पासवर्ड टूटे हैं: उपयोगकर्ताओं को प्रमाणित करने का एक बेहतर तरीका है

एकांत सुरक्षा   /   by admin   /   March 16, 2020

हर हफ्ते, हम समझौता वाहिनी और वेबसाइटों के बारे में कहानियाँ पढ़ रहे हैं। हम में से कई के लिए, सबसे खराब ब्रेक-इन्स पासवर्ड चोरी कर रहे हैं। एक बदलाव की जरूरत है!

हर हफ्ते ऐसा लगता है, हम कंपनियों और वेबसाइटों की कहानियों को पढ़ रहे हैं और उपभोक्ता डेटा चोरी हो रहे हैं। हम में से कई के लिए, पासवर्ड चोरी होने पर सबसे खराब ब्रेक-इन्स हैं। LastPass हैक हाल के हमलों में से एक है। मायनों में, यह डिजिटल आतंकवाद का एक रूप है जो केवल बढ़ रहा है। दो तरीकों से प्रमाणीकरण तथा बॉयोमीट्रिक्स समस्या के अच्छे पैच हैं, लेकिन वे लॉगिन प्रबंधन से संबंधित मूलभूत मुद्दों की अनदेखी करते हैं। हमारे पास समस्या को हल करने के लिए उपकरण हैं, लेकिन वे ठीक से लागू नहीं हुए हैं।

क्या आप पासवर्ड भूल गए

पोलीमेक्स द्वारा फोटो - http://flic.kr/p/cCzxju

क्यों हम संयुक्त राज्य अमेरिका में अपने जूते उतार लेते हैं लेकिन इजरायल में नहीं

जो कोई भी संयुक्त राज्य में बहता है वह टीएसए सुरक्षा के बारे में जानता है। हम अपने कोट उतारते हैं, तरल पदार्थों से बचते हैं, और सुरक्षा से गुजरने से पहले अपने जूते उतार देते हैं। हमारे पास नामों के आधार पर नो-फ्लाई सूची है। ये विशिष्ट खतरों के लिए प्रतिक्रियाएं हैं। इजरायल जैसा देश सुरक्षा नहीं करता है। मैंने एल-अल (इज़राइल की राष्ट्रीय एयरलाइंस) को नहीं उड़ाया था, लेकिन दोस्तों ने मुझे उन साक्षात्कारों के बारे में बताया जो वे सुरक्षा में गुजरते हैं। सुरक्षा अधिकारी कोड के आधार पर धमकी देते हैं

व्यक्तिगत विशेषताओं और व्यवहार.

Tsa साइन कह बच्चों को वे अपने जूते उतारना नहीं है

के द्वारा तस्वीर बेन पोपकेन

हम टीएसए दृष्टिकोण को ऑनलाइन खातों में ले जा रहे हैं और इसलिए हमें सुरक्षा संबंधी सभी समस्याएं हैं। दो-कारक प्रमाणीकरण एक शुरुआत है। फिर भी जब हम अपने खातों में दूसरा कारक जोड़ते हैं, तो हम सुरक्षा के झूठे अर्थों में ढल जाते हैं। वह दूसरा कारक मेरे पासवर्ड को चुराने वाले किसी विशिष्ट खतरे से बचाता है। क्या मेरे दूसरे कारक से समझौता किया जा सकता है? ज़रूर। मेरा फोन चोरी हो सकता है या मैलवेयर मेरे दूसरे कारक से समझौता कर सकता है।

द ह्यूमन फैक्टर: सोशल इंजीनियरिंग

9849 वीस लोग हैकिंग 2.0

के द्वारा तस्वीर केविन बेयर्ड

यहां तक ​​कि दो-कारक दृष्टिकोणों के साथ, मानव अभी भी सुरक्षा सेटिंग्स को ओवरराइड करने की क्षमता रखते हैं। कुछ साल पहले, एक मेहनती हैकर ने Apple को एक लेखक की Apple ID रीसेट करने के लिए मना लिया। पिताजी जाओ छल किया गया एक डोमेन नाम को चालू करने में जो ट्विटर अकाउंट टेकओवर करता है। मेरी पहचान थी आकस्मिक रूप से एक और डेव ग्रीनबाम के साथ विलय कर दिया गया मेटलाइफ में एक मानवीय गलती के कारण। इस गलती के कारण मुझे लगभग डेव ग्रीनबाम का घर और ऑटो बीमा रद्द करना पड़ा।

