पासवर्ड टूटा हुआ है: उपयोगकर्ताओं को प्रमाणीकृत करने का एक बेहतर तरीका है

हर हफ्ते ऐसा लगता है, हम कंपनियों और वेबसाइटों की कहानियों को पढ़ रहे हैं और उपभोक्ता डेटा चुराया जा रहा है। हम में से कई लोगों के लिए, जब पासवर्ड चोरी हो जाते हैं तो सबसे खराब ब्रेक-इन्स होते हैं। लास्टपास हैक हाल के हमलों में से एक है। तरीकों से, यह डिजिटल आतंकवाद का एक रूप है जो केवल बढ़ रहा है। दो-कारक प्रमाणीकरण और बॉयोमीट्रिक्स समस्या के लिए अच्छे पैच हैं, लेकिन वे लॉगिन प्रबंधन से संबंधित मौलिक मुद्दों को अनदेखा करते हैं। हमारे पास समस्या को हल करने के लिए उपकरण हैं, लेकिन वे ठीक से लागू नहीं किए गए हैं।

हम संयुक्त राज्य अमेरिका में अपने जूते क्यों लेते हैं लेकिन इजरायल में नहीं

जो भी संयुक्त राज्य अमेरिका में उड़ाया जाता है वह टीएसए सुरक्षा के बारे में जानता है। हम अपने कोट लेते हैं, तरल पदार्थ से बचते हैं, और सुरक्षा के माध्यम से जाने से पहले अपने जूते लेते हैं। नामों के आधार पर हमारे पास नो-फ्लाई सूची है। ये विशिष्ट खतरों के प्रति प्रतिक्रियाएं हैं। ऐसा नहीं है कि इज़राइल जैसे देश सुरक्षा करता है। मैंने एल-अल (इज़राइल की राष्ट्रीय एयरलाइंस) नहीं उड़ा दी है, लेकिन दोस्तों ने सुरक्षा में जाने वाले साक्षात्कारों के बारे में मुझे बताया है। सुरक्षा अधिकारी कोड व्यक्तिगत विशेषताओं और व्यवहारों के आधार पर धमकी देते हैं।

हम ऑनलाइन खातों में टीएसए दृष्टिकोण ले रहे हैं और इसीलिए हमारे पास सभी सुरक्षा समस्याएं हैं। दो-कारक प्रमाणीकरण एक शुरुआत है। फिर भी जब हम अपने खातों में दूसरा कारक जोड़ते हैं, तो हम सुरक्षा की झूठी भावना में उलझ जाते हैं। वह दूसरा कारक मेरा पासवर्ड चोरी करने वाले किसी व्यक्ति के खिलाफ सुरक्षा करता है-एक विशिष्ट खतरा। क्या मेरा दूसरा कारक समझौता किया जा सकता है? ज़रूर। मेरा फोन चोरी हो सकता है या मैलवेयर मेरे दूसरे कारक से समझौता कर सकता है।

मानव फैक्टर: सोशल इंजीनियरिंग

यहां तक ​​कि दो-कारक दृष्टिकोणों के साथ, मनुष्यों के पास अभी भी सुरक्षा सेटिंग्स को ओवरराइड करने की क्षमता है। कुछ साल पहले, एक मेहनती हैकर ने एप्पल को एक लेखक की ऐप्पल आईडी रीसेट करने के लिए आश्वस्त किया था। गोडाडी को एक डोमेन नाम बदलने में धोखा दिया गया था जिसने ट्विटर खाता अधिग्रहण सक्षम किया था। मेटलाइफ में एक मानवीय गलती के कारण मेरी पहचान गलती से एक और डेव ग्रीनबाम के साथ विलय हो गई थी। इस गलती के परिणामस्वरूप मुझे अन्य डेव ग्रीनबाम के घर और ऑटो बीमा को रद्द कर दिया गया।

