Le violazioni delle password torturano gli utenti finali più dell'azienda, del commerciante o del servizio violato.
Ascolta il ritornello: la vita digitale deve evolversi oltre le password.
Guarda la realtà: eBay, Spotify, Avast, Adobe, Yahoo, Bersaglio, Twitter, Zappos, Gawker, Sony, Apple (due volte), Fox, CBS, Warner Bros., rootkit.com, LinkedIn, eHarmony, Last.fm, Neiman Marcus Group Ltd., E Michaels Store Inc.
Tutto hackerato.
So che ne ho persi molti, ma probabilmente ce ne saranno altri da aggiungere tra qualche settimana o addirittura qualche giorno.
Dal punto di vista aziendale, il contraccolpo sulla reputazione e il danno finanziario derivante da una password o da una violazione dei dati è diventato così soffocante Spotify ha reagito questa settimana al furto dei dati di un singolo utente chiedendo a quasi 40 milioni di altri clienti di modificare i propri Le password.
Il conto in caso di violazione di Target potrebbe alla fine superare il miliardo di dollari, ovvero il 2,8% della sua capitalizzazione di mercato. Il CIO e l'amministratore delegato si sono dimessi. Anno su anno, i profitti del quarto trimestre 2013 sono diminuiti del 46%.
"Preferiresti chiamare un numero 1-800 per porre fine alla carneficina o cambiare una password su ciascuno dei 25-30 siti in cui è stata riutilizzata e poi attendere il prossimo attacco o violazione furtiva?"
La carneficina degli utenti finali? Sconosciuto perché la perdita dei propri dati personali può facilmente trasformarsi in 20 miglia di vetri rotti inesplorati. Le violazioni delle password torturano gli utenti finali più dell'azienda, del commerciante o del servizio. Le password rubate vengono vendute sul mercato nero e nuovi attacchi arrivano agli utenti da angolazioni inaspettate e insolite, e con l'azienda originale compromessa troppo oscurata dalla scia di lacrime essere etichettato come responsabilità.
Attendi fino a quando i tuoi dati biometrici non verranno violati. Prova a cambiare l'impronta digitale o la scansione dell'iride, oppure a sottoporti a un lavoro al naso, al sollevamento del mento o alla ricostruzione della palpebra, per aggiornare i tuoi codici di accesso biometrici.
Le password sono fuori dai binari. Controllo degli accessi a brandelli. E molte aziende stanno dimostrando di non essere abbastanza sicure o sufficientemente esperte da proteggere i dati personali, o di non preoccuparsi di farlo.
L'anno scorso, Lo ha affermato l’organizzazione di ricerca di Deloitte Canada Il 90% delle password generate dagli utenti sarebbero rilevanti per pochi secondi sotto la pressione degli hacker.
Qual è il grande passo successivo verso la riparazione?
I consumatori devono finalmente comprendere il valore dei propri dati personali e chiedere protezione quando vengono condivisi con i fornitori. L’argomento è lo stesso per le popolazioni di utenti IT e aziendali lasciate libere in un mondo in cui le app e i servizi cloud fanno parte della rete tanto quanto un router Cisco.
Un recente rapporto del Ponemon Institute afferma che 110 milioni di adulti americani hanno visto i propri dati personali esposti da parte di hacker solo negli ultimi 12 mesi, per un totale di circa 432 milioni di account. E quel numero potrebbe crescere esponenzialmente se le password di quei milioni di account venissero riutilizzate su altri account.
Le aziende si stanno innanzitutto alleando per proteggersi.
Questa settimana, la Retail Industry Leaders Association e i principali rivenditori hanno inaugurato il Retail Cyber Intelligence Sharing Center (RCISC) per identificare e prevenire gli attacchi informatici.
Sei clic
Come tieni traccia di tutte le tue password?
Se hai una sola password per tutto è facile da ricordare, ma sappiamo tutti che non è sicura. Allora come puoi tenerne traccia di un gran numero senza preoccuparti?
