Video: Pokuty za nenošení roušek v MHD? (Listopad 2024)
Pokud dojde na webu pro nakupování online k narušení dat, zobrazí se upozornění na změnu hesla. Pokud je vaše banka napadena, pošlou vám novou kreditní kartu. Skutečný problém nastane, když vás firma autentizuje pomocí osobních údajů, které nelze změnit, jako je SSN nebo datum narození. Nový dokument společnosti NSS Labs zkoumá použití statických a dynamických informací pro autentizaci a nabízí podnikovým radám ke zlepšení zabezpečení.
Statická data
SSN nebyl nikdy míněn jako osobní identifikátor. Zpráva uvádí, že ekvivalentní identifikátor ve Velké Británii se pro ověřování nikdy nepoužívá. Jakmile bude vaše SSN odhaleno v rozporu, bude to navždy ohroženo. A to je problém.
Některé podniky se snaží chránit zákazníky ukládáním pouze posledních čtyř číslic SSN. Ukazuje se, že to není příliš efektivní. Prvních pět číslic není náhodných; jsou založeny na tom, kdy a kde jste poprvé požádali o SSN. Výzkumný projekt z doby před pěti lety analyzoval data z vládního „Death Master File“ a navrhl algoritmus pro předpovídání těchto prvních pěti číslic. S pouhými dvěma pokusy zvládli přesnost 60 procent. Pokud již kyberkroci mají poslední čtyři číslice, je vaše SSN zastaveno.
Datum narození je další datum, které prostě nelze změnit. Zpráva uvádí, že místo narození, pohlaví a občanství lze také použít k ověření, a také je nelze změnit. Dále uvádí, že „Podniky a vlády by se měly zdržet používání těchto atributů pro účely online bezpečnosti, i když historicky byly považovány za důvěrné“.
Dynamická data
Spotřebitelé musí na všech zabezpečených webech používat různá silná hesla a podniky musí tomuto úsilí pomoci, nebránit mu. Tato zpráva doporučuje všem podnikům povolit dlouhá hesla a odstranit veškerá omezení týkající se toho, jaké znaky lze použít. Je velmi odrazující, když web odmítne super bezpečné heslo vygenerované vaším správcem hesel.
Uživatelé, kteří zapomněli svá hesla, se mohou často znovu autentizovat poskytnutím odpovědí na jednu nebo více bezpečnostních otázek. Vyžádat si veřejně dostupné informace, jako je rodné město zákazníka nebo mateřské jméno matky, je obrovská chyba. Podniky by měly zákazníkům umožnit definovat své vlastní otázky a zákazníci by si měli vymýšlet otázky, na které žádný outsider nemohl odpovědět. Zpráva to neříká, ale pokud jste konfrontováni se špatnou bezpečnostní otázkou, doporučuji vám poskytnout odpověď, která je nepravdivá, ale nezapomenutelná.
Trestní profilování
Inzerenti a on-line podniky neustále profilují spotřebitele mnoha různými způsoby. Snaží se identifikovat věrné zákazníky, špatné úvěrové riziko, dokonce zjistit, kdo je zdravý a kdo ne. Vaše nákupní zvyky mohou určit, zda získáte slevový kupón nebo jaké reklamní pole zasáhne váš prohlížeč.
To samé se děje ve stinném světě počítačové kriminality. Každé porušení dat dává špatným lidem více dat a kombinací výsledků z překrývajících se porušení mohou vytvořit velmi přesné profily. V dokumentu se uvádí, že takové profily již existují pro „miliony uživatelů“.
Poradenství pro podnikání
Whitepaper nabízí řadu podnětů pro online obchody. Doporučuje uchovávat pouze nezbytné minimum osobních údajů a neukládat vůbec nic pro jednorázovou transakci. Podniky by se neměly ukládat citlivá data jako prostý text; zejména by měli ukládat hash hesla, nikoli hesla. Měli by také uživatelům umožňovat ukončení účtů, a tím vymazat všechny osobní údaje ze systému, včetně dat uložených v zálohách.
Firmy by měly předpokládat, že dojde k narušení dat. Zpráva uvádí, že z deseti největších porušení za poslední desetiletí došlo v roce 2013 k polovině. Příprava na narušení zahrnuje vytvoření alternativního komunikačního kanálu pro každého uživatele v případě porušení primárního kanálu. Podniky by měly proaktivně kontaktovat po narušení a implementovat metody pro opětovné ověření ohrožených uživatelů, jako je například vytváření výzev na základě skutečné činnosti uživatele.
Celý dokument s názvem „Proč je váš problém porušením dat“, nabízí spoustu užitečných a použitelných informací a je překvapivě čitelný. Podívej se.
