Rsa: вече няма пароли?

Google обяви война на паролите, но Алисдар Фолкнер, главен директор на продуктите и съосновател на ThreatMetrix, смята, че те водят грешна война. "Идеята е похвална", каза Фолкнер. „Всъщност повечето хора използват една и съща проста парола отново и отново. Google предлага физически автентификатор. Проблемът е, че всякакъв вид двуфакторна схема трябва да бъде възприета както от сайтове, така и от потребители. И ако загубите автентиката си, какво тогава?" Той посочи и проблема с удостоверяването на потребител по време на първоначалната регистрация.

ThreatMetrix предлага различно решение, такова, което не изисква никакви усилия от страна на потребителя. "Ние (и много други) вярваме, че трябва да направим сигурността по подразбиране част от всяка операция", каза Фолкнер. „Тя трябва да бъде пасивна, а не натрапчива. Комбинацията от вашето поведение и вашите устройства в много взаимодействия може да служи за идентифициране на вас и само на вас.“

Девиантно поведение

Банките идентифицират подозрителни транзакции, като отбелязват отклонения от нормалните модели. ThreatMetrix прилага същия вид логика за онлайн удостоверяване. Не е задължително да знаят нищо за вас лично, но знаят например, че определен имейл акаунт обикновено се свързва от три конкретни устройства, обикновено в Калифорния. Ако този акаунт изведнъж започне да се свързва няколко пъти наведнъж от неизвестни устройства, може би в Китай, това е червен флаг.

"Банките, сайтовете за електронна търговия и някои от най-големите технологични компании използват ThreatMetrix", казва Фолкнер. „Те следят за признаци за поглъщане на акаунти и измами с кредитни карти и го използват за валидиране на ново записване.“ Той подчерта, че компанията стриктно търси модели в данните, а не за личната информация на никого.

Където всеки знае вашето име

За мен има много смисъл. Когато се разхождам по конференцията на RSA, хората, които ме познават, казват „Здравей!“, А хората, които не проверяват значката ми. Ако привлекателната млада жена ми носеше значката, никой нямаше да повярва, че съм аз; значката не е моята самоличност. Не е нужно да въвеждам парола, за да вляза в пресата; те знаят кой съм. Планът ThreatMetrix разширява познаването на кого се намирате в киберпространството.

Попитах Фолкнер, ами фалшивите позитиви? Много от нас са имали притежание на кредитни карти, защото направихме покупка на необичайно място. Не можа ли ThreatMetrix погрешно да блокира достъпа ми до, например, банков сайт? "Ние предоставяме контекст", отговори той, "но ние не сме изпълнителят. Сайтът може да реши да отхвърли транзакцията или да я подложи на допълнителен контрол. Освен ако не е явно измамна, те вероятно не биха я отрекли напълно".

Банковата индустрия вече използва подобни техники, за да маркира потенциално рискови транзакции. Напълно мога да видя разширяването на този модел до удостоверяване на уебсайта. Разбира се, това може да се случи само с почти универсално участие. Ако тази възвишена цел бъде постигната, ние никога повече няма да трябва да помним парола като 8l3yO5JgtxIC или CorrectHorseBatteryStaple.

За да видите всички публикации от нашето покритие на RSA, вижте страницата ни Show Reports.