Come trovare la felicità in un mondo di follia della password

All'inizio di agosto, reporter cablato Mat Honan ha hackerato le sue password più preziose tramite una complessa serie di exploit di ingegneria sociale. La violazione ha fatto scalpore perché ha esposto difetti di sicurezza nelle politiche del servizio clienti di Apple e Amazon; ma non dimentichiamo che la saga di Honan ha ricoperto una lunga estate piena di invasioni di server che hanno esposto milioni di password utente in massa.

A giugno, gli hacker hanno rubato circa 6,5 ​​milioni di password di LinkedIn e le hanno pubblicate online. Nello stesso mese, gli intrusi hanno compromesso circa 1,5 milioni di password eHarmony in una violazione della sicurezza, e in luglio gli hacker hanno afferrato 450.000 password di Yahoo Voice. Tra le password più comuni utilizzate da quei membri di Yahoo: "123456", "benvenuto" e la "password" sempre più diffusa.

Il problema fondamentale non è che questi siti avrebbero dovuto fare un lavoro migliore per proteggere i dati degli utenti (anche se dovrebbero avere). E non è che gli utenti abbiano scelto password estremamente facili da decifrare e quindi riciclare le stesse password fragili in ogni sito in cui si sono registrati (anche se l'hanno fatto).

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Il problema è che le password sono diventate strumenti autodistruttivi, spesso impotenti nel grande schema della sicurezza digitale. Ne abbiamo bisogno troppi, e quelli forti sono troppo difficili da ricordare.

"Per utilizzare la rete in questi giorni devi avere decine di password e accessi", afferma Terry Hartmann, vice presidente delle soluzioni di sicurezza globali per Unisys. "Ogni volta che torni su un sito, sembra che abbiano introdotto nuove regole per rendere le password più complesse. Alla fine, gli utenti tornano ad usare una password per tutto. "

In breve: il sistema di password è rotto. Tutte le password violate negli exploit di LinkedIn, eHarmony e Yahoo erano state "sottoposte a hash", ovvero le password effettive erano state sostituite con codice generato in modo algoritmico. Questo trasforma le password memorizzate sui server (e rubate dagli hacker) in un gobbledygook alfanumerico. Tuttavia, se la tua password è semplice come, ad esempio, "officepc", un hacker può facilmente decifrare anche in forma hash utilizzando la forza bruta o una tabella arcobaleno.

Ma non tutto è perduto. Le complesse password infuse con numeri e caratteri speciali (e che non hanno alcuna somiglianza con un vero nome o parola) ti danno una possibilità di combattere contro gli hacker e puoi memorizzare questi codici in una pratica app di gestione delle password. I siti web, nel frattempo, stanno facendo di più per rafforzare la sicurezza alla loro fine, richiedendo l'autenticazione a più fattori, e sembra che la tecnologia biometrica sarà presto impiegata anche per la sicurezza del mercato di massa.

Il problema della password non andrà via a breve, tuttavia, e per ora dovremo fare affidamento sulle applicazioni, i servizi e le tecnologie emergenti spiegate di seguito per rimanere un passo avanti ai cattivi.

Password vault

I programmi di gestione password sono come filtri antispam -borando ma strumenti essenziali per la gestione della tua vita digitale. Un buon gestore di password ricorda tutti i tuoi accessi, sostituisce le semplici password che hai scelto con quelle complesse e ti consente di cambiare rapidamente queste password se un sito o un servizio che usi viene violato.

La parte migliore: invece di dover ricordare dozzine di password univoche, è sufficiente ricordarne una: la password principale per il vault. E a meno che tu non acceda sempre dalla stessa macchina e dallo stesso browser (nel qual caso probabilmente stai leggendo questo su una connessione dial-up AOL), vorrai un programma basato su cloud come LastPass, 1Password o Roboform che possa essere applicato i tuoi accessi a qualsiasi PC, telefono o tablet che usi.

Il rovescio della medaglia: devi ancora ricordare la tua password principale, e dovrebbe essere davvero buona, piena di numeri, lettere maiuscole e minuscole e caratteri speciali come punti interrogativi e punti esclamativi.

Naturalmente, un utente malintenzionato che riesce a installare un keylogger nel tuo sistema sarà in grado di individuare la tua password mentre la digiti, osserva Robert Siciliano, un esperto di sicurezza online per McAfee che utilizza un deposito di password per archiviare più di 700 accessi. Allo stesso modo, se i criminali hackerano una cassaforte basata su cloud, come è successo a LastPass nel maggio 2011, potrebbe essere finita. Fortunatamente per i clienti LastPass, nessuna informazione sensibile è stata violata nell'attacco del 2011; ma la prossima volta che si verificherà un'intrusione di successo (e che sarà inevitabile per qualche azienda di sicurezza), gli utenti potrebbero non essere così fortunati.

Bottom line: i vani di gestione delle password offrono un valore immenso e sono strumenti essenziali per chiunque Valori sicurezza digitale.

Autenticazione multifattore

Le password complesse memorizzate in un deposito crittografato sono solo un primo passo. Alcuni siti si affidano a un secondo livello di sicurezza per identificare gli utenti, in genere un componente hardware a cui solo l'utente legittimo ha accesso. In questo modo, anche un utente malintenzionato che conosce la tua password avrà bisogno di accedere, per esempio, al telefono o al computer per rubare i tuoi dati.

