Video: COMBO CARD 2020 | ADVANCE PAROLE & EAD CARD | Social Security SSN (Decembris 2024)
Ja tiešsaistes iepirkšanās vietnē rodas datu pārkāpumi, jūs saņemsit brīdinājumu mainīt paroli. Ja jūsu banka tiek uzlauzta, viņi jums nosūtīs jaunu kredītkarti. Patiesa problēma rodas, ja uzņēmums jūs autentificē, izmantojot personas datus, kurus nevar mainīt, piemēram, jūsu SSN vai dzimšanas datumu. Jauna NSS Labs baltā grāmata pēta statiskās un dinamiskās informācijas izmantošanu autentifikācijai un piedāvā uzņēmumiem padomus drošības uzlabošanai.
Statiskie dati
SSN nekad nebija domāts kā personas identifikators. Ziņojumā norādīts, ka līdzvērtīgs identifikators Lielbritānijā nekad netiek izmantots autentifikācijai. Tiklīdz jūsu SSN tiek atklāts pārkāpumā, tas uz visiem laikiem tiek apdraudēts. Un tā ir problēma.
Daži uzņēmumi mēģina aizsargāt klientus, saglabājot tikai pēdējos četrus SSN ciparus. Izrādās, ka tas nav pārāk efektīvs. Pirmie pieci cipari nav nejauši; to pamatā ir tas, kad un kur jūs pirmo reizi pieteicāties savam SSN. Pētniecības projekts pirms pieciem gadiem analizēja datus no valdības "Nāves pamatlietas" un izstrādāja algoritmu, lai paredzētu šos pirmos piecus ciparus. Tikai ar diviem mēģinājumiem viņi spēja panākt 60 procentu precizitāti. Ja kiberklikšķiem jau ir pēdējie četri cipari, jūsu SSN tiek rādīts.
Dzimšanas datums ir vēl viens atsauces datums, kuru vienkārši nevar mainīt. Ziņojumā norādīts, ka autentifikācijai var izmantot arī dzimšanas vietu, dzimumu un pilsonību, un tos arī nevar mainīt. Turpinājumā teikts, ka "uzņēmumiem un valdībām vajadzētu atturēties no šo atribūtu izmantošanas tiešsaistes drošības nolūkos, lai arī vēsturiski tie tika uzskatīti par konfidenciāliem."
Dinamiskie dati
Patērētājiem visās drošajās vietnēs ir jāizmanto dažādas spēcīgas paroles, un uzņēmumiem ir jāpalīdz, nevis jākavē šie centieni. Ziņojumā visiem uzņēmumiem tiek ieteikts atļaut garas paroles un atcelt visus ierobežojumus attiecībā uz to, kādas rakstzīmes var izmantot. Tas ļoti attur, ja vietne noraida īpaši drošu paroli, kuru ģenerējis jūsu paroļu pārvaldnieks.
Lietotāji, kuri aizmirsuši paroles, bieži var atkārtoti autentificēties, sniedzot atbildes uz vienu vai vairākiem drošības jautājumiem. Pieprasīt publiski pieejamu informāciju, piemēram, klienta dzimtajā pilsētā vai mātes pirmslaulības uzvārdu, ir milzīga kļūda. Uzņēmumiem vajadzētu ļaut klientiem noteikt savus jautājumus, un klientiem vajadzētu sagatavot jautājumus, uz kuriem neviens nepiederošs nevarēja atbildēt. Ziņojumā tas nav teikts, bet, ja jūs saskaraties ar sliktu drošības jautājumu, es iesaku jums sniegt atbildi, kas nav patiesa, bet paliek atmiņā.
Kriminālprofilēšana
Reklāmdevēji un tiešsaistes uzņēmumi pastāvīgi profilē patērētājus dažādos veidos. Viņi cenšas identificēt pastāvīgos klientus, sliktos kredītriskus, pat izdomāt, kurš ir veselīgs un kurš nē. Jūsu iepirkšanās paradumi var noteikt, vai saņemat atlaižu kuponu, vai arī tas, kāds reklāmas piķis sasniedz jūsu pārlūkprogrammu.
Tieši tas pats notiek kibernoziedzības ēnainā pasaulē. Katrs datu pārkāpums sniedz sliktajiem puišiem vairāk datu, un, apvienojot pārkāpumu pārklāšanās rezultātus, viņi var izveidot ļoti precīzus profilus. Baltajā grāmatā norādīts, ka šādi profili jau pastāv "miljoniem lietotāju".
Padomi biznesam
Baltajā grāmatā ir sniegti vairāki ieteikumi tiešsaistes biznesam. Tas iesaka uzglabāt tikai nepieciešamo personas datu minimumu, un vienreizējam darījumam vispār neko nedrīkst uzglabāt. Uzņēmumiem vajadzētu izvairīties no sensitīvu datu glabāšanas vienkāršā tekstā; jo īpaši viņiem vajadzētu saglabāt paroles, nevis paroles. Viņiem vajadzētu arī ļaut lietotājiem pārtraukt kontu darbību, tādējādi no sistēmas izdzēšot visus personas datus, ieskaitot dublējumos saglabātos datus.
Uzņēmumiem jārēķinās, ka notiks datu pārkāpumi. Ziņojumā norādīts, ka no desmit lielākajiem pārkāpumiem pēdējo desmit gadu laikā puse notika 2013. gadā. Sagatavošanās pārkāpumam ietver alternatīva saziņas kanāla izveidošanu katram lietotājam, ja tiek pārkāpts primārais kanāls. Uzņēmumiem proaktīvi jāvēršas pēc pārkāpuma un jāievieš metodes, lai atkārtoti autentificētu riska lietotājus, piemēram, izaicinājumu jautājumi jāizveido, pamatojoties uz faktiskām lietotāju darbībām.
Pilnīga baltā grāmata ar nosaukumu “Kāpēc jūsu datu pārkāpums ir mana problēma” piedāvā daudz noderīgas un praktiskas informācijas, un tā ir pārsteidzoši lasāma. Paskaties.