भले ही एक मानव दो-कारक सेटिंग को ओवरराइड नहीं करता है, लेकिन दूसरा टोकन हमलावर के लिए सिर्फ एक और बाधा है। यह एक हैकर के लिए एक खेल है। अगर मुझे पता है कि जब आप अपने ड्रॉपबॉक्स में लॉग इन करते हैं, तो मुझे इसके लिए एक प्राधिकरण कोड की आवश्यकता होती है, तो मुझे केवल उस कोड को आपसे प्राप्त करने की आवश्यकता है। यदि मुझे आपके पाठ संदेश मुझे नहीं मिले तो (किसी को भी हैक करना;), मुझे आपको केवल उस कोड को जारी करने के लिए मनाने की आवश्यकता है। यह रॉकेट साइंस नहीं है। क्या मैं आपको उस कोड को वापस देने के लिए मना सकता हूं? संभवतः। हम अपने कंप्यूटर से ज्यादा अपने फोन पर भरोसा करते हैं। इसीलिए लोग ए जैसी चीजों के लिए गिर जाते हैं नकली iCloud लॉगिन संदेश.

एक और सच्ची कहानी जो मेरे साथ दो बार हुई। मेरी क्रेडिट कार्ड कंपनी ने संदिग्ध गतिविधि देखी और मुझे बुलाया। महान! यह एक व्यवहार-आधारित दृष्टिकोण है जिसके बारे में मैं बाद में बात करता हूँ। हालाँकि, उन्होंने मुझे फ़ोन पर अपना पूरा क्रेडिट कार्ड नंबर एक कॉल के साथ देने को कहा, जो मैंने नहीं किया। वे हैरान थे मैंने उन्हें नंबर देने से इनकार कर दिया। एक प्रबंधक ने मुझे बताया कि उन्हें ग्राहकों की शिकायतें बहुत कम मिलती हैं। ज्यादातर कॉलर्स सिर्फ क्रेडिट कार्ड नंबर सौंपते हैं। आउच। मेरे निजी डेटा को प्राप्त करने की कोशिश में दूसरे छोर पर कोई भी नापाक व्यक्ति हो सकता है।

पासवर्ड हमें सुरक्षित न रखें

क्रिप्ट

के द्वारा तस्वीर ditatompel

हमारे जीवन में बहुत सारे स्थानों पर बहुत सारे पासवर्ड हैं। माध्यम पहले से ही है पासवर्ड से छुटकारा पा लिया. हम में से अधिकांश जानते हैं कि हमारे पास हर साइट के लिए एक अनूठा पासवर्ड होना चाहिए। यह तरीका एक पूर्ण और समृद्ध डिजिटल जीवन जीने वाले हमारे दंडित पृथ्वी के दिमाग के बारे में पूछने का तरीका है। पासवर्ड प्रबंधक (अनुरूप या डिजिटल) कैजुअल हैकर्स को रोकने में मदद करते हैं, लेकिन एक परिष्कृत हमला नहीं। हेक, हैकर्स को हमारे व्यक्तिगत खातों तक पहुँचने के लिए भी पासवर्ड की आवश्यकता नहीं होती है। वे सिर्फ उन डेटाबेस में सेंध लगाते हैं जो जानकारी संग्रहीत करते हैं (सोनी, लक्ष्य, संघीय सरकार)।

क्रेडिट कार्ड कंपनियों से सबक लें

भले ही एल्गोरिदम थोड़ा बंद हो, लेकिन क्रेडिट कंपनियों को सही विचार है। वे यह जानने के लिए कि क्या आप अपने कार्ड का उपयोग कर रहे हैं, हमारे खरीदने के पैटर्न और स्थान को देखते हैं। यदि आप कैनसस में गैस खरीदते हैं और फिर लंदन में एक सूट खरीदते हैं, तो यह एक समस्या है।

