Setiap minggu, kami membaca cerita tentang korps dan situs web yang disusupi. Bagi banyak dari kita, pembobolan terburuk adalah kata sandi yang dicuri. Diperlukan perubahan!
Tampaknya setiap minggu, kami membaca cerita tentang perusahaan dan situs web yang disusupi dan data konsumen dicuri. Bagi banyak dari kita, pembobolan terburuk adalah ketika kata sandi dicuri. Peretasan LastPass adalah salah satu serangan terbaru. Dalam banyak hal, ini adalah bentuk terorisme digital yang terus berkembang. Autentikasi dua faktor dan biometrik adalah tambalan yang bagus untuk masalah ini, tetapi mereka mengabaikan masalah mendasar yang terkait dengan manajemen login. Kami memiliki alat untuk memecahkan masalah, tetapi belum diterapkan dengan benar.
Mengapa Kami Melepas Sepatu Kami di Amerika Serikat tetapi tidak di Israel
Siapa pun yang terbang di Amerika Serikat tahu tentang keamanan TSA. Kami melepas mantel kami, menghindari cairan, dan melepas sepatu kami sebelum melewati keamanan. Kami memiliki daftar larangan terbang berdasarkan nama. Ini adalah reaksi terhadap ancaman tertentu. Itu bukan cara negara seperti Israel melakukan keamanan. Saya belum pernah menerbangkan El-Al (maskapai penerbangan nasional Israel), tetapi teman-teman memberi tahu saya tentang wawancara yang mereka lalui dengan aman. Petugas keamanan memberi kode ancaman berdasarkan karakteristik dan perilaku pribadi.
Kami menggunakan pendekatan TSA untuk akun online, dan itulah mengapa kami memiliki semua masalah keamanan. Otentikasi dua faktor adalah permulaan. Namun ketika kita menambahkan faktor kedua ke akun kita, kita terbuai dalam rasa aman yang palsu. Faktor kedua itu melindungi dari seseorang yang mencuri kata sandi saya-ancaman khusus. Bisakah faktor kedua saya dikompromikan? Tentu. Ponsel saya dapat dicuri, atau malware dapat membahayakan faktor kedua saya.
Faktor Manusia: Rekayasa Sosial
Bahkan dengan pendekatan dua faktor, manusia masih memiliki kemampuan untuk mengesampingkan pengaturan keamanan. Beberapa tahun yang lalu, seorang peretas yang rajin meyakinkan Apple untuk mengatur ulang ID Apple seorang penulis. GoDaddy tertipu untuk menyerahkan nama domain yang memungkinkan pengambilalihan akun Twitter. Identitas saya secara tidak sengaja digabungkan dengan Dave Greenbaum lainnya karena kesalahan manusia di MetLife. Kesalahan ini hampir membuat saya membatalkan asuransi rumah dan mobil Dave Greenbaum lainnya.
Bahkan jika manusia tidak mengesampingkan pengaturan dua faktor, token kedua itu hanyalah rintangan lain bagi penyerang. Ini adalah permainan untuk seorang hacker. Jika saya tahu ketika Anda masuk ke Dropbox Anda bahwa saya memerlukan kode otorisasi, maka yang perlu saya lakukan hanyalah mendapatkan kode itu dari Anda. Jika saya tidak mendapatkan pesan teks Anda diarahkan kepada saya (SIM-hack siapa pun?), Saya hanya perlu meyakinkan Anda untuk melepaskan kode itu kepada saya. Ini bukan ilmu roket. Bisakah saya meyakinkan Anda untuk mengembalikan kode itu? Mungkin. Kami mempercayai ponsel kami lebih dari komputer kami. Itu sebabnya orang jatuh cinta pada hal-hal seperti pesan login iCloud palsu.
Kisah nyata lain yang terjadi pada saya dua kali. Perusahaan kartu kredit saya melihat aktivitas yang mencurigakan dan menelepon saya. Besar! Itu adalah pendekatan berbasis perilaku yang akan saya bicarakan nanti. Namun, mereka meminta saya untuk memberikan nomor kartu kredit lengkap saya melalui telepon dengan panggilan yang tidak saya lakukan. Mereka terkejut saya menolak memberi mereka nomornya. Seorang manajer memberi tahu saya bahwa mereka jarang mendapat keluhan dari pelanggan. Kebanyakan penelepon hanya menyerahkan nomor kartu kredit. Aduh. Itu bisa jadi orang jahat di ujung sana mencoba mendapatkan data pribadi saya.
Kata Sandi Tidak Melindungi Kami
Kami memiliki terlalu banyak kata sandi dalam hidup kami di terlalu banyak tempat. Medium sudah menghapus kata sandi. Sebagian besar dari kita tahu bahwa kita harus memiliki kata sandi yang unik untuk setiap situs. Pendekatan itu terlalu berlebihan untuk meminta otak kecil kita yang hidup dalam kehidupan digital yang penuh dan kaya. Pengelola kata sandi (analog atau digital) membantu mencegah peretas biasa, tetapi bukan serangan canggih. Heck, para peretas bahkan tidak memerlukan kata sandi untuk mengakses akun pribadi kita. Mereka hanya membobol database yang menyimpan informasi (Sony, Target, Pemerintah Federal).
Ambil Pelajaran Dari Perusahaan Kartu Kredit
Meskipun algoritmenya mungkin sedikit salah, perusahaan kredit memiliki ide yang tepat. Mereka melihat pola dan lokasi pembelian kami untuk mengetahui apakah Anda yang menggunakan kartu Anda. Jika Anda membeli gas di Kansas dan kemudian membeli jas di London, itu menjadi masalah.
