Video: Windows 10 - Benutzer Account knacken bzw. Passwort zurücksetzen (Dezember 2024)
Wenn eine Online-Shopping-Website einen Datenverstoß aufweist, werden Sie gewarnt, Ihr Passwort zu ändern. Wenn Ihre Bank gehackt wird, erhalten Sie eine neue Kreditkarte. Das eigentliche Problem tritt auf, wenn ein Unternehmen Sie anhand von personenbezogenen Daten authentifiziert, die nicht geändert werden können, z. B. Ihre SSN oder Ihr Geburtsdatum. Ein neues Whitepaper von NSS Labs untersucht die Verwendung statischer und dynamischer Informationen für die Authentifizierung und bietet Unternehmen Tipps zur Verbesserung der Sicherheit.
Statische Daten
Die SSN war niemals als persönliche Kennung gedacht. Der Bericht stellt fest, dass die entsprechende Kennung in Großbritannien niemals für die Authentifizierung verwendet wird. Sobald Ihre SSN in einer Sicherheitslücke aufgedeckt wird, ist sie für immer gefährdet. Und das ist ein Problem.
Einige Unternehmen versuchen, Kunden zu schützen, indem sie nur die letzten vier Ziffern der SSN speichern. Es stellt sich heraus, dass dies nicht sehr effektiv ist. Die ersten fünf Ziffern sind nicht zufällig. Sie basieren darauf, wann und wo Sie Ihre SSN zum ersten Mal beantragt haben. Ein Forschungsprojekt von vor fünf Jahren analysierte Daten aus der "Death Master File" der Regierung und entwickelte einen Algorithmus, um diese ersten fünf Ziffern vorherzusagen. Mit nur zwei Versuchen schafften sie eine Genauigkeit von 60 Prozent. Wenn Cybercrooks bereits die letzten vier Ziffern haben, ist Ihre SSN pwned.
Das Geburtsdatum ist ein weiteres Datum, das nicht geändert werden kann. In dem Bericht wird darauf hingewiesen, dass Geburtsort, Geschlecht und Staatsangehörigkeit auch für die Authentifizierung verwendet werden können und auch nicht geändert werden können. Weiter heißt es: "Unternehmen und Regierungen sollten diese Attribute nicht für Online-Sicherheitszwecke verwenden, obwohl sie in der Vergangenheit als vertraulich eingestuft wurden."
Dynamische Daten
Verbraucher müssen für alle sicheren Websites unterschiedliche sichere Kennwörter verwenden, und Unternehmen müssen diese Bemühungen unterstützen, nicht behindern. In dem Bericht wird allen Unternehmen empfohlen, lange Kennwörter zuzulassen und Einschränkungen für die Verwendung von Zeichen aufzuheben. Es ist sehr entmutigend, wenn eine Website das von Ihrem Passwort-Manager generierte supersichere Passwort ablehnt.
Benutzer, die ihr Kennwort vergessen haben, können sich häufig erneut authentifizieren, indem sie eine oder mehrere Sicherheitsfragen beantworten. Es ist ein großer Fehler, nach öffentlich zugänglichen Informationen wie der Heimatstadt des Kunden oder dem Mädchennamen der Mutter zu fragen. Unternehmen sollten es Kunden ermöglichen, ihre eigenen Fragen zu definieren, und Kunden sollten Fragen erstellen, die kein Außenstehender beantworten kann. Der Bericht sagt dies nicht aus, aber wenn Sie mit einer schlechten Sicherheitsfrage konfrontiert sind, rate ich Ihnen, eine Antwort zu liefern, die unwahr und doch einprägsam ist.
Kriminelle Profilerstellung
Werbetreibende und Online-Unternehmen profilieren die Verbraucher ständig auf unterschiedliche Weise. Sie suchen nach loyalen Kunden, nach schlechten Kreditrisiken und finden sogar heraus, wer gesund ist und wer nicht. Ihre Einkaufsgewohnheiten bestimmen möglicherweise, ob Sie einen Rabattgutschein erhalten oder nicht oder welcher Werbeplatz auf Ihren Browser trifft.
Genau dasselbe passiert in der schattigen Welt des Cyber-Verbrechens. Jeder Datenverstoß gibt den Bösewichten mehr Daten und durch die Kombination von Ergebnissen aus überlappenden Verstößen können sie sehr genaue Profile erstellen. Das Whitepaper schlägt vor, dass solche Profile bereits für "Millionen von Benutzern" existieren.
Beratung für Unternehmen
Das Whitepaper bietet eine Reihe von Vorschlägen für Online-Unternehmen. Es wird empfohlen, nur das erforderliche Minimum an persönlichen Daten zu speichern und für eine einmalige Transaktion überhaupt nichts zu speichern. Unternehmen sollten es vermeiden, sensible Daten als Nur-Text zu speichern. Insbesondere sollten sie Passwort-Hashes speichern, keine Passwörter. Sie sollten es Benutzern auch ermöglichen, Konten zu kündigen, wodurch alle persönlichen Daten aus dem System gelöscht werden, einschließlich der in Sicherungen gespeicherten Daten.
Unternehmen sollten davon ausgehen, dass ein Datenverstoß eintreten wird. Der Bericht stellt fest, dass die Hälfte der zehn größten Verstöße im letzten Jahrzehnt im Jahr 2013 stattgefunden hat. Zur Vorbereitung eines Verstoßes gehört die Einrichtung eines alternativen Kommunikationskanals für jeden Benutzer, falls der primäre Kanal verletzt wird. Unternehmen sollten nach einer Sicherheitsverletzung proaktiv Kontakt aufnehmen und Methoden implementieren, um gefährdete Benutzer erneut zu authentifizieren, z. B. das Erstellen von Sicherheitsfragen basierend auf der tatsächlichen Benutzeraktivität.
Das vollständige Whitepaper mit dem Titel "Warum ist Ihre Datenverletzung mein Problem?" Bietet eine Fülle nützlicher und umsetzbarer Informationen und ist überraschend gut lesbar. Guck mal.