लंडन

कोज़ूमेल ​​द्वारा फोटो

हम इसे अपने ऑनलाइन खातों पर लागू क्यों नहीं कर सकते? कुछ कंपनियां उपयोगकर्ताओं को देने के लिए विदेशी आईपी (यूडोस से लास्टपास तक अलर्ट जारी करती हैं पहुँच के लिए पसंदीदा देश सेट करें). यदि मेरा फोन, कंप्यूटर, टैबलेट और कलाई डिवाइस सभी कंसास में हैं, तो मुझे सूचित किया जाना चाहिए कि क्या मेरा खाता कहीं और एक्सेस किया गया है। बहुत कम से कम, इन कंपनियों को मुझे कुछ अतिरिक्त प्रश्न पूछने चाहिए, इससे पहले कि मैं कहूं कि मैं कौन हूं, मैं कहता हूं। यह गेटकीपिंग विशेष रूप से Google, Apple और Facebook खातों के लिए आवश्यक है, जो OAuth द्वारा अन्य खातों को प्रमाणित करते हैं। गूगल तथा फेसबुक असामान्य गतिविधि के लिए चेतावनी दें, लेकिन वे आम तौर पर सिर्फ एक चेतावनी हैं, और चेतावनी सुरक्षा नहीं है। मेरी क्रेडिट कार्ड कंपनी कहती है कि जब तक वे यह सत्यापित नहीं करेंगे कि मैं कौन हूं। वे सिर्फ यह नहीं कहते हैं कि "अरे... सोचा था कि आपको पता होना चाहिए"। मेरे ऑनलाइन खातों को चेतावनी नहीं दी जानी चाहिए, उन्हें असामान्य गतिविधि के लिए ब्लॉक करना चाहिए। क्रेडिट कार्ड की सुरक्षा के लिए सबसे नया मोड़ है चेहरे की पहचान. निश्चित रूप से, कोई व्यक्ति आपके चेहरे की नकल करने की कोशिश कर सकता है, लेकिन क्रेडिट कार्ड कंपनियां हमें बचाने के लिए कड़ी मेहनत कर रही हैं।

हमारे स्मार्ट सहायक (और उपकरण) एक बेहतर बचाव हैं

फोटो फमूनडियन द्वारा - http://flic.kr/p/7vn1x9

के द्वारा तस्वीर Foomandoonian

सिरी, एलेक्सा, कोरटाना और गूगल हमारे बारे में एक टन सामान जानते हैं। वे समझदारी से भविष्यवाणी करते हैं कि हम कहां जा रहे हैं, हम कहां हैं और हमें क्या पसंद है। ये सहायक हमारी छुट्टियों को व्यवस्थित करने के लिए हमारी तस्वीरों को कंघी करते हैं, याद रखें कि हमारे दोस्त कौन हैं और यहां तक ​​कि संगीत भी हमें पसंद है। यह एक स्तर पर डरावना है, लेकिन हमारे दैनिक जीवन में बहुत उपयोगी है। यदि आपका फिटबिट डेटा कानून की अदालत में इस्तेमाल किया जा सकता है, तो यह भी हो सकता है आपकी पहचान करने के लिए इस्तेमाल किया गया.

जब आप एक ऑनलाइन खाता स्थापित कर रहे होते हैं, तो कंपनियां आपसे आपके हाई स्कूल स्वीटहार्ट या आपके ग्रेड ग्रेड शिक्षक के नाम जैसे गूंगे चुनौती भरे सवाल पूछती हैं। हमारी यादें कंप्यूटर के रूप में रॉक-सॉलिड नहीं हैं। हमारी पहचान को सत्यापित करने के लिए इन सवालों पर भरोसा नहीं किया जा सकता है। मुझे इससे पहले खातों से बाहर कर दिया गया था क्योंकि 2011 में मेरा पसंदीदा रेस्तरां उदाहरण के लिए आज मेरा पसंदीदा रेस्तरां नहीं है।

Google ने टैबलेट और क्रोमबुक के लिए स्मार्ट लॉक के साथ इस व्यवहार दृष्टिकोण में पहला कदम उठाया है। यदि आप कहते हैं कि आप कौन हैं, तो संभवतः आपके पास आपका फ़ोन है। Apple ने वास्तव में iCloud हैक के साथ गेंद को गिरा दिया, एक ही आईपी पते से हजारों प्रयासों की अनुमति.

