パスワード侵害は、ハッキングされた企業、販売者、サービス以上にエンドユーザーを苦しめます。
コーラスを聞いてください。デジタル ライフはパスワードを超えて進化する必要があります。
現実を見てください: eBay, スポティファイ, アバスト, アドビ, ヤフー, 目標, ツイッター, ザッポス, ゴーカー, ソニー、アップル(2回)、フォックス、CBS、ワーナー・ブラザース., ルートキット.com, リンクトイン, eハーモニー, Last.fm, ニーマン・マーカス・グループ・リミテッド。、 そして マイケルズ・ストアズ・インク.
全部ハッキングされてる。
多くのことを見逃してきたことは承知していますが、おそらく数週間または数日以内にさらに追加するものがあるでしょう。
企業の観点から見ると、パスワードやデータ侵害による評判の反動と経済的打撃は非常に息苦しいものになっています。 Spotify は今週、あるユーザーのデータが盗まれたことに反応し、他の約 4,000 万人の顧客にデータの変更を求めました。 パスワード。
ターゲットの侵害請求額は最終的には時価総額の2.8%に相当する10億ドルを超える可能性がある。 CIOとCEOが辞任した。 同社の2013年第4四半期利益は前年同期比46%減少した。
「大虐殺を終わらせるために 1 ~ 800 の番号に電話するか、それともパスワードが再利用された 25 ~ 30 のサイトごとにパスワードを変更して、次のステルス攻撃や侵害を待ちますか?」
エンドユーザーの大虐殺? 個人データを失うと、簡単に 20 マイル先の未知のガラスの破片になる可能性があるため、不明です。 パスワード侵害は、企業、販売者、サービスよりもエンドユーザーを苦しめます。 盗まれたパスワードは闇市場で販売され、新たなハッキングは予期せぬ珍しい角度からユーザーに襲いかかり、元のハッキングされた企業は涙の跡であまりにも隠されています。 責任のレッテルを貼られる.
生体認証データがハイジャックされるまで待ちます。 指紋や虹彩スキャンを変更したり、鼻の整形、あごのリフト、まぶたの再構築などを行って、生体認証パスコードを更新してみてください。
パスワードは常識外です。 アクセス制御はボロボロ。 そして多くの企業は、個人データを保護するのに十分な安全性や知識がない、あるいは保護する気を持っていないことを証明しています。
去年、 デロイト・カナダの研究組織は次のように述べた。 ユーザーが生成したパスワードの 90% は、ハッカーの圧力下ではほんの数秒間有効になる可能性があります。
修復に向けた次の大きなステップは何でしょうか?
消費者は最終的に自分の個人データの価値を理解し、それがプロバイダーと共有されるときの保護を要求する必要があります。 この議論は、クラウド アプリやサービスが Cisco ルーターと同じくらいネットワークの一部となっている世界に放たれた IT および企業ユーザー集団にとっても同じです。
ポネモン研究所の最近の報告書によると、過去 12 か月だけで 1 億 1,000 万人のアメリカ成人がハッカーによって個人データを暴露され、その数は合計約 4 億 3,200 万のアカウントに上ります。 そして、それらの数百万のアカウントのパスワードが他のアカウントで再利用された場合、その数は指数関数的に増加する可能性があります。
企業はまず自らを守るために協力します。
今週、Retail Industry Leaders Association と大手小売業者は、サイバー攻撃を特定して防止するための Retail Cyber Intelligence Sharing Center (RCISC) をデビューさせました。
6回のクリック
すべてのパスワードをどのように追跡していますか?
すべてのパスワードを 1 つだけ持っていれば覚えやすいですが、それが安全ではないことは誰もが知っています。 では、心配せずに、大量のそれらを追跡するにはどうすればよいでしょうか?
今すぐ読むこれは崇高な大義ではありますが、Target や eBay を含むこれらのハッキングの概要を見ると、ハッキングが発見されるずっと前に被害が生じていたことがわかります。 したがって、共有は侵害後に行われることになります。 その実績を考えると、RCISC が得る最高のものは、その経験が他のメンバーを助けるかもしれない犠牲の子羊です。 攻撃ベクトルが常に変化するため、それは負けるゲームです。
RCISC の取締役会には、Target、American Eagle Outfitters、Gap、JC Penney、Lowe's、Nike、Walgreens Co の上級幹部が含まれています。
政府機関には、米国土安全保障省、米国秘密情報局、連邦捜査局が含まれます。
こうした企業提携の使命に顧客データの保護が含まれているとしたら、FTC の消費者保護局のような機関がどこに関与するのでしょうか? FTC はデジタル ライフを無視しているわけではありません。 彼らです さらなる保護を主張する 消費者が自分の個人情報を管理できるようにするためです。
ハッキングされた企業が財務情報は侵害されていないと発表するのは不誠実です。 これは、財務データが個人データよりも価値があることを意味します。
しかし、消費者は不正なクレジットカード取引に対して責任を負わないことは周知の事実です。 Visa、MasterCard、Discover、American Express はすべて、0 ドルの賠償責任保証を提供しています。
大虐殺を終わらせるために 1 ~ 800 の番号に電話するか、それともパスワードが再利用された 25 ~ 30 のサイトごとにパスワードを変更して、次のステルス攻撃や侵害を待ちますか?
小売業者とサービスプロバイダーはパスワードゲームから抜け出す必要があります。パスワードゲームは彼らの中核的な能力ではなく、最終的には顧客、評判、収益に悪影響を及ぼします。
で 新しく登場したアーキテクチャ、アイデンティティ プロバイダー (IdP) は、認証、個人データ、その他の識別属性に対する責任、そしてさらに重要な責任を負います。 契約上になります。 それはゲームではスキンと呼ばれています。
Google、Yahoo、IT ソフトウェア ベンダーなどの IdP の間で支持されている OAuth 2.0 プロトコルは、次のようなプロアクティブな機能を提供します。 違反が発生した場合にユーザー アクセス トークンを取り消す. エンドユーザーにパスワードの変更を求める代わりに、新しいトークンを取得するために再認証するように求められます。
他にも、多要素認証、フェデレーション SSO、オンボード モバイル アクセス制御などの継続的な取り組みがあります。
おそらく、保険を発行している企業の保険責任ポリシーの高騰のようなものかもしれません。 ユーザーのパスワードを保存することで、パスワードはもはやギャンブルの価値がないことを企業幹部に納得させるかもしれない 取っています。
氾濫原にビジネスを建てる場合、災害に対する保険のために追加料金を支払うことになります。 そして、パスワードは 100 年に一度の出来事で飽和状態にあります。
このパスワードの考案者である87歳のフェルナンド・コルバト氏でさえ先週、「残念なことに、それは一種の悪夢になってしまった」と語った。
はい、それは悪夢です。 特にエンドユーザーにとっては。 彼らは、保存されている個人データが現在の標準に従って保護されると信じています。 彼らはデータが盗まれると苦しみますが、その結果を貸借対照表に計上することはできません。
パスワードの問題に対処または制限するには、さらにどのような手順が必要だと思いますか?
関連報道:
- Heartbleed の教訓: パスワードは死ななければなりません
- eBay: サイバー攻撃のためパスワードを変更する
- ドイツで1,800万件のメールアドレスとパスワードが盗まれる
- データ侵害レポートでは、認証変更に関する推奨事項が示されます