Leggi oraÈ una causa nobile, ma il profilo di questi hack, inclusi Target ed eBay, mostra che il danno è stato fatto ben prima ancora che gli hack venissero scoperti. Quindi la condivisione avverrebbe dopo la violazione. Con questo track record, il meglio che RCISC otterrà sarà un agnello sacrificale la cui esperienza potrebbe aiutare altri membri. Con i vettori di attacco in continua evoluzione, è una partita persa da giocare.
Il consiglio di amministrazione di RCISC comprende dirigenti senior di Target, American Eagle Outfitters, Gap, JC Penney, Lowe's, Nike e Walgreens Co.
Le agenzie governative includono il Dipartimento per la sicurezza interna degli Stati Uniti, i servizi segreti statunitensi e il Federal Bureau of Investigation.
Se queste alleanze aziendali includono nella loro missione la protezione dei dati dei clienti, dove si trova nell’equazione un’agenzia come il Consumer Protection Bureau della FTC? La FTC non ignora la vita digitale. Sono invocando una maggiore tutela in modo che i consumatori possano controllare le proprie informazioni personali.
È falso che un’azienda hackerata annunci che le informazioni finanziarie non sono state violate. Ciò implica che i dati finanziari sono più preziosi dei dati personali.
Ma è risaputo che i consumatori non sono responsabili per transazioni con carta di credito non autorizzate. Visa, MasterCard, Discover e American Express offrono tutte garanzie di responsabilità pari a $ 0.
Preferiresti chiamare un numero 1-800 per porre fine alla carneficina o cambiare una password su ciascuno dei 25-30 siti in cui è stata riutilizzata e poi attendere il prossimo attacco o violazione furtiva?
I rivenditori e i fornitori di servizi devono uscire dal gioco delle password, non è la loro competenza principale e alla fine danneggiano i loro clienti, la loro reputazione e i loro profitti.
In un architettura nuova ed emergente, i fornitori di identità (IdP) si assumeranno la responsabilità, e soprattutto la responsabilità, dell'autenticazione, dei dati personali e di altri attributi identificativi. Sarà contrattuale. Si chiama skin nel gioco.
Il protocollo OAuth 2.0, che sta guadagnando il favore degli IdP come Google, Yahoo e i fornitori di software IT, offre la capacità proattiva di revocare i token di accesso dell'utente in caso di violazione. Invece di chiedere agli utenti finali di modificare le password, viene loro chiesto di autenticarsi nuovamente per ottenere un nuovo token.
E ci sono altri sforzi in corso, tra cui l’autenticazione a più fattori, l’SSO federato e i controlli di accesso mobile integrati.
Forse qualcosa come un aumento vertiginoso delle polizze di responsabilità assicurativa per le società che emettono e memorizzare le password degli utenti potrebbe convincere i dirigenti aziendali che le password non rappresentano più una scommessa prendendo.
Quando costruisci la tua attività in una pianura alluvionale, paghi un extra per assicurarti contro i disastri. E le password sono nel pieno di un evento centenario.
Anche l’inventore della password, Fernando Corbató, 87 anni, ha detto la settimana scorsa: “purtroppo è diventato una specie di incubo”.
Sì, è un incubo. Per gli utenti finali, soprattutto. Confidano che i loro dati personali memorizzati saranno protetti secondo gli standard attuali; soffrono quando i loro dati vengono rubati e non possono cancellare le conseguenze sui loro bilanci.
Quali passaggi aggiuntivi ritieni siano necessari per affrontare o limitare il problema della password?
Copertura correlata:
- La lezione di Heartbleed: le password devono morire
- eBay: modifica le tue password a causa di un attacco informatico
- Rubati 18 milioni di indirizzi email e password in Germania
- Il rapporto sulla violazione dei dati fornisce consigli per le modifiche all'autenticazione