Twitters adgangskodefejl viser, at vi fortjener bedre sikkerhed.
For nylig blev Twitter ramt af hackere, der formåede at få fat i nogle brugerdata inklusive 'hashede' adgangskoder til et par hundrede tusind brugere. Det var muligt for hackere at køre programmer til adgangskodebrydning for at sammenligne millioner af ordbogsord og alternative stavemåder med listen over hashadgangskoder for at se, om nogen matchede dem.
Til Twitters kredit blev alle hurtigt kontaktet, og en nulstilling af et nulstillet kodeord blev sat på plads for alle påvirket, hvilket tvang brugerne til at indstille nye adgangskoder, hvis hackerne formåede at finde ud af, hvad deres adgangskoder var. Selvom dette på den ene side demonstrerede Twitters proaktive tilgang til sikkerhedsproblemer, viser det også en nøglesårbarhed i, hvordan vi beskytter vores private data - adgangskoden.
Vi stoler på adgangskoder hele dagen, hver dag. Fra vores iTunes-konto til webmail til pc-netværket på arbejdspladsen bruger vi kombinationer af brugernavn og adgangskoder for at holde vores digitale liv under kontrol. Jeg siger digitale liv, men der er i stigende grad kun den tyndeste af membraner mellem disse og vores faktiske, 'virkelige' liv. Hvis nogen skulle finde en notesbog med alle dine adgangskoder, der var skrevet på dens sider, kunne de ødelægge din økonomi, dit job og meget af dit sociale liv, før du kunne sige Mother's Maiden Name.
Det er over halvtreds år siden det første computeradgangskodesystem blev oprettet, og omkring fyrre siden metoden med at 'hashing' adgangskoder for at holde dem sikre blev først implementeret. Desværre har teknologien ikke flyttet meget derfra.
Problemet med adgangskoder, som enhver langvarig IT-helpdesk-drone vil fortælle dig fra bunden af deres glas, er at de enten er for lette at gætte eller for sikre til at huske. Standardrådgivningen til oprettelse af en adgangskode går således:
- brug ikke rigtige ord
- Brug ikke personlige oplysninger (mors pigenavn, navnet på dit første kæledyr), da det kan gættes eller opdages.
- Brug tal og ikke-alfanumeriske tegn, hvor det er muligt
Det er alt sammen gode råd på forsiden af det, men de er virkelig kun tre måder at sige 'gør dit kodeord så svært at huske dig er nødt til at skrive det ned på en Post-It og holde det på rammen på din skærm ', hvilket er en skam, da det fjerde råd er altid
- skriv aldrig din adgangskode ned, især ikke på en Post-It, der sidder fast på skærmens ramme
En anden rynke til adgangskodeproblemet er, at 'let at gætte' ikke betyder, at en person kan gætte. De fleste adgangskodesystemer fungerer ved hjælp af en envejsalgoritme. Du kører en adgangskode igennem den, og den skaber en 'hash' - et virvlet udseende virvar af tegn. Kun din adgangskode vil skabe den hash ved at passere algoritmen, men du kan ikke bruge hashen til at finde ud af, hvad adgangskoden er. Det er en envejsgade.
En måde for en hacker at nærme sig dette problem er noget, der kaldes et 'ordbogangreb'. De får fat i filen med hashede adgangskoder (ofte gemt relativt åbent på grund af den måde, loginkoden skal få adgang til dem) og brug software til at køre tusinder af ord gennem algoritmen, indtil de finder et, der matcher et af hashes. Hastigheden af moderne processorer betyder, at det er muligt at køre gennem flere komplette ordbøger i flere sprog plus stavefejl og 'kloge' forvirringer som at bytte 'e' mod '3' på en relativt kort tid.
Alle øjne og fingerspidser
Hvis adgangskoder er så iboende mangelfulde, hvorfor bruger vi dem så? Der har været mange foreslåede udskiftninger af adgangskoden i de sidste halvtreds år. Biometri virker som en lovende vej - hvis problemet ligger i at identificere en person, så helt sikkert unik attributter som fingeraftryk, en persons iris-mønstre eller endda deres DNA kan være bedre end en hemmelighed nøgleord. En ny idé involverer brugen af en persons hjerteslag at generere et unikt mønster.
