Видео: Travel Tip: Pack Smart! (Октября 2024)
Когда сайт интернет-магазина страдает от утечки данных, вы получите предупреждение о смене пароля. Если ваш банк взломан, вам отправят новую кредитную карту. Настоящая проблема возникает, когда компания аутентифицирует вас, используя личные данные, которые нельзя изменить, например, ваш SSN или дату рождения. Новый технический документ от NSS Labs исследует использование статической и динамической информации для аутентификации и предлагает бизнес-советы по повышению безопасности.
Статические данные
SSN никогда не предназначался как личный идентификатор. В отчете отмечается, что эквивалентный идентификатор в Великобритании никогда не используется для аутентификации. Как только ваш SSN обнаружен в нарушении, он навсегда скомпрометирован. И это проблема.
Некоторые предприятия пытаются защитить клиентов, сохраняя только последние четыре цифры номера SSN. Оказывается, это не очень эффективно. Первые пять цифр не случайны; они основаны на том, когда и где вы впервые подали заявку на получение SSN. Исследовательский проект пятилетней давности проанализировал данные правительственного «Смертельного мастер-файла» и разработал алгоритм для прогнозирования этих первых пяти цифр. Всего за две попытки им удалось достичь 60-процентной точности. Если у киберкрукс уже есть последние четыре цифры, ваш SSN будет перенесен.
Дата рождения - это еще один элемент данных, который просто нельзя изменить. В отчете отмечается, что место рождения, пол и гражданство также могут быть использованы для аутентификации, а также не могут быть изменены. Далее утверждается, что «предприятиям и правительствам следует воздерживаться от использования этих атрибутов в целях онлайн-безопасности, хотя исторически они считались конфиденциальными».
Динамические данные
Потребители должны использовать разные надежные пароли для всех защищенных сайтов, а предприятия должны помогать, а не мешать этим усилиям. Отчет рекомендует всем компаниям разрешать использование длинных паролей и снимать любые ограничения на использование символов. Очень обидно, когда веб-сайт отклоняет супер-безопасный пароль, сгенерированный вашим менеджером паролей.
Пользователи, которые забыли свои пароли, могут часто проходить повторную аутентификацию, предоставляя ответы на один или несколько секретных вопросов. Запрашивать общедоступную информацию, такую как родной город клиента или девичья фамилия матери, - огромная ошибка. Компании должны позволять клиентам самим определять свои вопросы, а клиенты должны разрабатывать вопросы, на которые не может ответить ни один посторонний. В отчете об этом не говорится, но если вы столкнулись с плохим секретным вопросом, я советую вам дать ответ, который не соответствует действительности, но запоминается.
Криминальное профилирование
Рекламодатели и интернет-компании постоянно описывают потребителей по-разному. Они пытаются выявить постоянных клиентов, плохие кредитные риски, даже выяснить, кто здоров, а кто нет. Ваши покупательские привычки могут определять, получаете ли вы купон на скидку или какой рекламный шаг попадает в ваш браузер.
То же самое происходит в тенистом мире киберпреступности. Каждое нарушение данных дает плохим парням больше данных, и, комбинируя результаты перекрывающихся нарушений, они могут создавать очень точные профили. В официальном документе предполагается, что такие профили уже существуют для «миллионов пользователей».
Совет для бизнеса
Документ предлагает ряд предложений для онлайн-бизнеса. Он рекомендует хранить только необходимый минимум персональных данных и вообще ничего не хранить для разовой транзакции. Предприятиям следует избегать хранения конфиденциальных данных в виде простого текста; в частности, они должны хранить хэши паролей, а не пароли. Они также должны позволять пользователям удалять учетные записи, тем самым уничтожая все личные данные из системы, включая данные, хранящиеся в резервных копиях.
Предприятия должны предполагать, что произойдет нарушение данных. В отчете отмечается, что из десяти крупнейших нарушений за последнее десятилетие половина произошла в 2013 году. Подготовка к нарушению включает в себя настройку альтернативного канала связи для каждого пользователя в случае нарушения основного канала. Предприятиям следует активно выходить на связь после нарушения и внедрять методы для повторной аутентификации пользователей, подверженных риску, такие как создание проблемных вопросов на основе фактической активности пользователей.
Полный технический документ под названием «Почему ваша проблема с данными - моя проблема», предлагает множество полезной и полезной информации, и она удивительно читаема. Посмотри.