Le istituzioni finanziarie sono obbligate per legge a utilizzare più fattori nella gestione delle transazioni online, ma possono farlo in background, autenticando la tua macchina o la sua posizione, dice Siciliano. Quindi, ad esempio, se vivi a San Francisco e qualcuno a Shanghai tenta di accedere al tuo conto bancario, quella transazione potrebbe essere bloccata, o a quella persona potrebbe essere richiesto di fornire un pezzo aggiuntivo di autenticazione inserendo un numero inviato a un dispositivo fornito

Google e Facebook ora offrono anche l'autenticazione a due fattori: puoi farli inviare un PIN temporaneo al tuo telefono cellulare ogni volta che accedi da una macchina sconosciuta (questo PIN deve essere fornito insieme alla tua password la prima volta che si tenta di accedere tramite la nuova macchina). Questo sistema di sicurezza avrebbe impedito tutte le difficoltà maturate da Mat Honan lo scorso mese.

Il sistema di autenticazione in due parti di Google garantisce un livello maggiore di sicurezza, ma molti utenti trovano faticoso nella pratica del mondo reale.

Sfortunatamente, tuttavia, a parte dalle banche e da una manciata di siti Web di alto profilo, la maggior parte dei siti online non offre un'autenticazione multifattoriale, in parte perché non è molto comoda e la stragrande maggioranza degli utenti di Internet è disposta a scambiare la sicurezza per accessi senza problemi.

"L'autenticazione a due fattori non sempre supera il test della nonna", afferma Siciliano. "Ciò significa più chiamate di assistenza, più reimpostazioni di password e costi più elevati. Questo è il motivo per cui viene tipicamente usato solo da aziende con molto da perdere. "

Biometria

La bellezza della biometria è che non devi ricordare nulla, tanto meno una password complessa. Invece, un sistema di sicurezza biometrico attinge le proprietà uniche del proprio imballaggio fisico per autenticare la propria identità.

I sistemi biometrici possono scansionare impronte digitali, iridi, facce e persino voci per stabilire se una persona dovrebbe avere accesso a un servizio oa un pezzo di hardware. Non sono ancora stati implementati per i principali servizi cloud, ma Terry Hartmann di Unisys dice che le principali banche stanno pilotando sistemi di identificazione biometrica ora e si aspetta che inizieranno a circolare l'anno prossimo. La recente acquisizione da parte di Apple di $ 360 milioni di AuthenTec, produttore di tecnologia di scansione delle impronte digitali, suggerisce che una qualche forma di identificazione biometrica possa essere incorporata nei futuri prodotti Apple.

La sicurezza biometrica rudimentale è già disponibile su molti notebook.

La biometria non è perfetto, comunque. I ricercatori hanno messo a punto scanner di impronte digitali usando le dita di gelatina e hanno ingannato i sistemi di riconoscimento facciale usando le fotografie. Alla conferenza BlackHat dello scorso luglio, i ricercatori della sicurezza hanno dimostrato un modo per ingannare gli scanner dell'iride mediante la retroingegnerizzazione dei dati dell'immagine.

E, naturalmente, gli hacker possono indirizzare i dati biometrici archiviati in un database centrale e rubare identità sostituendo i propri dati biometrici al posto delle loro vittime ". Come con le password e altre informazioni di identificazione personale, il livello di protezione fornito dalla sicurezza biometrica dipenderebbe interamente dalla competenza di chiunque abbia archiviato i dati (tutti sappiamo quanto bene ha funzionato su LinkedIn).

Richiedere la biometria all'accesso potrebbe anche fare l'anonimato è difficile (se non impossibile) per dissidenti politici, informatori e persone che abitano identità multiple per motivi personali o professionali. I timori sulla sorveglianza del governo di Minority Report possono anche far riflettere molti consumatori.

Nonostante tutto questo, Joseph Pritikin, direttore del product marketing di AOptix Technologies, produttore di scanner di iris distribuiti negli aeroporti e valichi di frontiera, prevede che gli smartphone che utilizzano la biometria saranno uno dei principali dispositivi di identificazione del futuro, in parte perché i dati possono essere memorizzati in modo sicuro sul dispositivo stesso.

"Sarà una combinazione di qualcosa che sono e qualcosa che ho, molto probabilmente uno smartphone ", dice Pritikin. "La loro crittografia basata su hardware sarebbe difficile da compromettere."

Un ID per dominarli tutti

In definitiva, la soluzione ideale per l'affaticamento delle password è unificare tutti i nostri diversi accessi e identità online. Entra nell'Amministrazione Obama, che nell'aprile 2011 ha lanciato un'iniziativa pubblico-privata, la Strategia nazionale per le identità affidabili nel cyberspazio, per sviluppare un ecosistema dell'identità che consentirebbe ai consumatori di utilizzare qualsiasi sistema di verifica e farlo funzionare senza problemi su qualsiasi sito.

Un tale sistema sarebbe in grado di verificare che sei abbastanza grande per acquistare vino online o che hai diritto allo sconto per studenti, senza necessariamente condividere tutte le tue informazioni personali con ciascun sito, dice Jim Fenton, capo della sicurezza specialista per OneID, un sistema di gestione delle identità di Internet. Il sistema ti permetterebbe anche di operare sotto uno pseudonimo, se è così che volevi tirare.

Ma le ruote del governo si agitano lentamente. Il mese scorso, il comitato direttivo dell'NTSIC ha tenuto il suo primo incontro. Tra le questioni che alla fine dovrà affrontare sono la quantità di informazioni da condividere tra le parti e la quantità di controllo che i consumatori dovrebbero avere su tali informazioni, dice Fenton, un membro del gruppo sulla privacy del comitato direttivo.

In altre parole: Aiuto è in arrivo, ma non arriverà presto. Nel frattempo, siamo bloccati con le password. Crea alcuni buoni e assicurati che siano sotto chiave.