Un autre mot de passe et une autre violation de données. Encore une folle ruée de questions et de pansements. Il ne s'agit pas de configuration de mot de passe, de politiques ou quoi que ce soit d'autre, mais de l'infrastructure qui a besoin d'une refonte.
J'avais envie d'écrire quelque chose sur la violation de LinkedIn, mais du point de vue de l'actualité, qu'est-ce qui est réellement nouveau?
J'ai une douzaine d'histoires ou plus dans mon dossier doc racontant la même triste histoire. Zappos, Gawker, Sony, Apple, Fox, CBS, Warner Bros.. rootkit.com, etc. etc. Je suppose que je pourrais simplement rechercher et remplacer les noms par LinkedIn, eHarmony ou Dernier.fm et modifier le nombre de comptes compromis.
L’entreprise X perd des millions de mots de passe et de données personnelles au profit des pirates Y. La société X vous demande de changer tous vos mots de passe. Les utilisateurs finaux Z ignorent ou mettent consciencieusement à jour et répètent un nouveau mot de passe sur tous leurs sites. Les forces de l'ordre enquêtent mais optent pour des beignets lorsque la courte durée d'attention d'Internet voit un autre objet brillant à admirer.
Les pirates informatiques Y réapparaissent six mois plus tard avec des escroqueries par phishing, ou pire encore, des attaques contre les entreprises comptes utilisant une combinaison de votre nom volé, de votre mot de passe et des quatre derniers chiffres de votre crédit numéro de carte.
Ce ne sont pas les mots de passe, les amis. L'infrastructure est brisée. Quelle est cette phrase sur la folie et le fait d'essayer la même chose encore et encore?
Nous diffusons nos mots de passe intelligemment conçus (pas !) partout sur Internet, faisant confiance à des entités virtuelles offrant 10 % de réduction sur notre prochain achat et promesse que nos données ne seront pas partagées volontairement - mais sans mentionner le tamis qu'est leur sécurité des années 1980 défenses.
Y a-t-il une solution? Actuellement aucune. Y a-t-il quelque chose en préparation? Oui. Cela résoudra-t-il (ou minimisera-t-il considérablement) la menace? Le temps nous le dira.
Lis le Proposition de stratégie nationale pour les identités de confiance dans le cyberespace (NSTIC), regardez ce que Google fait avec interfaces du domaine public et échanges d'attributs vérifiés back-end. Facebook est peut-être en train de transférer des données personnelles dans le secteur de la publicité, mais jusqu'à présent, il s'en sort bien avec les mots de passe. Lire à propos cadres de confiance et magasins de données personnelles.
La structure de base consiste à disposer d'un fournisseur d'identité de confiance (IdP) qui se porte garant de vous lorsque d'autres sites - appelés parties de confiance - recherchent vos informations d'authentification. Presque tous les sites sortent du jeu des mots de passe – LinkedIn, eHarmony, Last.fm, etc. etc. et le nombre de personnes déplacées se réduit à quatre ou cinq sites principaux.
Oui, il existe un argument unique, mais les contrats de responsabilité sont les incitations dont disposent les IdP pour protéger vos données. Protéger votre identité sera leur compétence principale, par opposition aux boules de fromage et au papier d'emballage des fêtes.
Ou nous pouvons continuer à fourrer nos mots de passe dans des matelas partout dans le cyberespace et espérer que le vol et le piratage de compte n’arrivent qu’aux autres. Qu'est-ce que c'était, 5 % des comptes LinkedIn compromis; il y a de fortes chances que ce ne soit pas toi (mais c'était moi cette fois).
Je ne prétends pas que tout ce travail d'infrastructure est dû à la cavalerie qui s'est rassemblée pour sauver la situation, mais comment plusieurs fois pouvons-nous recevoir des coups de pied dans le cyber-aine avant de vouloir tester le mérite d'un autre protection? S’il s’avère que cela ne fonctionne pas, passons à la série d’idées suivante.
Dans l’état actuel des choses, les jeux de carnaval organisés dans les foires rurales constituent un test plus difficile pour les pirates informatiques.
Recherchez des sites Web qui commenceront à commercialiser leurs défenses renforcées et à vanter l'adoption de SHA-2 dans le monde. petits caractères aux masses non lavées comme une amélioration par rapport à ce chétif SHA-1 sur lequel LinkedIn s'est si bêtement fié sur.
Bien sûr, 24 millions d'utilisateurs de Zappos sauront que SHA-2 ne s'est pas révélé être une pagaie une fois qu'ils ont remonté la rivière des mots de passe.
Changement. Nous en avons besoin. À votre avis, que devrait-il être?
Voir également:
- Violation de mot de passe LinkedIn: comment savoir si vous êtes concerné
- Vérification de la duplication de mot de passe dans Keychain Access et 1Password
- Facebook renforce la sécurité mobile suite à la violation de LinkedIn
- 25 mots de passe les plus utilisés révélés: le vôtre en fait-il partie ?
- La violation de Zappos met en évidence la fragilité du mot de passe et la sécurité des données personnelles
- Last.fm enquête sur un « problème de sécurité » et une violation de mot de passe