Video: Facebook, Twitter, Google CEOs Testify At Senate Hearing | NBC News (November 2024)
Varnost ni včasih stvar, ampak trajen proces. Niste varni, ker uporabljate določeno orodje - varni ste, ker vsak dan uporabljate varnostno miselnost.
Vzemite gesla. Opomnike slišite ves čas - ne uporabljajte več gesel na spletnih mestih, v aplikacijah in storitvah. Ne izbirajte šibkih gesel. Uporabite upravitelja gesel, da lahko izberete nadvse zapletena gesla in vam ni treba skrbeti, da bi jih poskušali zapomniti. Kadar koli je to mogoče, vklopite dvofaktorsko preverjanje pristnosti. Vse to so dobri nasveti, ki si jih morate zapomniti in upoštevati. V začetku tega tedna je moj sodelavec Neil Rubenking še korak naprej sprejel priporočilo skrbnika gesla in dejal, da je prijava na spletna mesta drugih proizvajalcev z vašimi podatki v Googlu, Facebooku, Twitterju ali drugih socialnih medijih varnostna nevarnost. Tega argumenta ne kupujem.
Videli ste, o čem govorim. Medtem ko večina storitev zahteva, da ustvarite račun iz nič, obstajajo spletna mesta, na katerih se lahko prijavite s svojimi poverilnicami za družbene medije. Expedia, na primer, omogoča prijavo s Facebookom. Ali Inoreader (moj izbrani bralnik RSS), ki vam omogoča prijavo z Googlom. To vam omogoča, da preskočite postopek ustvarjanja računa in se preprosto prijavite z računom, ki ga že imate. Prikladno, kajne? Zelo. Je to varnostno vprašanje, kot je v svojem delu povedal Neil? Št.
Kadar koli vidim spletno mesto, ki mi omogoča prijavo z drugim računom, izberem to možnost. Svojega Facebook računa ne uporabljam za prijavo (oprostite, Expedia), če pa obstaja možnost, da uporabim svoj Google Račun, to storim. Imam močno in zapleteno geslo in omogočil sem tudi dvofaktorsko preverjanje pristnosti. Torej je moj Google račun tako varen, kot ga lahko naredim, in zaupam Googlu, da bo sprejel potrebne ukrepe za varovanje mojih podatkov. Nič proti Facebooku, vendar mislim, da sem sprejel boljše ukrepe za zaščito svojega Google računa kot Facebook.
Vam zaupam? Ne
Ko pridem na spletno mesto in moram ustvariti račun, je moja prva misel: "Vam zaupam?" Ali zaupam spletnemu mestu, da bo varoval svoje podatke? Ne mislim samo gesla in številk kreditnih kartic. Ali zaupam mestu, da je sprejel vse potrebne ukrepe za zaščito moje telefonske številke, poštnega naslova in mojega rojstva v svoji bazi podatkov? Iskreno? Za večino podjetij ne, ne. Varnost aplikacij je težka - večina razvijalcev se še vedno samo uči varnih praks kodiranja - kot je učinkovito zagotavljanje baze podatkov. To je delo v teku in številnih podjetij zaradi varnosti še vedno ni. Ker ne morem naokrog spraševati podjetij, "ali vam zaupam, da boste varno zaščitili moje geslo in ga ne bodo ukradli hekerji?" Vzamem lahkotno pot in domnevam, da ne morem.
Se spomnite kršitve Gawkerja pred nekaj leti? Vsi ti e-poštni naslovi in gesla so izpostavljeni, ker Gawkerjevi razvijalci niso ukrepali, da bi jih pravilno zavarovali. Ne pravim, da je bil Gawker napačen - to je medijsko podjetje in nihče ni domislil, da bi kdo šel po sistemu za komentiranje spletnega mesta. A zgodilo se je. Kot potrošnik ne bom poskušal preveriti, katera podjetja so dovolj varnostna, da lahko zaupajo svoji aplikaciji in katera ne. Osredotočil se bom na to, kdo pravilno opravlja delo.
Pomembna stvar pri prijavi z mojimi Googlovimi poverilnicami: spletno mesto ne hrani mojega gesla ali drugih podatkov. Ko kliknem gumb Google+, sem preusmerjen na Googlovo stran in se overim proti Googlovim strežnikom. Google nato spletnemu mestu reče, da da, jaz sem tisti, za katerega pravim, da sem, in me vrne nazaj na spletno mesto. Kar pomeni, da moje informacije ostanejo pri Googlu, spletno mesto pa dobi samo žeton, ki pravi, da "se je prijavila uspešno, spusti."