यहां तक ​​कि यदि कोई मानव दो कारक सेटिंग को ओवरराइड नहीं करता है, तो दूसरा टोकन हमलावर के लिए एक और बाधा है। यह एक हैकर के लिए एक खेल है। अगर मुझे पता है कि जब आप अपने ड्रॉपबॉक्स में लॉग इन करते हैं तो मुझे एक प्राधिकरण कोड की आवश्यकता होती है, तो मुझे बस इतना करना है कि वह कोड आपको प्राप्त हो। अगर मुझे आपके टेक्स्ट संदेश मुझे निर्देशित नहीं करते हैं (सिम-हैक किसी को भी?), मुझे बस आपको उस कोड को जारी करने के लिए आपको मनाने की आवश्यकता है। यह रॉकेट विज्ञान नहीं है। क्या मैं आपको उस कोड को वापस देने के लिए मना सकता हूं? संभवतः। हम अपने कंप्यूटर पर हमारे फोन से अधिक भरोसा करते हैं। यही कारण है कि लोग नकली iCloud लॉगिन संदेश जैसी चीजों के लिए गिरते हैं।

एक और सच्ची कहानी जो मेरे साथ दो बार हुई। मेरी क्रेडिट कार्ड कंपनी ने संदिग्ध गतिविधि देखी और मुझे बुलाया। महान! यह एक व्यवहार-आधारित दृष्टिकोण है जिसे मैं बाद में बात करूंगा। हालांकि, उन्होंने मुझसे फोन पर अपना पूरा क्रेडिट कार्ड नंबर देने के लिए कहा जो मैंने नहीं किया था। वे चौंक गए थे कि मैंने उन्हें नंबर देने से इंकार कर दिया। एक प्रबंधक ने मुझे बताया कि उन्हें शायद ही कभी ग्राहकों से शिकायतें मिलती हैं। अधिकांश कॉलर्स सिर्फ क्रेडिट कार्ड नंबर सौंपते हैं। आउच। यह मेरा व्यक्तिगत डेटा प्राप्त करने की कोशिश कर रहे दूसरे छोर पर किसी भी घृणास्पद व्यक्ति का हो सकता है।

पासवर्ड हमें सुरक्षित मत करो

हमारे जीवन में बहुत सारे स्थानों में हमारे पास बहुत सारे पासवर्ड हैं। माध्यम पहले से ही पासवर्ड से छुटकारा पा लिया है। हम में से ज्यादातर जानते हैं कि हमारे पास प्रत्येक साइट के लिए एक अद्वितीय पासवर्ड होना चाहिए। यह दृष्टिकोण एक पूर्ण और समृद्ध डिजिटल लाइव रहने वाले हमारे puny earthling दिमाग से पूछने के लिए बहुत अधिक तरीका है। पासवर्ड प्रबंधक (एनालॉग या डिजिटल) आकस्मिक हैकर्स को रोकने में मदद करते हैं, लेकिन एक परिष्कृत हमले नहीं। बिल्ली, हैकर्स को हमारे व्यक्तिगत खातों तक पहुंचने के लिए पासवर्ड की भी आवश्यकता नहीं है। वे सिर्फ उन डेटाबेसों को तोड़ते हैं जो जानकारी संग्रहीत करते हैं (सोनी, लक्ष्य, संघीय सरकार)।

क्रेडिट कार्ड कंपनियों से एक सबक लें

हालांकि एल्गोरिदम थोड़ा दूर हो सकता है, क्रेडिट कंपनियों के पास सही विचार है। वे यह जानने के लिए कि क्या आप अपने कार्ड का उपयोग कर रहे हैं, हमारे खरीदारी पैटर्न और स्थान को देखते हैं। यदि आप कान्सास में गैस खरीदते हैं और फिर लंदन में एक सूट खरीदते हैं, तो यह एक समस्या है।

