Rsa: nikoli več gesel?

Google je razglasil vojno z gesli, toda Alisdair Faulkner, direktor za izdelke in soustanovitelj ThreatMetrix, meni, da se borijo proti napačni vojni. "Ideja je hvalevredna, " je dejal Faulkner. "Dejansko večina ljudi znova in znova uporablja isto preprosto geslo. Google predlaga fizično preverjanje pristnosti. Težava je v tem, da morajo kakršna koli dvofaktorska shema sprejeti tako spletna mesta kot uporabniki. In če izgubite pristnost, kaj potem?" Opozoril je tudi na težavo s preverjanjem pristnosti uporabnika med prvotno prijavo.

ThreatMetrix predlaga drugačno rešitev, tisto, za katero uporabnik ne zahteva nobenega napora. "Mi (in številni drugi) verjamemo, da moramo varnost narediti kot privzeti del vsake operacije, " je dejal Faulkner. "To bi moralo biti pasivno, ne vsiljivo. Kombinacija vašega vedenja in vaših naprav v številnih interakcijah lahko služi za identifikacijo vas in samo vas."

Deviantno vedenje

Banke sumljive transakcije prepoznajo tako, da opazijo odstopanja od običajnih vzorcev. ThreatMetrix uporablja isto logiko pri spletnem preverjanju pristnosti. O vas osebno ne vedo nič, vendar na primer vedo, da se določen e-poštni račun običajno poveže s tremi določenimi napravami, običajno v Kaliforniji. Če se ta račun nenadoma začne povezovati večkrat hkrati z neznanimi napravami, morda na Kitajskem, je to rdeča zastava.

"Banke, spletna mesta za e-trgovino in nekatera največja tehnološka podjetja uporabljajo ThreatMetrix, " je dejal Faulkner. "Pazijo na znake prevzema računa in goljufije s kreditnimi karticami in ga uporabljajo za potrditev novega vpisa." Poudaril je, da podjetje strogo išče vzorce podatkov, ne pa nikogar osebnih podatkov.

Kjer vsi vedo vaše ime

Zame ima veliko smisla. Ko hodim po konferenci RSA, mi ljudje, ki me poznajo, rečejo "Živjo!" In ljudje, ki moje značke ne pregledajo. Če bi privlačna mlada ženska nosila mojo značko, nihče ne bi verjel, da sem jaz; značka ni moja identiteta. Ni mi treba vnesti gesla za vstop v novinarsko sobo; vedo, kdo sem. Načrt ThreatMetrix razširi znanje o tem, kdo ste v kibernetskem prostoru.

Vprašal sem Faulknerja, kaj pa lažni pozitivni rezultati? Mnogi od nas imajo izkušnje s kreditnimi karticami, ker smo opravili nakup na nenavadni lokaciji. Ali ThreatMetrix ne more zmotno blokirati mojega dostopa do, recimo, bančnega spletnega mesta? "Ponujamo kontekst, " je odgovoril, "vendar nismo izvajalec. Spletno mesto se lahko odloči, da bo transakcijo zavrglo ali da bo podvrženo dodatnemu pregledu. Razen če je očitno goljufivo, je verjetno ne bi zanikali."

Bančna industrija že uporablja podobne tehnike za označevanje potencialno tveganih transakcij. V celoti vidim, kako razširiti ta model na avtentikacijo spletnega mesta. Seveda se lahko zgodi le s skoraj univerzalno udeležbo. Če je dosežen ta visok cilj, se nam morda ne bo treba več spomniti gesla, kot je 8l3yO5JgtxIC ali CorrectHorseBatteryStaple.

Če si želite ogledati vse objave iz našega poročila o RSA, si oglejte našo stran Pokaži poročila.