Rsa: geen wachtwoorden meer, ooit?

Google heeft de oorlog verklaard op wachtwoorden, maar Alisdair Faulkner Chief Products Officer en mede-oprichter van ThreatMetrix, denkt dat ze de verkeerde oorlog voeren. "Het idee is lovenswaardig, " zei Faulkner. "De facto gebruiken de meeste mensen steeds weer hetzelfde eenvoudige wachtwoord. Google stelt een fysieke authenticator voor. Het probleem is dat elke vorm van tweefactorschema's zowel door sites als door gebruikers moet worden overgenomen. En als u uw authenticator verliest, wat dan?" Hij wees ook op het probleem van het authenticeren van een gebruiker tijdens de eerste aanmelding.

ThreatMetrix stelt een andere oplossing voor, die geen enkele inspanning van de gebruiker vereist. "Wij (en vele anderen) zijn van mening dat we beveiliging tot een standaardonderdeel van elke operatie moeten maken, " zei Faulkner. "Het moet passief zijn, niet opdringerig. De combinatie van uw gedrag en uw apparaten via vele interacties kan dienen om u te identificeren, en alleen u."

Afwijkend gedrag

Banken identificeren verdachte transacties door afwijkingen van normale patronen vast te stellen. ThreatMetrix past dezelfde soort logica toe op online authenticatie. Ze weten niet noodzakelijk iets over u persoonlijk, maar ze weten bijvoorbeeld wel dat een bepaald e-mailaccount normaal gesproken verbinding maakt vanaf drie bepaalde apparaten, meestal in Californië. Als dat account plotseling meerdere keren tegelijk verbinding maakt vanaf onbekende apparaten, misschien in China, is dat een rode vlag.

"Banken, e-commercesites en enkele van de grootste technologiebedrijven gebruiken ThreatMetrix, " zei Faulkner. "Ze letten op tekenen van accountovername en creditcardfraude en gebruiken deze om nieuwe inschrijving te valideren." Hij benadrukte dat het bedrijf strikt zoekt naar patronen in gegevens, niet naar persoonlijke informatie van iemand.

Waar iedereen je naam kent

Het is heel logisch voor mij. Wanneer ik door de RSA-conferentie loop, zeggen mensen die mij kennen "Hallo !, " en mensen die mijn badge niet controleren. Als een aantrekkelijke jonge vrouw mijn insigne droeg, zou niemand geloven dat zij mij is; het embleem is niet mijn identiteit. Ik hoef geen wachtwoord in te voeren om naar de perskamer te gaan; ze weten wie ik ben. Het ThreatMetrix-plan wordt uitgebreid met weten wie u bent in cyberspace.

Ik vroeg Faulkner, hoe zit het met valse positieven? Velen van ons hebben creditcard-holdings ervaren omdat we op een ongebruikelijke locatie een aankoop hebben gedaan. Kon ThreatMetrix mijn toegang tot bijvoorbeeld een banksite niet ten onrechte blokkeren? "We bieden context, " antwoordde hij, "maar wij zijn niet de handhaver. De site kan besluiten de transactie te weigeren of aan extra onderzoek te onderwerpen. Tenzij het overduidelijk frauduleus is, zullen ze het waarschijnlijk niet volledig ontkennen."

De banksector gebruikt al vergelijkbare technieken om mogelijk risicovolle transacties te markeren. Ik zie helemaal dat dat model wordt uitgebreid naar website-authenticatie. Natuurlijk kan het alleen gebeuren met bijna universele participatie. Als dat verheven doel wordt bereikt, hoeven we misschien nooit meer een wachtwoord zoals 8l3yO5JgtxIC of CorrectHorseBatteryStaple te onthouden.

Ga naar onze pagina Rapporten weergeven om alle berichten van onze RSA-dekking te zien.