हम इसे अपने ऑनलाइन खातों पर क्यों लागू नहीं कर सकते? कुछ कंपनियां विदेशी आईपी से अलर्ट ऑफ़र करती हैं (उपयोगकर्ताओं को एक्सेस के लिए पसंदीदा देशों को सेट करने के लिए लास्टपास के लिए क्यूडो)। यदि मेरा फोन, कंप्यूटर, टैबलेट और कलाई डिवाइस सभी कान्सास में हैं, तो मुझे सूचित किया जाना चाहिए कि अगर मेरा खाता कहीं और पहुंचा जायेगा। कम से कम, इन कंपनियों को मुझे कुछ अतिरिक्त प्रश्न पूछना चाहिए इससे पहले कि वे मान लें कि मैं कौन हूं जो मैं कहता हूं। यह द्वारपाल विशेष रूप से Google, Apple और Facebook खातों के लिए आवश्यक है जो OAuth द्वारा अन्य खातों को प्रमाणित करता है। Google और फेसबुक असामान्य गतिविधि के लिए चेतावनियां देते हैं, लेकिन वे आमतौर पर केवल एक चेतावनी देते हैं, और चेतावनियां सुरक्षा नहीं होती हैं। मेरी क्रेडिट कार्ड कंपनी लेनदेन के लिए नहीं कहती है जब तक कि वे सत्यापित न करें कि मैं कौन हूं। वे सिर्फ यह नहीं कहते "अरे ... सोचा था कि आपको पता होना चाहिए"। मेरे ऑनलाइन खातों को चेतावनी नहीं दी जानी चाहिए, उन्हें असामान्य गतिविधि के लिए अवरुद्ध करना चाहिए। क्रेडिट कार्ड सुरक्षा के लिए नवीनतम मोड़, चेहरे की पहचान है। निश्चित रूप से, कोई आपके चेहरे को डुप्लिकेट करने का प्रयास करने में समय ले सकता है, लेकिन क्रेडिट कार्ड कंपनियां हमारी रक्षा करने के लिए कड़ी मेहनत कर रही हैं।

हमारे स्मार्ट सहायक (और उपकरण) एक बेहतर रक्षा हैं

सिरी, एलेक्सा, कोर्तना और Google हमारे बारे में एक टन सामान जानते हैं। वे समझदारी से भविष्यवाणी करते हैं कि हम कहां जा रहे हैं, हम कहाँ गए हैं और हम क्या पसंद करते हैं। ये सहायक हमारी छुट्टियों को व्यवस्थित करने के लिए हमारी तस्वीरों को जोड़ते हैं, याद रखें कि हमारे मित्र कौन हैं, और यहां तक ​​कि हम जिस संगीत को पसंद करते हैं। यह एक स्तर पर डरावना है, लेकिन हमारे दैनिक जीवन में बहुत उपयोगी है। यदि आपके फिटबिट डेटा का उपयोग अदालत में किया जा सकता है, तो इसका इस्तेमाल आपको पहचानने के लिए भी किया जा सकता है।

जब आप एक ऑनलाइन खाता सेट अप कर रहे हैं, तो कंपनियां आपको अपने हाई स्कूल प्रेमी या आपके तीसरे ग्रेड के शिक्षक जैसे नाम चुनौतीपूर्ण प्रश्न पूछती हैं। हमारी यादें कंप्यूटर के रूप में रॉक-ठोस नहीं हैं। हमारी पहचान को सत्यापित करने के लिए इन प्रश्नों पर भरोसा नहीं किया जा सकता है। मुझे पहले खातों से बाहर कर दिया गया है क्योंकि 2011 में मेरा पसंदीदा रेस्तरां उदाहरण के लिए मेरा पसंदीदा रेस्तरां नहीं है।

Google ने टैबलेट और Chromebooks के लिए स्मार्ट लॉक के साथ इस व्यवहारिक दृष्टिकोण में पहला कदम उठाया है। यदि आप हैं जो आप कहते हैं कि आप हैं, तो आपके पास शायद आपका फोन आपके पास है। ऐप्पल ने वास्तव में आईक्लाउड हैक के साथ गेंद को गिरा दिया, जिससे एक ही आईपी पते से हजारों प्रयास किए गए।

