Video: Come funziona il Servizio Sanitario Nazionale (Octombrie 2024)
Când un site de cumpărături online suferă o încălcare a datelor, veți primi un avertisment pentru a vă schimba parola. Dacă banca dvs. este hacked, vă vor trimite un nou card de credit. Adevărata problemă apare atunci când o companie vă autentifică folosind date personale care nu pot fi schimbate, cum ar fi SSN-ul sau data de naștere. O nouă carte albă de la NSS Labs examinează utilizarea informațiilor statice și dinamice pentru autentificare și oferă sfaturi întreprinderilor pentru îmbunătățirea securității.
Date statice
SSN nu a fost niciodată conceput ca un identificator personal. Raportul notează că identificatorul echivalent în Marea Britanie nu este niciodată utilizat pentru autentificare. După ce SSN-ul dvs. este dezvăluit într-o încălcare, acesta este definitiv compromis. Și asta este o problemă.
Unele companii încearcă să protejeze clienții stocând doar ultimele patru cifre ale SSN. Se dovedește că acest lucru nu este foarte eficient. Primele cinci cifre nu sunt aleatorii; se bazează pe când și unde ați solicitat pentru SSN. Un proiect de cercetare de acum cinci ani a analizat datele din „fișierul principal al morții” al guvernului și a conceput un algoritm pentru a prezice primele cinci cifre. Cu doar două încercări, au reușit o precizie de 60 la sută. Dacă cybercrooks-urile au deja ultimele patru cifre, SSN-ul dvs. este gata.
Data nașterii este o altă bază de date care pur și simplu nu poate fi modificată. Raportul notează că locul de naștere, sexul și cetățenia pot fi de asemenea utilizate pentru autentificare și, de asemenea, nu pot fi schimbate. Acesta continuă să afirme că „Întreprinderile și guvernele ar trebui să se abțină de la utilizarea acestor atribute în scopuri de securitate online, deși istoric au fost considerate confidențiale”.
Date dinamice
Consumatorii trebuie să utilizeze parole puternice diferite pentru toate site-urile sigure, iar întreprinderile trebuie să ajute, nu să împiedice acest efort. Raportul recomandă tuturor întreprinderilor să permită parolele lungi și să elimine orice restricții cu privire la ce caractere pot fi utilizate. Este foarte descurajant când un site web respinge parola super-sigură generată de managerul de parole.
Utilizatorii care și-au uitat parolele se pot autentifica adesea oferind răspunsuri la una sau mai multe întrebări de securitate. Solicitarea de informații disponibile public, cum ar fi orașul natal sau numele de fată al mamei este o greșeală uriașă . Întreprinderile ar trebui să permită clienților să-și definească propriile întrebări, iar clienții ar trebui să creeze întrebări la care niciun străin nu le-ar putea răspunde. Raportul nu spune acest lucru, dar dacă vă confruntați cu o întrebare proastă de securitate, vă sfătuiesc să furnizați un răspuns neadevărat, dar memorabil.
Profilare penală
Agenții de publicitate și întreprinderile online profilează constant consumatorii în mai multe moduri diferite. Acestea caută să identifice clienții fideli, riscurile de credit proaste, chiar să-și dea seama cine este sănătos și cine nu. Obiceiurile dvs. de cumpărături ar putea determina dacă veți obține sau nu un cupon de reducere sau care este pasul publicitar care atinge browserul dvs.
Exact același lucru se întâmplă și în lumea umbră a criminalității informatice. Fiecare încălcare a datelor oferă celor răi mai multe date, și prin combinarea rezultatelor din încălcări care se suprapun, pot crea profiluri foarte precise. Cartea albă sugerează că astfel de profiluri există deja pentru „milioane de utilizatori”.
Sfaturi pentru afaceri
Cartea albă oferă o serie de sugestii pentru întreprinderile online. Acesta recomandă stocarea numai a minimului necesar de date cu caracter personal și stocarea nimic deloc pentru o tranzacție unică. Întreprinderile ar trebui să evite stocarea datelor sensibile ca text simplu; în special, ar trebui să stocheze hașe de parolă, nu parole. De asemenea, ar trebui să permită utilizatorilor să încheie conturile, ștergând astfel toate datele personale din sistem, inclusiv datele stocate în copii de rezervă.
Întreprinderile ar trebui să presupună că se va întâmpla o încălcare a datelor. Raportul notează că dintre cele zece cele mai mari încălcări din ultimul deceniu, jumătate a avut loc în 2013. Pregătirea pentru o încălcare include instituirea unui canal de comunicare alternativ pentru fiecare utilizator, în cazul în care canalul primar este încălcat. Întreprinderile ar trebui să ajungă în mod proactiv în urma unei încălcări și să implementeze metode de reautentificare a utilizatorilor cu risc, cum ar fi crearea de întrebări de provocare bazate pe activitatea utilizatorului real.
Cartea albă completă, intitulată „De ce încălcarea dvs. de date este problema mea”, oferă o mulțime de informații utile și acționabile și este surprinzător de citibilă. Uită-te.
