Sådan finder du lykke i en verden af ​​password-galskab

I begyndelsen af ​​august havde Wired reporter Mat Honan sine mest værdifulde adgangskoder hacket via en kompleks serie af socialteknik udnytter. Bruddet gjorde overskrifter, fordi det udsatte sikkerhedsfejl i Apple og Amazon kundeservice politikker; men lad os ikke glemme, at Honans saga dækkede en lang sommer fuld af serverinfald, der udsatte millioner af brugeradgangskoder en masse. I

stjal hackere omkring 6,5 millioner LinkedIn-adgangskoder og indsendt dem online. Samme måned indtraf ubudne omkring 1,5 millioner eHarmony-adgangskoder i en sikkerhedsbrud, og i juli greb hackere 450.000 Yahoo Voice-adgangskoder. Blandt de mest almindelige adgangskoder, som disse Yahoo-medlemmer bruger: "123456", "velkommen" og den altid populære "adgangskode".

Det grundlæggende problem er ikke, at disse websteder burde have gjort et bedre job at beskytte brugerdata (selvom de burde have). Og det er ikke, at brugerne valgte adgangskoder, der var yderst let at knække og derefter genvundet de samme sparsomme adgangskoder på hvert websted, hvor de registrerede (selvom de gjorde).

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Problemet er, at adgangskoder er blevet selvnedfaldende, ofte impotente værktøjer i den store plan for digital sikkerhed. Vi har brug for mange af dem, og de stærke er for svært at huske.

"For at bruge nettet i disse dage skal du have snesevis af adgangskoder og logins", siger Terry Hartmann, vicepræsident for globale sikkerhedsløsninger til Unisys. "Hver gang du går tilbage til et websted, føles det som om de har introduceret nye regler for at gøre adgangskoder mere komplekse. Til sidst vender brugerne tilbage til at bruge en adgangskode til alt. "

Kort sagt: Adgangskoden er brudt. Alle de adgangskoder, der blev brudt i LinkedIn, eHarmony og Yahoo exploits, havde været "hashed" - det vil sige, de egentlige adgangskoder var blevet erstattet med algoritmisk genereret kode. Dette forvandler adgangskoderne gemt på servere (og stjålet af hackere) til alfanumerisk gobbledygook. Hvis din adgangskode er lige så enkel som f.eks. "Officepc", kan en hacker let knække den selv i hashed form ved hjælp af brute force eller et regnbuebord.

Men alt er ikke tabt. Komplekse adgangskoder infunderet med tal og specialtegn (og uden lighed med et rigtigt navn eller ord) giver dig en kæmpekamp mod hackere, og du kan gemme disse koder i en praktisk adgangskodeadministrationsapp. Websites gør i mellemtiden mere for at øge sikkerheden i deres ende og kræver multifaktorautentificering, og det ser ud som om biometrisk teknologi også snart vil blive ansat til massemarkedssikkerhed.

Løsningsproblemet vil ikke gå væk nogen tid snart, og for nu skal vi stole på applikationer, tjenester og nye teknologier, der forklares nedenfor for at være et skridt foran de onde.

Password vaults

Password management programmer er som spamfiltre -boring, men vigtige værktøjer til styring af dit digitale liv. En god adgangskodeadministrator husker alle dine login, erstatter de enkle adgangskoder, du vælger med komplekse, og lader dig hurtigt ændre disse adgangskoder, hvis et websted eller en tjeneste du bruger, bliver hacket.

Det bedste: I stedet for at skulle huske snesevis af unikke adgangskoder, er du kun nødt til at huske en: master password til din hvælving. Og medmindre du altid logger ind fra den samme maskine og den samme browser (i hvilket tilfælde du sikkert læser dette på en AOL-opkaldsforbindelse), vil du have et skybaseret program som LastPass, 1Password eller Roboform, der kan gælde dine logins til enhver pc, telefon eller tablet, du bruger.

Ulempen: Du skal stadig huske dit hovedadgangskode, og det skal virkelig være en god, fyldt med en blanding af tal, store og små bogstaver og specielle tegn som spørgsmålstegn og udråbstegn.

Selvfølgelig, en angriber, som klarer at plante en keylogger i dit system, vil kunne snuse dit kodeord, mens du skriver det, bemærker Robert Siciliano, en online sikkerhedsekspert for McAfee, der bruger et password-vault til at gemme mere end 700 logins. Tilsvarende, hvis skurke hacker en skybaseret adgangskodehvelv - som skete med LastPass i maj 2011 - kunne det være spillet over. Heldigvis for LastPass kunder blev der ikke overskredet følsomme oplysninger i angrebet i 2011; men næste gang et vellykket indbrud opstår (og at det vil ske med nogle sikkerhedsfirmaer, er der uundgåeligt), kan brugerne måske ikke være så heldige.

Bundlinje: Password management vaults tilbyder enorm værdi og er vigtige værktøjer til alle, der værdier digital sikkerhed.

Multifaktor godkendelse

Komplekse adgangskoder gemt i en krypteret hvælving er kun et første skridt. Nogle websteder er afhængige af et andet sikkerhedsniveau for at identificere brugere - typisk et stykke hardware, som kun den retmæssige bruger har adgang til. På den måde skal selv en angriber, der kender din adgangskode, have adgang til, f.eks. Din telefon eller computer, for at stjæle dine data.

