Casa Securitywatch Cambia la tua password? bene. cambiare la tua ssn? Oh caro...

Cambia la tua password? bene. cambiare la tua ssn? Oh caro...

Video: Cambiare password Instagram (Novembre 2024)

Video: Cambiare password Instagram (Novembre 2024)
Anonim

Quando un sito di shopping online subisce una violazione dei dati, riceverai un avviso per modificare la password. Se la tua banca viene hackerata, ti invierà una nuova carta di credito. Il vero problema si verifica quando un'azienda ti autentica utilizzando dati personali che non possono essere modificati, come il tuo SSN o la data di nascita. Un nuovo white paper di NSS Labs esamina l'uso di informazioni statiche e dinamiche per l'autenticazione e offre consigli alle aziende per migliorare la sicurezza.

Dati statici

L'SSN non è mai stato inteso come identificativo personale. Il rapporto rileva che l'identificatore equivalente nel Regno Unito non viene mai utilizzato per l'autenticazione. Una volta che il tuo SSN viene rivelato in una violazione, viene per sempre compromesso. E questo è un problema.

Alcune aziende tentano di proteggere i clienti memorizzando solo le ultime quattro cifre del SSN. Si scopre che questo non è molto efficace. Le prime cinque cifre non sono casuali; sono basati su quando e dove hai fatto domanda per il tuo SSN. Un progetto di ricerca di cinque anni fa ha analizzato i dati del "Death Master File" del governo e ha ideato un algoritmo per prevedere quelle prime cinque cifre. Con solo due tentativi hanno gestito una precisione del 60 percento. Se i cybercrook hanno già le ultime quattro cifre, il tuo SSN viene generato.

La data di nascita è un altro dato che non può essere modificato. Il rapporto rileva che il luogo di nascita, il genere e la cittadinanza possono anche essere utilizzati per l'autenticazione e non possono essere modificati. Si prosegue affermando che "Le imprese e i governi dovrebbero astenersi dall'utilizzare questi attributi a fini di sicurezza online, sebbene storicamente siano stati considerati confidenziali".

Dati dinamici

I consumatori devono utilizzare password complesse diverse per tutti i siti sicuri e le aziende devono aiutare, non ostacolare, questo sforzo. Il rapporto consiglia a tutte le aziende di consentire password lunghe e di rimuovere eventuali restrizioni su quali caratteri possono essere utilizzati. È molto scoraggiante quando un sito Web rifiuta la password super sicura generata dal gestore delle password.

Gli utenti che hanno dimenticato le password possono spesso autenticarsi nuovamente fornendo risposte a una o più domande di sicurezza. Chiedere informazioni pubblicamente disponibili come la città natale del cliente o il nome da nubile della madre è un errore enorme . Le aziende dovrebbero consentire ai clienti di definire le proprie domande e i clienti dovrebbero creare domande alle quali nessun estraneo potrebbe rispondere. Il rapporto non dice questo, ma se ti trovi di fronte a una cattiva domanda di sicurezza, ti consiglio di fornire una risposta falsa ma memorabile.

Profilazione criminale

Gli inserzionisti e le attività online profilano costantemente i consumatori in molti modi diversi. Cercano di identificare i clienti fedeli, i rischi di credito inesigibili, persino di capire chi è sano e chi no. Le tue abitudini di acquisto potrebbero determinare se ricevi o meno un coupon di sconto o quale piazzola pubblicitaria colpisce il tuo browser.

La stessa identica cosa accade nel losco mondo del cyber-crimine. Ogni violazione dei dati fornisce ai cattivi più dati e, combinando i risultati delle violazioni sovrapposte, possono creare profili molto precisi. Il white paper suggerisce che tali profili esistono già per "milioni di utenti".

Consigli per le imprese

Il white paper offre una serie di suggerimenti per le aziende online. Consiglia di archiviare solo il minimo necessario di dati personali e di non archiviare nulla per una transazione unica. Le aziende dovrebbero evitare di archiviare dati sensibili come testo normale; in particolare dovrebbero archiviare gli hash delle password, non le password. Dovrebbero inoltre consentire agli utenti di chiudere gli account, eliminando così tutti i dati personali dal sistema, inclusi i dati archiviati nei backup.

Le aziende dovrebbero presumere che accada una violazione dei dati. Il rapporto rileva che delle dieci maggiori violazioni dell'ultimo decennio, la metà si è verificata nel 2013. La preparazione per una violazione include la creazione di un canale di comunicazione alternativo per ogni utente, nel caso in cui il canale principale venga violato. Le aziende dovrebbero raggiungere in modo proattivo dopo una violazione e implementare metodi per autenticare nuovamente gli utenti a rischio, come la creazione di domande di sfida basate sull'attività dell'utente reale.

Il white paper completo, intitolato "Why Your Data Breach Is My Problem", offre moltissime informazioni utili e fruibili ed è sorprendentemente leggibile. Dare un'occhiata.

Cambia la tua password? bene. cambiare la tua ssn? Oh caro...