Rsa: Nincs több jelszó, soha?

A Google háborút hirdetett a jelszavakkal, de Alisdair Faulkner termékek vezérigazgatója és a ThreatMetrix társalapítója szerint a rossz háborúval küzdenek. "Az ötlet dicséretes" - mondta Faulkner. "Valójában a legtöbb ember újra és újra ugyanazt az egyszerű jelszót használja. A Google fizikai hitelesítőt javasol. A probléma az, hogy bármilyen kéttényezős sémát mind a webhelyeknek, mind a felhasználóknak el kell fogadniuk. És ha elveszíti a hitelesítőt, akkor mit?" Rámutatott a felhasználó hitelesítésének problémájára az első regisztráció során.

A ThreatMetrix egy másik megoldást javasol, amely nem igényel erőfeszítéseket a felhasználó részéről. "Mi (és még sokan mások) úgy gondoljuk, hogy a biztonságot minden művelet alapértelmezett részévé kell tennünk" - mondta Faulkner. "Passzívnak, nem tolakodónak kell lennie. A viselkedés és az eszközök kombinációja sokféle interakció során arra szolgál, hogy azonosítson téged és csak te."

Deviant viselkedés

A bankok a gyanús tranzakciókat a normál mintáktól való eltérések észlelésével azonosítják. A ThreatMetrix ugyanazt a logikát alkalmazza az online hitelesítésre. Nem feltétlenül tudnak rólad személyesen semmit, de tudják például, hogy egy adott e-mail fiók általában három meghatározott eszközről csatlakozik, általában Kaliforniában. Ha ez a fiók hirtelen egyszerre többször csatlakozik, ismeretlen eszközökről, talán Kínában, ez egy piros zászló.

"A bankok, az e-kereskedelmi webhelyek és a legnagyobb technológiai társaságok egy része a ThreatMetrixet használja" - mondta Faulkner. "Figyelembe veszik a számlaátvétel és a hitelkártya-csalás jeleit, és felhasználják az új beiratkozás érvényesítésére." Hangsúlyozta, hogy a vállalat szigorúan az adatmintákat keresi, nem pedig a személyes adatait.

Ahol mindenki tudja a nevét

Nagyon sok értelme van számomra. Amikor körbejárom az RSA konferenciát, az emberek, akik ismernek engem, azt mondják: "Szia!", És azok, akik nem ellenőrzik a kitűzőmet. Ha egy vonzó fiatal nő viseli a jelvényem, senki sem fogja elhinni, hogy ő vagyok; a jelvény nem az én személyem. Nem kell megadnom a jelszót, hogy belépjem a Sajtószobába; tudják, ki vagyok. A ThreatMetrix terv kiterjeszti annak ismeretét, hogy kibertérbe kerülsz.

Megkérdeztem Faulkner-t, mi van a hamis pozitívokkal? Sokan tapasztaltunk hitelkártya-visszatartásokat, mert szokatlan helyen vásároltunk. Nem tudta-e a ThreatMetrix hibásan blokkolni a belépést, mondjuk egy banki oldalhoz? "Biztosítunk kontextust" - válaszolta -, de nem vagyunk végrehajtó. A webhely dönthet úgy, hogy elutasítja az ügyletet, vagy extra ellenőrzés alá vonhatja azt. Ha csak nyilvánvalóan csalárd, akkor valószínűleg nem tagadná meg egyenesen."

A bankipar már hasonló technikákat alkalmaz a potenciálisan kockázatos ügyletek megjelölésére. Teljesen látom, hogy ezt a modellt kiterjesztjük a webhelyek hitelesítésére is. Természetesen csak csaknem egyetemes részvétellel lehet megtörténni. Ha elérjük ezt a magasztos célt, akkor soha többé nem szabad megjegyeznünk egy olyan jelszót, mint a 8l3yO5JgtxIC vagy a CorrectHorseBatteryStaple.

Az RSA lefedettségünk összes üzenetének megtekintéséhez olvassa el a Jelentések megjelenítése oldalt.