यह पता लगाने के बजाय कि हम किस गीत को सुनना चाहते हैं, मैं चाहता हूं कि ये डिवाइस मेरी पहचान को कुछ तरीकों से सुरक्षित रखें।

    1. आप जानते हैं कि मैं कहां हूं: मेरे मोबाइल फोन के जीपीएस के साथ, यह मेरा स्थान जानता है। यह मेरे अन्य उपकरणों को बताने में सक्षम होना चाहिए "अरे, यह अच्छा है, उसे अंदर जाने दो।" अगर मैं टिंबुकु रोमिंग में हूं, तो आपको वास्तव में मेरा पासवर्ड और संभवतः मेरा दूसरा कारक भी भरोसा नहीं करना चाहिए।
    2. आप जानते हैं कि मैं क्या करता हूं: आप जानते हैं कि जब मैं लॉग इन करता हूं और किसके साथ, तो अब मुझे कुछ और प्रश्न पूछने का समय है। "मुझे खेद है डेव, मैं ऐसा नहीं कर सकता" जवाब होना चाहिए जब मैं आम तौर पर आपको पॉड बे दरवाजे खोलने के लिए नहीं कहता।
    3. आप जानते हैं कि मुझे कैसे सत्यापित करें: "मेरी आवाज़ मेरा पासपोर्ट है, मुझे सत्यापित करें।" नहीं, कोई भी इसकी प्रतिलिपि बना सकता है। इसके बजाय, मुझसे उन प्रश्नों से पूछें जो मेरे लिए उत्तर देने और याद रखने में आसान हैं, लेकिन इंटरनेट पर खोजना मुश्किल है। मेरी मां का पहला नाम ढूंढना आसान हो सकता है, लेकिन जहां मैंने पिछले हफ्ते दोपहर का खाना खाया था, माँ नहीं है (मेरा कैलेंडर देखें)। जहां मैंने अपने हाईस्कूल प्रेमी से मुलाकात की, अनुमान लगाना आसान है, लेकिन पिछले हफ्ते मैंने जो चलचित्र देखा वह ढूंढना आसान नहीं है (बस मेरी ईमेल रसीदों की जांच करें)।
    4. आप जानते हैं कि मैं कैसा दिखता हूं: फेसबुक मुझे मेरे सिर के पीछे से पहचान सकता है और मास्टरकार्ड मेरे चेहरे का पता लगा सकता है। यह सत्यापित करने के बेहतर तरीके हैं कि मैं कौन हूं।

मुझे पता है कि बहुत कम कंपनियां इस तरह के समाधान लागू कर रही हैं, लेकिन इसका मतलब यह नहीं है कि मैं उनके लिए वासना नहीं कर सकता। शिकायत करने से पहले-हाँ इन्हें हैक किया जा सकता है। हैकर्स के लिए समस्या यह जानकर होगी कि ऑनलाइन सेवा का माध्यमिक उपायों का कौन सा सेट उपयोग कर रहा है। यह एक दिन एक प्रश्न पूछ सकता है, लेकिन अगली बार एक सेल्फी ले लो।

ऐप्पल मेरी गोपनीयता की रक्षा के लिए एक बड़ा धक्का दे रहा है और मैं इसकी सराहना करता हूं। हालांकि, एक बार मेरी ऐप्पल आईडी लॉग इन हो जाने के बाद, यह समय सिरी सक्रिय रूप से मेरी रक्षा करता है। Google नाओ और कॉर्टाना भी ऐसा कर सकते हैं। हो सकता है कि कोई पहले से ही इसे विकसित कर रहा है, और Google इस क्षेत्र में कुछ कदम उठा रहा है, लेकिन हमें इसकी आवश्यकता है! ऐसे समय तक, हमें अपनी सामग्री की सुरक्षा में थोड़ा अधिक सतर्क होना चाहिए। अगले हफ्ते कुछ विचारों की तलाश करें।