यह पता लगाने के बजाय कि हम किस गीत को आगे सुनना चाहते हैं, मैं चाहता हूं कि ये उपकरण कुछ मायनों में मेरी पहचान की रक्षा करें।

    1. आप जानते हैं कि मैं कहां हूं: मेरे मोबाइल फ़ोन के GPS के साथ, यह मेरा स्थान जानता है। यह मेरे अन्य उपकरणों को बताने में सक्षम होना चाहिए "अरे, यह अच्छा है, उसे अंदर जाने दो।" यदि मैं टिम्बकटू घूमने में हूँ, तो आपको वास्तव में मेरे पासवर्ड पर विश्वास नहीं करना चाहिए और संभवतः मेरे दूसरे कारक पर भी।
    2. तुम्हें पता है कि मैं क्या करता हूं: आप जानते हैं कि मैं कब और किसके साथ लॉग इन करता हूं, इसलिए मुझसे कुछ और सवाल पूछने का समय आ गया है। "मुझे खेद है कि डेव, मैं ऐसा नहीं कर सकता" जब मैं सामान्य रूप से आपसे पॉड बे दरवाजे खोलने के लिए कहता हूं तो इसका जवाब होना चाहिए।
    3. आप जानते हैं कि मुझे कैसे सत्यापित करना है: "मेरी आवाज मेरा पासपोर्ट है, मुझे सत्यापित करें।" नहीं, कोई भी इसे कॉपी कर सकता है। इसके बजाय, मुझसे ऐसे सवाल पूछें जो मेरे लिए जवाब देने और याद रखने में आसान हों, लेकिन इंटरनेट पर खोजने में कठिन हों। मेरी मां का पहला नाम ढूंढना आसान हो सकता है, लेकिन जहां मैंने पिछले हफ्ते माँ के साथ दोपहर का खाना खाया था (अपने कैलेंडर को देखें)। जहाँ मैं अपने हाईस्कूल जानेमन से मिला था, अनुमान लगाना आसान है, लेकिन पिछले हफ्ते मैंने कौन सी फिल्म देखी, यह पता लगाना आसान नहीं है (बस अपनी ईमेल प्राप्तियों की जांच करें)।
    4. आप जानते हैं कि मैं कैसा दिखता हूं: फेसबुक मुझे पहचान सकता है मेरे सिर के पीछे और मास्टरकार्ड मेरे चेहरे का पता लगा सकता है। ये सत्यापित करने के बेहतर तरीके हैं कि मैं कौन हूं।

मुझे पता है कि बहुत कम कंपनियां इस तरह से समाधान लागू कर रही हैं, लेकिन इसका मतलब यह नहीं है कि मैं उनके लिए वासना नहीं कर सकता। इससे पहले कि आप शिकायत करें-हां ये हैक हो सकते हैं। हैकर्स के लिए समस्या यह जानकर होगी कि एक ऑनलाइन सेवा किस माध्यमिक उपाय का उपयोग कर रही है। यह एक दिन एक सवाल पूछ सकता है, लेकिन अगले सेल्फी लेना।

Apple मेरी गोपनीयता की रक्षा के लिए एक बड़ा धक्का दे रहा है और मैं इसकी सराहना करता हूं। हालाँकि, एक बार जब मेरी Apple ID लॉग इन हो जाती है, तो यह उस समय होता है जब सिरी मेरी सुरक्षा करता है। Google नाओ और कोर्टाना भी ऐसा कर सकते हैं। हो सकता है कि कोई व्यक्ति पहले से ही इसे विकसित कर रहा है, और Google इस क्षेत्र में कुछ प्रगति कर रहा है, लेकिन हमें अभी इसकी आवश्यकता है! ऐसे समय तक, हमें अपने सामान की सुरक्षा के लिए थोड़ा और सतर्क रहने की जरूरत है। अगले सप्ताह उस पर कुछ विचार देखें।

टैग बादल
रेटिंग
126
दृश्य
0
टिप्पणियाँ
YOU MIGHT ALSO LIKE