Upoštevajte vse kršitve na spletnem mestu, ki smo jih videli v zadnjih dveh letih. Obstajam spletna mesta, na katera se prijavim, samo da vidim, kakšen je, in nato čez nekaj dni opustim, ker ni tisto, kar sem potrebovala. Če sem na spletnem mestu ustvaril račun, so moji podatki v podatkovni bazi tega spletnega mesta. Tudi potem, ko zapustim to spletno mesto, moj račun živi naprej. (Zato ne maram spletnih mest, ki ne dovoljujejo, da izbrišete račune, vendar je to že nekaj drugega dne.) To je veliko potencialnih krajev za krajo mojih podatkov. Če za prijavo uporabljam svoj Google Račun, potem spletna stran nima nobenih informacij o meni, ki bi jih lahko ukradli. To je pomirjujoče. Če zapustim to spletno mesto, mi Google dovoli preklicati dovoljenja za račun, tako da se nihče več ne more prijaviti kot jaz.
Pogovorimo se o preklicu. Bistvo, da Googlu, Facebooku in Twitterju omogočite, da se prijavijo, pomeni, da jih lahko uporabite tudi za blokiranje dostopa. Na primer, za prijavo v Inoreader uporabljam Google. Recite, da ne želim več uporabljati Inoreader-ja. Samo pojdem v nastavitve svojega Google Računa in kliknem na "prekliči dostop." In to je to. To je tudi razlog, zakaj uporabljam Twitter za prijavo na nekatera spletna mesta. Twitter konča zelo enostavno odklop aplikacij, ko končam.
Moj cilj je imeti čim manj baz podatkov na svetu, ki vsebujejo zapis z mojimi osebnimi podatki.
Še ena stvar, ki mi je všeč pri prijavi z Googlom: gesla, specifična za račun. Generiram naključno geslo, za katerega Google zdaj ve, da je geslo za to spletno mesto. To geslo deluje samo za to spletno mesto in ne omogoča dostopa do ničesar drugega. Namesto da bi ustvaril gesla prek upravitelja gesel in ustvaril povsem nov račun, postopek vodim pri Googlu. Uporabljam geslo, ki ni geslo e-pošte, in preskočim celoten postopek ustvarjanja računa, tako da se držim Googlovih mehanizmov. To je precej priročno, če se na primer prijavim v aplikacijo za mobilne naprave. Google zdaj ve, kako preveriti mojo identiteto in tako kot pri redni prijavi samo prekličem geslo in aplikacija se ne more več prijaviti.
Držite se komu zaupate
Neil je postavil zelo dobro vprašanje: vprašajte se, ali mora to spletno mesto vedeti kaj o vas. Ali mora spletno mesto o vas vedeti svoje ime, e-poštni naslov, fizični naslov in telefonsko številko ali druge podatke o profilu? Če ne gre, ne izročite. Hranite pri tem, komu zaupate.
Če je vaše Facebookovo geslo "Password1" in nekdo z zloglasnimi namerami to ugotovi, potem lahko ta oseba napreduje in se lahko prijavi na katero koli drugo spletno mesto, ki ste ga povezali z vašim računom. Toda kako se to razlikuje od vas, če ste za to spletno mesto izbrali "Password1"? Če uporabljate geslo, ki ga je enostavno zapomniti za e-poštno sporočilo ali spletno mesto v družabnih medijih, potem verjetno ne uporabljate niza težko zapomljivih znakov za svoj račun za pogosto prevajanje milj, kajne? Torej je tisto šibko geslo, ki kriči "Hack me!" ne pa dejstvo, da ste se prijavili z drugim računom. In če je nekdo našel vaše geslo za Google, se mi ne zdi največja skrb, ali se lahko ta oseba prijavi v svoje povezane račune. Saj ne, ko je tako enostavno samo zahtevati e-poštna sporočila o ponastavitvi gesla.
Varnost nima čarobnega naboja. Dano orodje se lahko uporablja za dobro in slabo. Vse je v tem, kako pristopite k temu. Moja prednost je, da se ne izogibam bazam podatkov. Kaj je tvoje?