Videó: Rico & LAzy - Változtasd meg ft. Miss Mood (November 2024)
Ha egy online vásárlási webhely adatsértést szenved, figyelmeztetést kap a jelszó megváltoztatására. Ha a bankját feltörték, új hitelkártyát küldnek neked. Az igazi probléma akkor fordul elő, amikor egy vállalkozás olyan személyes adatokkal hitelesíti Önt, amelyeket nem lehet megváltoztatni, például az SSN vagy a születési dátum. Az NSS Labs új tanulmánya megvizsgálja a statikus és dinamikus információk felhasználását a hitelesítéshez, és tanácsot nyújt a vállalkozások számára a biztonság javítása érdekében.
Statikus adatok
Az SSN-t soha nem jelentették személyes azonosítóként. A jelentés megjegyzi, hogy az ekvivalens azonosítót az Egyesült Királyságban soha nem használják a hitelesítéshez. Ha SSN-jét feltárták, az örökre veszélybe kerül. És ez egy probléma.
Egyes vállalkozások az SSN csak az utolsó négy számjegyének tárolásával próbálják megvédeni az ügyfeleket. Kiderült, hogy ez nem túl hatékony. Az első öt számjegy nem véletlenszerű; azon alapulnak, hogy mikor és hol kérték először az SSN-t. Egy öt évvel ezelőtti kutatási projekt elemezte a kormány "Halálfájl" adatait, és kidolgozott egy algoritmust az első öt számjegy előrejelzésére. Mindössze két kísérlettel sikerült 60 százalékos pontosságot elérni. Ha a cybercrooksok már tartalmazzák az utolsó négy számjegyet, akkor az SSN el van látva.
A születési idő egy másik olyan dátum, amelyet egyszerűen nem lehet megváltoztatni. A jelentés megjegyzi, hogy a születési hely, a nem és az állampolgárság is felhasználható hitelesítésre, és ezeket sem lehet megváltoztatni. Ezt követően kijelenti, hogy "a vállalkozásoknak és a kormányoknak tartózkodniuk kell ezeknek az attribútumoknak az online biztonsági célokra történő felhasználásától, bár történelmileg bizalmasnak tekintették őket"
Dinamikus adatok
A fogyasztóknak különféle erős jelszavakat kell használniuk minden biztonságos webhelyen, és a vállalkozásoknak segíteniük kell, nem pedig akadályozzák ezt az erőfeszítést. A jelentés azt tanácsolja az összes vállalkozásnak, hogy engedélyezzen hosszú jelszavakat, és távolítsa el a felhasználható karakterek korlátozásait. Nagyon elriasztó, amikor egy webhely elutasítja a jelszókezelő által generált szuper biztonságos jelszót.
Azok a felhasználók, akik elfelejtették jelszavukat, gyakran újrahitelesíthetők, ha egy vagy több biztonsági kérdésre válaszokat adnak. Nagyon nagy hiba nyilvánosan hozzáférhető információk, például az ügyfél szülővárosa vagy anyja leánykori nevének kérése. A vállalkozásoknak lehetővé kell tenniük, hogy az ügyfelek meghatározhassák saját kérdéseiket, az ügyfeleknek olyan kérdéseket kell megfogalmazniuk, amelyekre egy kívülálló nem tudott válaszolni. A jelentés nem mondja ezt, de ha rossz biztonsági kérdéssel szembesül, javaslom, hogy adjon meg egy hamis, de még emlékezetes választ.
Bűnügyi profilozás
A hirdetők és az online vállalkozások folyamatosan profilozzák a fogyasztókat sokféle módon. Megvizsgálják a hűséges ügyfeleket, a rossz hitelkockázatokat, sőt kitalálják, ki egészséges, és ki nem. Vásárlási szokásai meghatározhatják, hogy kedvezményes kupont kap-e, vagy hogy a hirdetési hangmagasság eléri-e a böngészőt.
Pontosan ugyanez történik a számítógépes bűnözés árnyékos világában. Minden adat megsértése több adatot szolgáltat a rossz fiúknak, és az átfedésekből származó sérülések eredményeinek egyesítésével nagyon pontos profilokat hozhatnak létre. A tanulmány szerint az ilyen profilok már léteznek "több millió felhasználó számára".
Tanácsadás vállalkozások számára
A tanulmány számos javaslatot kínál az online vállalkozások számára. Azt tanácsolja, hogy csak a szükséges minimum személyes adatokat tárolják, és egyáltalán ne tároljanak az egyszeri tranzakciókhoz. A vállalkozásoknak kerülniük kell az érzékeny adatok egyszerű szövegként való tárolását; különösen a jelszó-kivonatokat kell tárolniuk, nem pedig a jelszavakat. Ezenkívül lehetővé kell tenniük a felhasználók számára a fiókok megszüntetését, ezáltal törölve a személyes adatokat a rendszerből, ideértve a biztonsági másolatban tárolt adatokat is.
A vállalkozásoknak feltételezniük kell, hogy adat megsértése történik. A jelentés megjegyzi, hogy az elmúlt évtized tíz legnagyobb megsértésének a fele 2013-ban történt. A jogsértésre való felkészülés magában foglalja egy alternatív kommunikációs csatorna felállítását minden felhasználó számára, amennyiben az elsődleges csatorna megsérül. A vállalkozásoknak proaktívan ki kell lépniük a jogsértés után, és módszereket kell bevezetniük a veszélyeztetett felhasználók újbóli hitelesítéséhez, például kihívásokkal kapcsolatos kérdések felállítása a tényleges felhasználói tevékenység alapján.
A „Miért van az én adataim megsértése az én problémám” című teljes kiadvány rengeteg hasznos és igénybe vehető információt kínál, és meglepően jól olvasható. Nézd meg.