Finansielle institutioner skal ifølge loven bruge flere faktorer ved håndtering af online-transaktioner, men de kan gøre det i baggrunden ved at godkende din maskine eller dens placering, siger Siciliano. Så hvis du f.eks. Bor i San Francisco, og en person i Shanghai forsøger at få adgang til din bankkonto, kan denne transaktion være blokeret, eller den person kan blive pålagt at give et ekstra godkendelsesnummer ved at indtaste et nummer sendt til en leveret enhed fra banken.

Google og Facebook tilbyder nu også tofaktorautentificering: Du kan få dem til at sende en midlertidig PIN-kode til din mobiltelefon, når du logger ind fra en ukendt maskine (denne PIN-kode skal leveres sammen med dit kodeord den første gang forsøger du at logge ind via den nye maskine). Denne fejlsikre ville have forhindret alle de trængsler, Mat Honan led i sidste måned.

Googles todelt autentificeringssystem sikrer et højere sikkerhedsniveau, men mange brugere finder det trættende i praksis i praksis.

Desværre er der dog til side fra banker og en håndfuld højt profilerede websteder, tilbyder de fleste steder online simpelthen ikke multifactor-godkendelse, delvist fordi det ikke er meget praktisk, og langt de fleste internetbrugere er villige til at handle sikkerhed for problemfri logins.

"To-faktor autentificering passerer ikke altid bedstemor testen," siger Siciliano. "Det betyder flere supportopkald, flere adgangskodegenstande og højere omkostninger. Derfor bruges det typisk kun af virksomheder, der har meget at tabe. "

Biometrics

Skønheden i biometri er, at du ikke behøver at huske noget som helst, langt mindre en kompleks adgangskode. I stedet taper et biometrisk sikkerhedssystem dine unikke egenskaber til din egen fysiske emballage for at autentificere din identitet.

Biometriske systemer kan scanne fingeraftryk, iris, ansigter og endda stemmer for at fastslå, om en person skal have adgang til en tjeneste eller et stykke af hardware. De er endnu ikke udstationeret til de store skytjenester, men Terry Hartmann fra Unisys siger, at store banker nu styrer biometriske identifikationssystemer og forventer, at de begynder at rulle ud næste år. Apples seneste $ 360 millioner erhvervelse af AuthenTec, der fremstiller fingerprint-scanningsteknologi, tyder på, at en eller anden form for biometrisk identifikation kan bygges ind i fremtidige Apple-produkter.

Biometrisk sikkerhed er allerede tilgængelig på mange bærbare computere.

Biometri er ikke perfekt, dog. Forskere har gamed fingeraftryk scannere ved at bruge gelatine fingre, og de har narret ansigtsgenkendelse systemer ved hjælp af fotografier. I slutningen af ​​juli var BlackHat-konferencen demonstreret sikkerhedsforskere en måde at lure iris-scannere ved at omdanne billeddataene.

Og selvfølgelig kan hackere målrette biometriske data gemt i en central database og stjæle identiteter ved at erstatte deres egne biometriske data i stedet for deres ofre. Som med adgangskoder og andre personligt identificerbare oplysninger, vil beskyttelsesniveauet, der leveres af biometrisk sikkerhed, udelukkende afhænge af, hvem der lagrede dataene (vi ved alle, hvor godt det fungerede på LinkedIn).

Kræver biometri ved login kunne også gøre anonymitet vanskelig (hvis ikke umuligt) for politiske dissidenter, whistleblowers og personer, der beboer flere identiteter af personlige eller faglige årsager. Frygt over Minoritetsrapport -stil regeringstilsyn kan også give mange forbrugere pause.

Til trods for alt dette har Joseph Pritikin, direktør for produktmarkedsføring hos AOptix Technologies, en maker af iris-scannere, der blev brugt på lufthavne og grænseovergange forudsiger at smartphones, der anvender biometri, vil være en af ​​fremtidens nøgleidentifikationsapparater, dels fordi dataene kan gemmes sikkert på selve enheden.

"Det vil være en kombination af noget jeg er og noget, jeg har, mest sandsynligt en smartphone, siger Pritikin. "Deres hardwarebaserede kryptering ville være vanskeligt at gå på kompromis med."

Et ID til at styre dem alle.

I sidste ende er den ideelle løsning til udmattelse af adgangskoder at forene alle vores forskellige logins og online identiteter. Indtast Obama-administrationen, som i april 2011 lancerede et offentligt-privat initiativ, den nationale strategi for betroede identiteter på cyberspace, for at udvikle et identitetsøkosystem, der gør det muligt for forbrugerne at anvende et verifikationssystem og arbejde det problemfrit på tværs af ethvert websted. > Et sådant system vil kunne kontrollere, at du er gammel nok til at købe vin online, eller at du kvalificerer dig til en studentrabat uden nødvendigvis at dele alle dine personlige oplysninger med hvert websted, siger Jim Fenton, chefssikkerhedsspecialist for OneID, et internet identitetsstyringssystem. Systemet vil også give dig mulighed for at operere under et pseudonym, hvis det er sådan, du ville rulle.

Men regeringens hjul kører langsomt. I sidste måned afholdt NTSICs styregruppe sit første møde. Blandt de spørgsmål, som det til sidst skal løses, er, hvor meget information der skal deles mellem parterne, og hvor meget kontrol forbrugerne skal have over disse oplysninger, siger Fenton, medlem af styregruppens privatlivsgruppe.

Med andre ord: Hjælp er på vej, men det kommer ikke her snart. I mellemtiden er vi fast med adgangskoder. Opret nogle gode, og sørg for, at de er låst og nøgle.