Video: I-Team: New Phone Scam Works to Steal Your SSN (Oktober 2024)
Ko spletno mesto za spletno nakupovanje utrpi kršitev podatkov, boste dobili opozorilo o spremembi gesla. Če je vaša banka vlomljena, vam bodo poslali novo kreditno kartico. Prava težava se pojavi, ko vas podjetje overi z osebnimi podatki, ki jih ni mogoče spremeniti, na primer s SSN ali rojstnim datumom. Nova bela knjiga laboratorija NSS preučuje uporabo statičnih in dinamičnih informacij za preverjanje pristnosti in podjetjem ponuja nasvete za izboljšanje varnosti.
Statični podatki
SSN ni bil nikoli mišljen kot osebni identifikator. Poročilo ugotavlja, da se enakovredni identifikator v Veliki Britaniji nikoli ne uporablja za preverjanje pristnosti. Ko je SSN razkrit, je za vedno ogrožen. In to je težava.
Nekatera podjetja poskušajo zaščititi stranke tako, da shranijo samo zadnje štiri številke SSN. Izkazalo se je, da to ni zelo učinkovito. Prvih pet števk ni naključno; temeljijo na tem, kdaj in kje ste se prvič prijavili za SSN. Raziskovalni projekt izpred petih let je analiziral podatke iz vladne datoteke "Master Master File" in izdelal algoritem za napoved prvih pet števk. Z le dvema poskusoma jim je uspelo 60-odstotno natančnost. Če imajo cybercrooks že zadnje štiri številke, je vaš SSN prekinjen.
Datum rojstva je še en podatek, ki ga preprosto ni mogoče spremeniti. Poročilo navaja, da se lahko rojstni kraj, spol in državljanstvo uporabljajo tudi za preverjanje pristnosti in ga tudi ni mogoče spremeniti. Nadalje trdi, da "bi se morala podjetja in vlade vzdržati uporabe teh atributov za namene spletne varnosti, čeprav v preteklosti veljajo za zaupne."
Dinamični podatki
Potrošniki morajo uporabljati različno močna gesla za vsa varna spletna mesta, podjetja pa morajo pri tem prizadevanju pomagati, ne ovirati. Poročilo vsem podjetjem svetuje, naj dovolijo dolga gesla in odstranijo vse omejitve glede uporabe znakov. Zelo odvrača, ko spletno mesto zavrne super varno geslo, ki ga je ustvaril vaš skrbnik.
Uporabniki, ki so pozabili gesla, se lahko pogosto znova potrdijo z odgovorom na eno ali več varnostnih vprašanj. Prositi za javno dostopne informacije, kot so domači kraj stranke ali dekliški priimek matere, je velika napaka. Podjetja morajo strankam omogočiti, da sami določijo svoja vprašanja, kupci pa naj oblikujejo vprašanja, na katera noben zunanji sodelavec ne bi mogel odgovoriti. Poročilo tega ne pravi, če pa se spopadate s slabim varnostnim vprašanjem, svetujem, da predložite odgovor, ki je še nepomemben.
Kazensko profiliranje
Oglaševalci in spletna podjetja neprestano profilirajo potrošnike na več različnih načinov. Z njimi želijo prepoznati zveste stranke, slaba kreditna tveganja, celo ugotoviti, kdo je zdrav in kdo ne. Vaše navade pri nakupovanju lahko določijo, ali prejmete kupon za popust ali kateri oglaševalski odmik zadene vaš brskalnik.
Natanko se dogaja v senčnem svetu kibernetskega kriminala. Vsaka kršitev podatkov daje slabim fantom več podatkov in s kombiniranjem rezultatov zaradi prekrivajočih se kršitev lahko ustvarijo zelo natančne profile. Bele knjige kažejo, da takšni profili že obstajajo za "milijone uporabnikov".
Svetovanje za podjetja
Preglednica ponuja številne predloge za spletna podjetja. Svetuje shranjevanje le potrebnega minimuma osebnih podatkov in za enkratno shranjevanje ničesar. Podjetja naj se izogibajo shranjevanju občutljivih podatkov v navadnem besedilu; zlasti bi morali shranjevati šifre gesla in ne gesla. Uporabnikom bi morali omogočiti tudi ukinitev računov in s tem izbrisati vse osebne podatke iz sistema, vključno s podatki, shranjenimi v varnostnih kopijah.
Podjetja bi morala domnevati, da se bo zgodila kršitev podatkov. Poročilo navaja, da se je od desetih največjih kršitev v zadnjem desetletju polovica zgodila leta 2013. Priprava na kršitev vključuje vzpostavitev nadomestnega komunikacijskega kanala za vsakega uporabnika, če je primarni kanal kršen. Podjetja bi morala proaktivno priti v stik po kršitvi in uvesti metode za ponovno overjanje ogroženih uporabnikov, na primer ustvarjanje izzivnih vprašanj na podlagi dejanske uporabniške dejavnosti.
Celotna bela knjiga z naslovom "Zakaj je vaša kršitev podatkov moja težava" ponuja veliko koristnih in uporabnih informacij in je presenetljivo berljiva. Poglej.
