Lar Securitywatch Mude sua senha? bem. mudar seu ssn? Oh céus...

Mude sua senha? bem. mudar seu ssn? Oh céus...

Vídeo: How to Get free Social Security Number SSN for Survey Work.How To Make Money USA Sur (Novembro 2024)

Vídeo: How to Get free Social Security Number SSN for Survey Work.How To Make Money USA Sur (Novembro 2024)
Anonim

Quando um site de compras on-line sofre uma violação de dados, você recebe um aviso para alterar sua senha. Se o seu banco for invadido, eles enviarão um novo cartão de crédito. O verdadeiro problema ocorre quando uma empresa o autentica usando dados pessoais que não podem ser alterados, como seu SSN ou data de nascimento. Um novo whitepaper do NSS Labs examina o uso de informações estáticas e dinâmicas para autenticação e oferece conselhos às empresas para melhorar a segurança.

Dados estáticos

O SSN nunca foi concebido como um identificador pessoal. O relatório observa que o identificador equivalente no Reino Unido nunca é usado para autenticação. Depois que seu SSN é revelado em uma violação, ele fica comprometido para sempre. E isso é um problema.

Algumas empresas tentam proteger os clientes armazenando apenas os quatro últimos dígitos do SSN. Acontece que isso não é muito eficaz. Os cinco primeiros dígitos não são aleatórios; eles se baseiam em quando e onde você solicitou seu SSN pela primeira vez. Um projeto de pesquisa de cinco anos atrás analisou dados do "Arquivo Mestre da Morte" do governo e criou um algoritmo para prever esses cinco primeiros dígitos. Com apenas duas tentativas, eles conseguiram 60% de precisão. Se os cibercriminosos já tiverem os últimos quatro dígitos, seu SSN será ativado.

Data de nascimento é outro dado que simplesmente não pode ser alterado. O relatório observa que o local de nascimento, sexo e cidadania também podem ser usados ​​para autenticação e também não podem ser alterados. Em seguida, afirma que "empresas e governos devem abster-se de usar esses atributos para fins de segurança on-line, embora historicamente tenham sido considerados confidenciais".

Dados dinâmicos

Os consumidores precisam usar senhas fortes e diferentes para todos os sites seguros, e as empresas precisam ajudar, e não impedir, esse esforço. O relatório aconselha todas as empresas a permitir senhas longas e remover quaisquer restrições sobre quais caracteres podem ser usados. É muito desencorajador quando um site rejeita a senha super segura gerada pelo seu gerenciador de senhas.

Os usuários que esqueceram suas senhas geralmente podem se autenticar, fornecendo respostas para uma ou mais perguntas de segurança. Pedir informações publicamente disponíveis, como a cidade natal do cliente ou o nome de solteira da mãe, é um grande erro. As empresas devem permitir que os clientes definam suas próprias perguntas, e os clientes devem elaborar perguntas que nenhum estranho poderia responder. O relatório não diz isso, mas se você se deparar com uma pergunta de segurança ruim, aconselho que você forneça uma resposta que seja falsa e memorável.

Perfil criminal

Anunciantes e empresas on-line constantemente perfilam os consumidores de várias maneiras diferentes. Eles procuram identificar clientes fiéis, riscos de crédito ruins e até descobrir quem é saudável e quem não é. Seus hábitos de compra podem determinar se você recebe ou não um cupom de desconto ou qual discurso de publicidade atinge seu navegador.

Exatamente a mesma coisa acontece no mundo sombrio do crime cibernético. Toda violação de dados fornece aos bandidos mais dados e, combinando resultados de violações sobrepostas, eles podem criar perfis muito precisos. O whitepaper sugere que esses perfis já existem para "milhões de usuários".

Conselhos para empresas

O whitepaper oferece várias sugestões para empresas on-line. Aconselha o armazenamento apenas do mínimo necessário de dados pessoais e o armazenamento de nada para uma transação única. As empresas devem evitar o armazenamento de dados confidenciais como texto sem formatação; em particular, eles devem armazenar hashes de senha, não senhas. Eles também devem permitir que os usuários encerrem contas, eliminando todos os dados pessoais do sistema, incluindo dados armazenados em backups.

As empresas devem assumir que uma violação de dados ocorrerá. O relatório observa que das dez maiores violações da última década, metade ocorreu em 2013. A preparação para uma violação inclui a criação de um canal de comunicação alternativo para cada usuário, caso o canal principal seja violado. As empresas devem procurar proativamente após uma violação e implementar métodos para autenticar novamente os usuários em risco, como a criação de perguntas desafiadoras com base na atividade real do usuário.

O whitepaper completo, intitulado "Por que sua violação de dados é meu problema", oferece uma grande quantidade de informações úteis e acionáveis, e é surpreendentemente legível. Dar uma olhada.

Mude sua senha? bem. mudar seu ssn? Oh céus...