Car-tech

パスワードの狂気の世界で幸福を見つける方法

不要嘲笑我們的性

不要嘲笑我們的性

目次:

Anonim

Wired 記者のMat Honan氏は、社会工学の悪用。この違反は、AppleとAmazonのカスタマーサービスポリシーのセキュリティ上の欠陥を露呈したため、見出しを出しました。ホナン・サーガが、数百万のユーザー・パスワードを一挙に公開していたサーバー侵入の長い夏を過ごしたことを忘れないようにしましょう。

6月、ハッカーは650万のLinkedInパスワードを盗み、同月、侵入者はセキュリティ違反で150万件のeHarmonyパスワードを侵害し、7月には450,000件のYahoo Voiceパスワードを取得した。これらのYahooのメンバーが使用する最も一般的なパスワードの中には、「123456」「歓迎」と人気のある「パスワード」があります。

基本的な問題は、これらのサイトがユーザーデータ彼らは持っているべきですが)。

[詳しい情報:あなたのWindows PCからマルウェアを削除する方法]あなたが登録したすべてのサイトで、不正なパスワードを壊してしまいました。

問題は、パスワードが自己破壊的で、しばしばデジタルセキュリティの壮大な計画では不可能なツールとなっていることです。

Unsysのグローバルセキュリティソリューション担当バイスプレジデント、テリーハートマン(Terry Hartmann)は次のように述べています。「最近、ネットを使用するには数十のパスワードとログインが必要です。 。 「サイトに戻るたびに、パスワードをより複雑にするための新しいルールが導入されたように感じられます。最終的には、ユーザーはすべてのパスワードを1つに戻すことになります。」

要するに、パスワードシステムが壊れています。 LinkedIn、eHarmony、およびYahooの侵害で侵害されたパスワードはすべて「ハッシュ」されていました。つまり、実際のパスワードはアルゴリズムで生成されたコードに置き換えられました。これは、サーバに保存されたパスワード(ハッカーによって盗まれたパスワード)を英数字に変換します。それでもパスワードが "officepc"のように単純な場合、ハッカーはハッシュフォームでも簡単に暴力や虹のテーブルを使って攻撃を仕掛けることができます。

しかし、すべては失われません。数字や特殊文字(実際の名前や単語に似ていない)が混在した複雑なパスワードは、ハッカーに対する戦闘チャンスを与え、便利なパスワード管理アプリにこれらのコードを保存することができます。一方で、ウェブサイトは、最終的にセキュリティを強化するために、多因子認証を必要としており、まもなくバイオメトリック技術が大衆市場のセキュリティのためにまもなく採用されるように見える。

パスワードの問題は、しかし、今のところ、悪意のある人よりも一歩前進するために、以下で説明するアプリケーション、サービス、新興テクノロジーに頼らざるを得ません。

パスワード保管庫

パスワード管理プログラムはスパムフィルターに似ていますあなたのデジタルライフを管理するための基本的なツールです。良いパスワードマネージャーはあなたのすべてのログインを覚えていて、あなたが選んだ単純なパスワードを複雑なものに置き換え、使用しているサイトやサービスがハッキングされた場合にそれらのパスワードを素早く変更できるようにします。

最良の部分:一意のパスワードを覚えておく必要があるのは、ボールトのマスターパスワードです。そして、同じマシンと同じブラウザから常にログオンしない限り(この場合、おそらくAOLダイヤルアップ接続でこれを読んでいる)、LastPass、1Password、Roboformなどのクラウドベースのプログラムが必要です使用しているパソコン、携帯電話、タブレットにログインします。

欠点:あなたはまだあなたのマスターパスワードを覚えておく必要があります。実際には、数字、大文字と小文字、疑問符や感嘆符などの特殊文字が混在しているのが良いでしょう。

もちろん、システムにキーロガーを設置する攻撃者は、入力時にパスワードを盗聴することができると、McAfeeのオンラインセキュリティ専門家、Robert Siciliano氏は説明しています。同様に、2011年5月にLastPassに起こったように、詐欺師がクラウドベースのパスワード保管庫をハックすると、ゲームオーバーになる可能性があります。 LastPassの顧客にとっては幸運にも、2011年の攻撃で機密情報が破られたわけではありません。次回に成功した侵入が起こると(そして、どこかのセキュリティ会社に起こることは避けられません)、ユーザーはあまり幸運ではないかもしれません。

結論:パスワード管理金庫は膨大な価値を提供し、デジタルセキュリティを重視します。

マルチファクタ認証

暗号化されたボールトに格納される複雑なパスワードは、最初のステップに過ぎません。一部のサイトでは、第2レベルのセキュリティを使用して、正当なユーザーだけがアクセスできるハードウェアのようなユーザーを識別します。パスワードを知っている攻撃者であっても、自分の電話やコンピュータにアクセスしてデータを盗む必要があります。