Desværre har biometri en alvorlig fejl - de stoler på, at de ikke kan gengives. Hvis nogen skulle finde ud af en måde at kopiere dine unikke attributter på, er spillet op. Det har faktisk vist sig at være muligt. Du kan falske et fingeraftryk med et aftryk i gelatine taget fra et latent tryk på et glas. I ekstreme tilfælde kunne du altid afskære den krævede kropsdel for at svinge foran en sensor.
Værre, når dine biometri er kompromitteret, er de umulige at ændre. Du kan tænke på et nyt kodeord, men at tænke på en ny finger får dig ingen steder.
Andre ordninger involverer brug CAPTCHA'er at kryptere en vanskelig adgangskode med en let eller endda analysere din adfærd fra stemmeprint til ganggenkendelse (rytmen på din gåtur) for at bevise, at du er den, du siger, du er. Desværre er disse enten alt for komplicerede eller uprøvede. De kunne ikke kun være knækkede, men også let.
Nøgleringe eller ID-kort er en anden mulighed, men disse kan gå tabt eller stjæles, og det kan være katastrofalt at få dem i hænderne på en tyv.
Der er et citat, der tilskrives Winston Churchill, der siger: "Demokrati er den værste regeringsform undtagen alle de andre former, der er blevet prøvet." Det er det samme med adgangskoder. Ufuldkomne, men de bedste til, hvad de gør. Hvad der skal til for at gøre dem bedre.
At noget er tofaktors autentificering. Når du logger ind med brugernavn og adgangskode, udfordres du med en kode, som du skal svare på, ved hjælp af noget software til at generere det rigtige svar.
Google vil allerede lade dig opsætte dette til Gmail og vil endda gøre udfordrings- / svardelen for dig og sende dig det rigtige svar til at indtaste det. Hvis du foretrækker det, kan du bruge en app til Android eller iOS til at generere det unikke svar i stedet.
Denne form for udfordring / responsgodkendelse er risikabel alene - når alt kommer til alt kan du have din telefon stjålet og være op ad åen - men kombineret med brugernavnet / adgangskoden combo giver det et ekstra lag af Godkendelse. Afgørende er en, der er vanskelig for en hacker, der kører et ordbogangreb fra deres kælder, til at reproducere.
Google tilbyder allerede dette, men ikke som standard *. Andre websteder bør også. Du tror måske ikke, at du har brug for tofaktorautentificering på et websted som Twitter, men at give nogen adgang til et fragment af din identitet kan have uventede konsekvenser. En person, der efterligner dig på et websted, kan hjælpe dem med socialt at konstruere oplysninger fra dig eller dine venner, der kan give dem adgang til andre mere vigtige data.
De eneste ting, der forhindrer tofaktorautentificering i at starte, er omkostningerne ved at implementere den og brugeruddannelse om adgangskodesårbarheder. Sidstnævnte vil desværre blive mere udbredt, da flere steder hackes og adgangskoder omvendt konstrueres. Førstnævnte skal være noget, som vi kræver som kunder. Måske ikke for hvert websted, men for e-mail, e-handel, dating-sider og ethvert socialt medie, som vi holder af, bør være en mulighed. Der er tegn på, at Twitter planlægger at træde op og slutte sig til Google i kampen for bedre login-sikkerhed, men hvad med Yahoo Mail, Facebook, Microsoft og alle de andre websteder, som vi stoler på?
Den lidt faustiske handel, vi laver med gratis webtjenester, er dette - du giver os en nyttig service, vi giver dig data om os til at blive penge. Dermed stoler vi på websteder til at passe på disse data, og det er på tide, at flere virksomheder tager dette ansvar alvorligt.
Er du nogensinde blevet hacket? Fortæl os dine oplevelser i kommentarerne.
(* du skal dykke ned på din konto indstillinger og vi anbefaler, at du gør det.)
