkom umožniť, aby definovali svoje vlastné otázky, a zákazníci by si mali vymýšľať otázky, na ktoré nemohol odpovedať žiadny cudzinec. Správa to nehovorí, ale ak ste konfrontovaní so zlou bezpečnostnou otázkou, odporúčam vám uviesť odpoveď, ktorá je nepravdivá, ale nezabudnuteľná.

Trestné profilovanie

Inzerenti a podniky na internete neustále oslovujú spotrebiteľov rôznymi spôsobmi. Snažia sa identifikovať verných zákazníkov, zlé úverové riziká, dokonca zistiť, kto je zdravý a kto nie. Vaše nákupné zvyklosti môžu určiť, či získate zľavový kupón alebo ktoré reklamné ihrisko zasiahne váš prehliadač.

To isté sa deje v tienistom svete počítačovej kriminality. Každé porušenie údajov poskytuje zlodejom viac údajov a kombináciou výsledkov z prekrývajúcich sa porušení môžu vytvoriť veľmi presné profily. V dokumente sa uvádza, že takéto profily už existujú pre „milióny používateľov“.

Poradenstvo pre podnikanie

Dokument ponúka množstvo podnetov pre online podniky. Odporúča ukladať iba nevyhnutné minimum osobných údajov a pri jednorazovej transakcii vôbec nič neukladať. Podniky by sa mali vyhýbať ukladaniu citlivých údajov ako obyčajného textu; mali by uchovávať najmä hashe hesiel, nie heslá. Používateľom by tiež mali umožniť ukončiť účty, a tým vymazať všetky osobné údaje zo systému vrátane údajov uložených v zálohách.

Podniky by mali predpokladať, že dôjde k porušeniu údajov. V správe sa uvádza, že z desiatich najväčších porušení za poslednú dekádu došlo v roku 2013 k polovici. Príprava na porušenie zahŕňa zriadenie alternatívneho komunikačného kanála pre každého používateľa v prípade porušenia primárneho kanála. Podniky by mali proaktívne osloviť používateľov po porušení a implementovať metódy na opätovnú autentifikáciu rizikových používateľov, ako je napríklad vytváranie výziev na základe skutočnej činnosti používateľov.

Celý dokument s názvom „Prečo je váš problém porušením údajov“ ponúka množstvo užitočných a použiteľných informácií a je prekvapivo čitateľný. Pozrieť sa.

Zmeň si heslo? poriadku. zmeniť svoje SSN? ach drahý ...