Видео: Номер социального страхования (Ноември 2024)
Когато сайт за онлайн пазаруване претърпи нарушение на данните, ще получите предупреждение за промяна на паролата си. Ако вашата банка е хакната, тя ще ви изпрати нова кредитна карта. Истинският проблем възниква, когато бизнес ви удостовери, използвайки лични данни, които не могат да бъдат променени, като вашия SSN или дата на раждане. Нов документ на NSS Labs изследва използването на статична и динамична информация за удостоверяване и предлага на фирмите съвети за подобряване на сигурността.
Статични данни
SSN никога не е бил предназначен за личен идентификатор. Докладът отбелязва, че еквивалентният идентификатор във Великобритания никога не се използва за удостоверяване. След като SSN бъде разкрит в нарушение, той завинаги е компрометиран. И това е проблем.
Някои фирми се опитват да защитят клиентите, като съхраняват само последните четири цифри на SSN. Оказва се, че това не е много ефективно. Първите пет цифри не са случайни; те се базират на това кога и къде сте кандидатствали за вашия SSN. Изследователски проект отпреди пет години анализира данни от правителствения „Файл на майстора на смъртта“ и създаде алгоритъм за прогнозиране на първите пет цифри. Само с два опита те успяха с 60 процента точност. Ако киберкроковете вече имат последните четири цифри, вашият SSN се pwned.
Дата на раждане е друга дата, която просто не може да бъде променена. Докладът отбелязва, че мястото на раждане, полът и гражданството също могат да бъдат използвани за удостоверяване и също не могат да бъдат променяни. По-нататък се посочва, че „Предприятията и правителствата трябва да се въздържат от използването на тези атрибути за целите на онлайн сигурността, въпреки че в исторически план те са били считани за поверителни“.
Динамични данни
Потребителите трябва да използват различни силни пароли за всички защитени сайтове, а предприятията трябва да помогнат, а не да пречат на това усилие. Докладът съветва всички фирми да разрешават дълги пароли и да премахват всички ограничения за това, какви знаци могат да се използват. Много е обезкуражаващо, когато уебсайт отхвърля суперзащитената парола, генерирана от вашия мениджър на пароли.
Потребителите, които са забравили паролите си, често могат да се удостоверяват отново чрез предоставяне на отговори на един или повече въпроси за сигурност. Да искаш публично достъпна информация като родния град на клиента или моминското име на майката е огромна грешка. Бизнесът трябва да позволява на клиентите да определят собствените си въпроси, а клиентите трябва да изработват въпроси, на които никой външен човек не може да отговори. Докладът не казва това, но ако се сблъскате с лош въпрос за сигурност, съветвам ви да предоставите отговор, който още не е верен, но е запомнящ се.
Криминално профилиране
Рекламодателите и онлайн бизнеса постоянно профилират потребителите по много различни начини. Те търсят да идентифицират лоялни клиенти, лоши кредитни рискове, дори да разберат кой е здрав и кой не. Вашите навици за пазаруване могат да определят дали получавате или не талон за отстъпка или коя рекламна стъпка удря браузъра ви.
Точно същото се случва в сенчестия свят на киберпрестъпността. Всяко нарушение на данните дава на лошите хора повече данни и чрез комбиниране на резултати от припокриващи се нарушения те могат да създадат много точни профили. Бялата книга предполага, че такива профили вече съществуват за „милиони потребители“.
Съвети за бизнеса
Бялата книга предлага редица предложения за онлайн бизнеса. Той съветва да съхранявате само необходимия минимум лични данни и изобщо да не съхранявате нищо за еднократна транзакция. Бизнесът трябва да избягва съхраняването на чувствителни данни като обикновен текст; по-специално те трябва да съхраняват хеши за пароли, а не пароли. Те трябва също така да позволяват на потребителите да прекратят акаунти, като по този начин изтриват всички лични данни от системата, включително данните, съхранявани в резервни копия.
Бизнесът трябва да предполага, че ще се случи нарушение на данните. Докладът отбелязва, че от десетте най-големи нарушения през последното десетилетие, половината са настъпили през 2013 г. Подготовката за нарушение включва създаване на алтернативен канал за комуникация за всеки потребител, в случай че основният канал е нарушен. Предприятията трябва активно да посегнат след нарушение и да прилагат методи за повторно удостоверяване на рискови потребители, като например създаване на предизвикателни въпроси въз основа на действителната потребителска активност.
Пълният текст, озаглавен „Защо нарушаването на вашите данни е моят проблем“, предлага богата полезна и полезна информация и е изненадващо четима. Погледни.