金融機関は、オンライン取引を処理する際に複数の要素を使用することが法律で要求されていますが、あなたのマシンやその場所を認証して、バックグラウンドでそれを実行してください」とSiciliano氏は言います。たとえば、サンフランシスコに住み、上海の誰かがあなたの銀行口座にアクセスしようとすると、その取引がブロックされるか、提供されたデバイスに送信された番号を入力して追加の認証を要求することがあります

GoogleとFacebookは二要素認証も提供しています。親しみのないマシンからログインするたびに一時的なPINを携帯電話に送ることができます(このPINはパスワードと一緒に提供する必要があります。最初にその新しいマシンを介してログインしようとすると)。このフェイルセーフは、先月Mat Honanが苦しんだすべての困難を防ぎました。

Googleの2部認証システムは、より高いレベルのセキュリティを保証しますが、多くのユーザーは現実の練習でそれが厄介であると感じています。銀行や少数の有名なウェブサイトから、ほとんどの場所では多因子認証が提供されません。これはあまり便利ではないためです。インターネットユーザーの大多数は、面倒な無料ログインのためにセキュリティを喜んで取引しています。 >「2因子認証は必ずしも、おばあちゃんの試験に合格するとは限りません」とSiciliano氏は言います。これは、より多くのサポートコール、より多くのパスワードリセット、およびより高いコストを意味します。だからこそ、それは典型的に失うことが多い企業でしか使われていないからです」。

Biometrics

バイオメトリクスの美しさは、何かを覚える必要はないということです。バイオメトリックシステムでは、指紋、虹彩、顔、さらには音声をスキャンして、サービスや作品にアクセスする必要があるかどうかを確認することができますハードウェアのUnisysのTerry Hartmann氏は、大手の銀行が現在、バイオメトリック識別システムをパイロットしており、来年の初めに開始する予定だと述べています。最近、指紋スキャン技術のメーカーであるAuthenTecを買収したAppleの3億6000万ドルは、将来のアップル製品に何らかの形のバイオメトリックIDが組み込まれる可能性があることを示唆している。

バイオメトリクスは多くのノートブックで既に利用可能である。しかし、完璧です。研究者は、ゼラチン指を使って指紋スキャナを操作し、写真を使って顔認識システムをだまされました。昨年7月のBlackHatカンファレンスで、セキュリティ研究者は画像データをリバースエンジニアリングすることで虹彩スキャナを欺く方法を実証した。

そしてもちろん、ハッカーは、中央データベースに格納されたバイオメトリックデータをターゲットにし、犠牲者の代わりに自分のバイオメトリックデータを代用することでアイデンティティを盗むことができます。パスワードやその他の個人情報と同様に、バイオメトリックセキュリティによって提供される保護レベルは、データを保存した者の能力に完全に依存しています(私たちは皆LinkedInでうまくいっていることを知っています)。

ログイン時にバイオメトリクスを要求すると、政治的反体制派、内部通報者、個人的または職業的理由で複数の身分証明書に居住する人々のための匿名性(不可能ではないにしても)。

少数派報告書

- 政府の監視が多くの消費者にも中断を与える可能性がある。

AOptix Technologiesの製品マーケティング担当ディレクターであるJoseph Pritikinは、空港や国境に設置された虹彩スキャナーメーカーバイオメトリクスを採用しているスマートフォンは、データがデバイス自体に安全に保存できるため、将来の主要な識別デバイスの1つになると予測しています。

"これは、最も可能性の高いスマートフォン "とPritikinは言います。最終的に、パスワードの疲労に対する理想的な解決策は、私たちの異種ログインとオンラインIDのすべてを統一することです。オバマ政権に入り、2011年4月に消費者が検証システムを使用してあらゆるサイトでシームレスに作業できるアイデンティティエコシステムを開発するために、公共セクターのイニシアチブであるサイバースペースの信頼できるアイデンティティのための国家戦略を立ち上げた。 >このようなシステムでは、ワインをオンラインで購入するのに十分な年齢であること、または各サイトで個人情報を必ずしも共有する必要はなく、学生割引を受ける資格があることを確認できると、OneIDのチーフセキュリティ専門家Jim Fentonは述べています。インターネットアイデンティティ管理システム。システムは、それがあなたが転がりたいと思っていたならば、あなたが仮名の下で行動することを可能にするでしょう。 しかし、政府の車輪はゆっくりと転がります。先月、NTSICの運営委員会が最初の会議を開きました。運営委員会のプライバシグループのメンバーであるフェントン氏によれば、最終的に取り組まなければならない問題は、当事者間でどれだけの情報を共有すべきか、消費者がその情報をどれだけ保有すべきかということである。途中ですが、すぐにここには到着しません。その間、私たちはパスワードに悩まされています。いくつかの良いものを作り、それらがロックされ、キーの下にいることを確認してください。