Video: Wijziging naam gebruikersaccount (SchoonePC instructievideo 03) (November 2024)
Wanneer een online winkelsite lijdt aan een gegevenslek, krijgt u een waarschuwing om uw wachtwoord te wijzigen. Als uw bank is gehackt, sturen ze u een nieuwe creditcard. Het echte probleem doet zich voor wanneer een bedrijf u authenticeert met behulp van persoonlijke gegevens die niet kunnen worden gewijzigd, zoals uw SSN of geboortedatum. Een nieuw whitepaper van NSS Labs onderzoekt het gebruik van statische en dynamische informatie voor authenticatie en biedt bedrijven advies voor het verbeteren van de beveiliging.
Statische gegevens
De SSN was nooit bedoeld als een persoonlijke identificatie. Het rapport merkt op dat de equivalente identifier in het VK nooit wordt gebruikt voor authenticatie. Zodra uw SSN in een inbreuk wordt onthuld, is het voor altijd aangetast. En dat is een probleem.
Sommige bedrijven proberen klanten te beschermen door alleen de laatste vier cijfers van het SSN op te slaan. Het blijkt dat dit niet erg effectief is. De eerste vijf cijfers zijn niet willekeurig; ze zijn gebaseerd op wanneer en waar u uw SSN voor het eerst hebt aangevraagd. Een onderzoeksproject van vijf jaar geleden analyseerde gegevens uit het "Death Master File" van de overheid en bedacht een algoritme om die eerste vijf cijfers te voorspellen. Met slechts twee pogingen wisten ze een nauwkeurigheid van 60 procent te bereiken. Als cybercriminelen de laatste vier cijfers al hebben, wordt uw SSN gepwnd.
Geboortedatum is een ander gegeven dat gewoon niet kan worden gewijzigd. Het rapport merkt op dat geboorteplaats, geslacht en burgerschap ook kunnen worden gebruikt voor authenticatie en ook niet kunnen worden gewijzigd. Er staat verder dat "ondernemingen en overheden deze attributen niet mogen gebruiken voor online beveiligingsdoeleinden, hoewel ze historisch gezien als vertrouwelijk werden beschouwd."
Dynamische gegevens
Consumenten moeten verschillende sterke wachtwoorden gebruiken voor alle beveiligde sites en bedrijven moeten deze inspanning helpen, niet hinderen. Het rapport adviseert alle bedrijven om lange wachtwoorden toe te staan en alle beperkingen op te heffen welke tekens kunnen worden gebruikt. Het is zeer ontmoedigend wanneer een website het superveilige wachtwoord weigert dat door uw wachtwoordbeheerder is gegenereerd.
Gebruikers die hun wachtwoord zijn vergeten, kunnen vaak opnieuw verifiëren door antwoorden te geven op een of meer beveiligingsvragen. Het vragen van openbaar beschikbare informatie zoals de geboorteplaats van de klant of de meisjesnaam van de moeder is een grote fout. Bedrijven moeten klanten toestaan hun eigen vragen te definiëren, en klanten moeten vragen maken die geen enkele buitenstaander kan beantwoorden. Het rapport zegt dit niet, maar als u wordt geconfronteerd met een slechte beveiligingsvraag, raad ik u aan een antwoord te geven dat onwaar maar toch memorabel is.
Criminal Profiling
Adverteerders en online bedrijven profileren consumenten voortdurend op veel verschillende manieren. Ze proberen loyale klanten, slechte kredietrisico's te identificeren en er zelfs achter te komen wie gezond is en wie niet. Uw winkelgewoonten kunnen bepalen of u een kortingsbon krijgt of welke advertentiepitch uw browser bereikt.
Precies hetzelfde gebeurt in de schaduwrijke wereld van cybercriminaliteit. Elke datalek geeft de slechteriken meer gegevens, en door resultaten van overlappende inbreuken te combineren, kunnen ze zeer nauwkeurige profielen maken. Het whitepaper suggereert dat dergelijke profielen al bestaan voor 'miljoenen gebruikers'.
Advies voor bedrijven
Het whitepaper biedt een aantal suggesties voor online bedrijven. Het adviseert om alleen het noodzakelijke minimum aan persoonlijke gegevens op te slaan en helemaal niets op te slaan voor een eenmalige transactie. Bedrijven moeten het opslaan van gevoelige gegevens als platte tekst vermijden; in het bijzonder moeten ze wachtwoordhashes opslaan, geen wachtwoorden. Ze moeten gebruikers ook in staat stellen accounts te beëindigen, waardoor alle persoonlijke gegevens van het systeem worden gewist, inclusief gegevens die in back-ups zijn opgeslagen.
Bedrijven moeten ervan uitgaan dat een datalek zal plaatsvinden. In het rapport wordt opgemerkt dat van de tien grootste inbreuken in het afgelopen decennium de helft plaatsvond in 2013. De voorbereiding op een inbreuk omvat het instellen van een alternatief communicatiekanaal voor elke gebruiker, voor het geval het primaire kanaal wordt geschonden. Bedrijven moeten na een inbreuk proactief contact opnemen en methoden implementeren om gebruikers die risico lopen opnieuw te authenticeren, zoals het stellen van uitdagingsvragen op basis van daadwerkelijke gebruikersactiviteit.
De volledige whitepaper, getiteld "Waarom uw datalek mijn probleem is", biedt een schat aan nuttige en bruikbare informatie en is verrassend leesbaar. Even kijken.
