Відео: Осторожно! Мошенничество с банковскими аккаунтами и SSN (Вересень 2024)
Коли веб-сайт покупок в Інтернеті зазнає порушення даних, ви отримаєте попередження про зміну пароля. Якщо ваш банк зламаний, він надішле вам нову кредитну карту. Справжня проблема виникає, коли бізнес засвідчує вас, використовуючи особисті дані, які неможливо змінити, як-от ваш SSN або дата народження. Нова довідка з лабораторій NSS вивчає використання статичної та динамічної інформації для аутентифікації та пропонує підприємствам поради щодо підвищення безпеки.
Статичні дані
SSN ніколи не вважався особистим ідентифікатором. У звіті зазначається, що еквівалентний ідентифікатор у Великобританії ніколи не використовується для аутентифікації. Як тільки ваш SSN виявиться в порушенні, він назавжди порушений. І це проблема.
Деякі компанії намагаються захистити клієнтів, зберігаючи лише останні чотири цифри SSN. Виявляється, це не дуже ефективно. Перші п'ять цифр не випадкові; вони базуються на тому, коли і де ви вперше подали заявку на свій SSN. Дослідницький проект від п'яти років тому проаналізував дані урядового "Файлу майстра смерті" та розробив алгоритм для прогнозування перших п'яти цифр. Лише за дві спроби їм вдалося 60-відсоткову точність. Якщо в кіберпрограмах вже є останні чотири цифри, ваш SSN буде переведений.
Дата народження - ще одна дата, яку просто неможливо змінити. У звіті зазначається, що місце народження, стать та громадянство також можуть використовуватися для аутентифікації, а також не можуть бути змінені. Далі йдеться про те, що "Підприємства та уряди повинні утримуватися від використання цих атрибутів для цілей безпеки в Інтернеті, хоча історично вони вважалися конфіденційними".
Динамічні дані
Споживачі повинні використовувати різні надійні паролі для всіх захищених сайтів, а підприємствам потрібно допомагати, а не перешкоджати цьому. У звіті рекомендується всім підприємствам дозволити довгі паролі та зняти будь-які обмеження щодо використання символів. Дуже обережно, коли веб-сайт відхиляє супербезпечний пароль, створений вашим менеджером паролів.
Користувачі, які забули свої паролі, часто можуть повторно засвідчити автентифікацію, надавши відповіді на одне або кілька питань безпеки. Просити публічно доступну інформацію, наприклад, рідний місто замовника чи дівоче прізвище матері - це величезна помилка. Підприємства повинні дозволяти клієнтам визначати власні запитання, а клієнти повинні розробляти питання, на які жоден сторонній не може відповісти. У звіті цього не сказано, але якщо ви зіткнулися з поганим питанням безпеки, радимо надати відповідь, яка не відповідає дійсності, але запам'ятовується.
Кримінальне профілювання
Рекламодавці та Інтернет-бізнес постійно розглядають споживачів різними способами. Вони прагнуть визначити лояльних клієнтів, погані кредитні ризики, навіть з'ясувати, хто здоровий, а хто ні. Ваші звички в магазинах можуть визначати, чи отримуєте ви купон зі знижкою, або який рекламний крок потрапляє на ваш веб-переглядач.
Точно те саме відбувається в тінистому світі кібер-злочинності. Кожне порушення даних надає поганим хлопцям більше даних, і, комбінуючи результати від перекриття порушень, вони можуть створювати дуже точні профілі. Праця свідчить про те, що такі профілі вже існують для "мільйонів користувачів".
Поради для бізнесу
Довідник пропонує ряд пропозицій для інтернет-бізнесу. Він радить зберігати лише необхідний мінімум особистих даних та взагалі нічого не зберігати для разової транзакції. Підприємства повинні уникати зберігання конфіденційних даних у вигляді простого тексту; зокрема, вони повинні зберігати хеші паролів, а не паролі. Вони також повинні дозволяти користувачам припиняти облікові записи, тим самим витираючи всі особисті дані з системи, включаючи дані, що зберігаються в резервних копіях.
Компанії повинні припустити, що буде порушено дані. У звіті зазначається, що з десяти найбільших порушень за останнє десятиліття, половина сталася у 2013 році. Підготовка до порушення включає в себе встановлення альтернативного каналу зв'язку для кожного користувача, у разі порушення первинного каналу. Підприємства повинні активно діяти у зв'язку із порушенням та застосовувати методи для повторної аутентифікації користувачів групи ризику, наприклад створення проблемних питань на основі фактичної активності користувачів.
Повна довідка під назвою "Чому порушення ваших даних - це моя проблема" пропонує велику кількість корисної та корисної інформації, і вона напрочуд читається. Гляньте.
