Рса: паролей больше нет?

Google объявил войну паролям, но директор по продуктам Alisdair Faulkner и соучредитель ThreatMetrix считает, что они ведут не ту войну. «Идея похвальна, - сказал Фолкнер. «Де-факто, большинство людей используют один и тот же простой пароль снова и снова. Google предлагает физический аутентификатор. Проблема в том, что любой вид двухфакторной схемы должен быть принят как сайтами, так и пользователями. И если вы потеряете свой аутентификатор, что тогда?" Он также указал на проблему аутентификации пользователя при первоначальной регистрации.

ThreatMetrix предлагает другое решение, которое не требует никаких усилий со стороны пользователя. «Мы (и многие другие) считаем, что нам необходимо сделать безопасность частью каждой операции по умолчанию», - сказал Фолкнер. «Он должен быть пассивным, а не навязчивым. Комбинация вашего поведения и ваших устройств во многих взаимодействиях может помочь идентифицировать вас и только вас».

Девиантное поведение

Банки выявляют подозрительные транзакции, отмечая отклонения от нормальных схем. ThreatMetrix применяет ту же логику к онлайн-аутентификации. Они не обязательно знают о вас лично, но они знают, например, что конкретная учетная запись электронной почты обычно подключается с трех конкретных устройств, обычно в Калифорнии. Если эта учетная запись внезапно начинает подключаться несколько раз одновременно с неизвестных устройств, возможно, в Китае, это красный флаг.

«Банки, сайты электронной коммерции и некоторые крупнейшие технологические компании используют ThreatMetrix, - сказал Фолкнер. «Они следят за признаками захвата аккаунта и мошенничества с кредитными картами и используют его для подтверждения новой регистрации». Он подчеркнул, что компания строго ищет шаблоны данных, а не чью-либо личную информацию.

Где все знают твое имя

Это имеет большой смысл для меня. Когда я обхожу конференцию RSA, люди, которые меня знают, говорят «Привет!», И люди, которые не проверяют мой значок. Если бы моя эмблема носила привлекательная молодая женщина, никто бы не поверил, что она - я; значок не моя личность. Мне не нужно вводить пароль для входа в пресс-центр; они знают кто я План ThreatMetrix распространяется, зная, кто вы есть в киберпространстве.

Я спросил Фолкнера, как насчет ложных срабатываний? Многие из нас сталкивались с кредитными картами, потому что сделали покупки в необычном месте. Разве ThreatMetrix не мог ошибочно заблокировать мой доступ, скажем, к банковскому сайту? «Мы предоставляем контекст, - ответил он, - но мы не контролирующие органы. Сайт может принять решение отклонить транзакцию или подвергнуть ее дополнительному анализу. Если это не является явно мошенническим, они, вероятно, не будут отрицать это прямо».

Банковская индустрия уже использует аналогичные методы для обозначения потенциально рискованных транзакций. Я полностью вижу распространение этой модели на аутентификацию сайта. Конечно, это может произойти только при почти всеобщем участии. Если эта высокая цель достигнута, нам больше никогда не придется запоминать пароль типа 8l3yO5JgtxIC или CorrectHorseBatteryStaple.

Чтобы увидеть все сообщения из нашего покрытия RSA, проверьте нашу страницу Показать отчеты.