וִידֵאוֹ: I-Team: New Phone Scam Works to Steal Your SSN (אוֹקְטוֹבֶּר 2024)
כאשר אתר קניות מקוון סובל מהפרת נתונים, תקבל אזהרה לשנות את הסיסמה שלך. אם הבנק שלך נפרץ, הם ישלחו לך כרטיס אשראי חדש. הבעיה האמיתית מתרחשת כאשר עסק מאמת אותך באמצעות נתונים אישיים שלא ניתן לשנותם, כמו ה- SSN או תאריך הלידה שלך. נייר לבן חדש ממעבדות NSS בוחן את השימוש במידע סטטי ודינאמי לאימות, ומציע לעסקים ייעוץ לשיפור האבטחה.
נתונים סטטיים
ה- SSN מעולם לא נועד כמזהה אישי. הדו"ח מציין כי המזהה המקביל בבריטניה לעולם אינו משמש לאימות. ברגע ש- SSN שלך נחשף בהפרה, הוא נפגע לנצח. וזו בעיה.
עסקים מסוימים מנסים להגן על לקוחות על ידי אחסון של ארבע הספרות האחרונות של ה- SSN בלבד. מסתבר שזה לא יעיל במיוחד. חמש הספרות הראשונות אינן אקראיות; הם מבוססים על מתי ואיפה הגשת לראשונה בקשה ל- SSN שלך. פרויקט מחקר מלפני חמש שנים ניתח נתונים מ"קובץ אב המוות "של הממשלה ומצא אלגוריתם כדי לחזות את חמש הספרות הראשונות. עם שני ניסיונות בלבד הם הצליחו 60 אחוז דיוק. אם יש לרשת הסייבר כבר ארבע הספרות האחרונות, ה- SSN שלך נוצר.
תאריך הלידה הוא נתון נוסף שפשוט לא ניתן לשנות. הדו"ח מציין כי מקום לידה, מין ואזרחות עשויים לשמש גם לאימות, וגם לא ניתן לשנותם. הוא ממשיך ואומר כי "על ארגונים וממשלות להימנע משימוש בתכונות אלה למטרות אבטחה מקוונות, אם כי באופן היסטורי הם נחשבו לסודיים."
נתונים דינמיים
צרכנים צריכים להשתמש בסיסמאות חזקות שונות לכל האתרים המאובטחים, ועסקים צריכים לעזור, ולא להפריע, למאמץ זה. הדוח ממליץ לכל העסקים להתיר סיסמאות ארוכות ולהסיר כל מגבלה באילו תווים ניתן להשתמש. זה מאוד מייאש כשאתר דוחה את הסיסמה המאובטחת-סופר שנוצרה על ידי מנהל הסיסמאות שלך.
משתמשים ששכחו את הסיסמאות שלהם יכולים לרוב לאמת מחדש על ידי מתן תשובות לשאלת אבטחה אחת או יותר. לבקש מידע הזמין לציבור כמו עיר הולדתו של הלקוח או שם הנעורים של האם זו טעות עצומה . עסקים צריכים לאפשר ללקוחות להגדיר את השאלות שלהם, ולקוחות צריכים ליצור שאלות ששום חוץ לא יוכל לענות עליהן. הדו"ח לא אומר זאת, אך אם אתה נתקל בשאלת אבטחה גרועה, אני ממליץ לך לספק תשובה לא נכונה ועם זאת בלתי נשכחת.
פרופיל פלילי
מפרסמים ועסקים מקוונים מתעדכנים כל העת בצרכנים בדרכים רבות ושונות. הם נראים לזהות לקוחות נאמנים, סיכוני אשראי רעים, ואפילו להבין מי בריא ומי לא. הרגלי הקניות שלך עשויים לקבוע אם אתה מקבל קופון הנחה או לא, או איזה מגרש פרסום פוגע בדפדפן שלך.
אותו הדבר בדיוק קורה בעולם המוצל של פשעי הסייבר. כל הפרת נתונים מעניקה לרעים יותר נתונים, ועל ידי שילוב של תוצאות מהפרות חופפות הם יכולים ליצור פרופילים מדויקים מאוד. נייר הלבן מציע שפרופילים כאלה קיימים כבר עבור "מיליוני משתמשים".
ייעוץ לעסקים
נייר הלבן מציע מספר הצעות לעסקים מקוונים. הוא ממליץ לאחסן רק את המינימום הדרוש לנתונים אישיים, ולאחסן שום דבר בכלל לצורך עסקה חד פעמית. עסקים צריכים להימנע מאחסון נתונים רגישים כטקסט רגיל; במיוחד עליהם לאחסן hash סיסמאות, לא סיסמאות. עליהם גם לאפשר למשתמשים לסיים חשבונות, ובכך למחוק את כל הנתונים האישיים מהמערכת, כולל נתונים המאוחסנים בגיבויים.
עסקים צריכים להניח שפרצת נתונים תתרחש. הדו"ח מציין כי מתוך עשר הפרצות הגדולות בעשור האחרון, המחצית התרחשה בשנת 2013. ההכנה לפריצה כוללת הקמת ערוץ תקשורת חלופי לכל משתמש, למקרה שהערוץ הראשי יופר. על עסקים לשלוח ידיים באופן יזום לאחר הפרה, וליישם שיטות לאימות מחדש של משתמשים בסיכון, כמו יצירת שאלות אתגר המבוססות על פעילות ממשית של המשתמשים.
נייר הלבן המלא שכותרתו "מדוע הפרת הנתונים שלך הוא הבעיה שלי" מציע שפע של מידע שימושי וניתן לפעולה, וזה קריא באופן מפתיע. תסתכל.