Mengapa kami tidak dapat menerapkan ini ke akun online kami? Beberapa perusahaan menawarkan peringatan dari IP asing (pujian untuk LastPass karena mengizinkan pengguna menyetel negara pilihan untuk akses). Jika ponsel, komputer, tablet, dan perangkat pergelangan tangan saya semuanya ada di Kansas, saya akan diberi tahu jika akun saya diakses di tempat lain. Paling tidak, perusahaan-perusahaan ini harus mengajukan beberapa pertanyaan tambahan kepada saya sebelum mereka menganggap saya seperti yang saya katakan. Penjaga gerbang ini sangat diperlukan untuk akun Google, Apple, dan Facebook yang diautentikasi ke akun lain oleh OAuth. Google dan Facebook memberikan peringatan untuk aktivitas yang tidak biasa, tetapi biasanya hanya berupa peringatan, dan peringatan bukanlah perlindungan. Perusahaan kartu kredit saya menolak transaksi sampai mereka memverifikasi siapa saya. Mereka hanya tidak mengatakan, “Hei… kupikir kamu harus tahu”. Akun online saya seharusnya tidak diberi peringatan, akun tersebut harus diblokir karena aktivitas yang tidak biasa. Sentuhan terbaru untuk keamanan kartu kredit adalah pengenalan wajah. Tentu, seseorang dapat meluangkan waktu untuk mencoba meniru wajah Anda, tetapi perusahaan kartu kredit tampaknya bekerja lebih keras untuk melindungi kita.
Asisten Cerdas (dan Perangkat) Kami Adalah Pertahanan yang Lebih Baik
Siri, Alexa, Cortana, dan Google mengetahui banyak hal tentang kami. Mereka dengan cerdas memprediksi ke mana kita akan pergi, di mana kita berada, dan apa yang kita sukai. Asisten ini menyisir foto kami untuk mengatur liburan kami, mengingat siapa teman kami, dan bahkan musik yang kami sukai. Ini menyeramkan pada satu tingkat tetapi sangat berguna dalam kehidupan kita sehari-hari. Jika data Fitbit Anda dapat digunakan di pengadilan, itu juga dapat digunakan untuk mengidentifikasi Anda.
Saat membuat akun online, perusahaan mengajukan pertanyaan tantangan bodoh seperti nama kekasih sekolah menengah Anda atau guru kelas tiga Anda. Ingatan kita tidak sekokoh komputer. Pertanyaan-pertanyaan ini tidak dapat diandalkan untuk memverifikasi identitas kita. Saya telah dikunci dari akun sebelumnya karena restoran favorit saya di tahun 2011 bukanlah restoran favorit saya hari ini, misalnya.
Google telah mengambil langkah pertama dalam pendekatan perilaku ini dengan Smart Lock untuk Tablet dan Chromebook. Jika Anda seperti yang Anda katakan, maka Anda mungkin memiliki ponsel di dekat Anda. Apple benar-benar menjatuhkan bola dengan peretasan iCloud, memungkinkan ribuan upaya dari alamat IP yang sama.
Alih-alih mencari tahu lagu mana yang ingin kami dengarkan selanjutnya, saya ingin perangkat ini melindungi identitas saya dengan beberapa cara.
- Anda tahu di mana saya berada: Dengan GPS ponsel saya, ia mengetahui lokasi saya. Itu seharusnya bisa memberi tahu perangkat saya yang lain, “Hei, keren, biarkan dia masuk.” Jika saya dalam roaming Timbuktu, Anda seharusnya tidak terlalu mempercayai kata sandi saya dan bahkan mungkin faktor kedua saya.
- Anda tahu apa yang saya lakukan: Ketika saya masuk dan dengan apa, saatnya untuk mengajukan beberapa pertanyaan lagi kepada saya. “Maaf, Dave, saya tidak bisa melakukan itu” harus menjadi jawaban ketika saya biasanya tidak meminta Anda untuk membuka pintu ruang pod.
- Anda tahu cara memverifikasi saya: “Suara saya adalah paspor saya, verifikasi saya.” Tidak, siapa pun dapat menyalinnya. Alih-alih, ajukan pertanyaan yang mudah saya jawab dan ingat tetapi sulit ditemukan di Internet. Nama gadis ibu saya mungkin mudah ditemukan, tetapi tempat saya makan siang minggu lalu dengan Ibu tidak (lihat kalender saya). Di mana saya bertemu kekasih SMA saya mudah ditebak, tetapi film mana yang saya tonton minggu lalu tidak mudah ditemukan (cukup periksa tanda terima email saya).
- Anda tahu seperti apa penampilan saya: Facebook dapat mengenali saya dari belakang kepala, dan Mastercard dapat mendeteksi wajah saya. Ini adalah cara yang lebih baik untuk memverifikasi siapa saya.
Saya tahu sangat sedikit perusahaan yang menerapkan solusi seperti ini, tetapi itu tidak berarti saya tidak dapat bernafsu terhadap mereka. Sebelum Anda mengeluh-ya, ini bisa diretas. Masalah bagi para peretas akan mengetahui rangkaian tindakan sekunder mana yang digunakan oleh layanan online. Itu mungkin mengajukan pertanyaan suatu hari tetapi mengambil selfie di hari berikutnya.
Apple membuat dorongan besar untuk melindungi privasi saya, yang saya hargai. Namun, begitu ID Apple saya masuk, inilah waktunya Siri secara proaktif melindungi saya. Google Now dan Cortana juga dapat melakukannya. Mungkin seseorang sudah mengembangkan ini, dan Google membuat beberapa langkah di bidang ini, tetapi kami membutuhkannya sekarang! Sampai saat itu, kita perlu sedikit lebih waspada dalam melindungi barang-barang kita. Cari beberapa ide tentang itu minggu depan.