فيديو: ÙÙ Ù Ø´Ùد طرÙÙØ Ù Ø¬Ù Ùعة٠٠٠اÙأشبا٠ÙØاÙÙÙ٠اÙÙØا٠بÙاÙد٠(شهر نوفمبر 2024)
عندما يعاني موقع التسوق عبر الإنترنت من خرق البيانات ، فستتلقى تحذيرًا لتغيير كلمة المرور الخاصة بك. إذا تم اختراق المصرف الذي تتعامل معه ، فسوف يرسل لك بطاقة ائتمان جديدة. المشكلة الحقيقية تحدث عندما تصدقك شركة باستخدام بياناتك الشخصية التي لا يمكن تغييرها ، مثل SSN أو تاريخ الميلاد. تبحث ورقة بيضاء جديدة من NSS Labs في استخدام المعلومات الثابتة والديناميكية للمصادقة ، وتقدم المشورة للشركات لتحسين الأمان.
بيانات ثابتة
لم يكن المقصود بشبكة الأمان الاجتماعي أبدًا معرفًا شخصيًا. يشير التقرير إلى أن المعرف المكافئ في المملكة المتحدة لا يُستخدم أبدًا للمصادقة. بمجرد كشف SSN الخاص بك في خرق ، يتم اختراقه إلى الأبد. وهذه مشكلة.
تحاول بعض الشركات حماية العملاء من خلال تخزين آخر أربعة أرقام فقط من شبكة الأمان الاجتماعي. اتضح أن هذا ليس فعالا للغاية. الأرقام الخمسة الأولى ليست عشوائية ؛ يعتمدون على متى وأين تقدمت لأول مرة بطلب للحصول على شبكة الأمان الاجتماعي الخاصة بك. قام مشروع بحثي من خمس سنوات مضت بتحليل بيانات من "ملف Death Master" الحكومي واستنبط خوارزمية للتنبؤ بتلك الأرقام الخمسة الأولى. مع محاولتين فقط تمكنوا من دقة 60 في المئة. إذا كان المتسللون عبر الإنترنت لديهم بالفعل الأرقام الأربعة الأخيرة ، فسيتم وضع SSN الخاص بك.
تاريخ الميلاد هو مسند آخر لا يمكن تغييره. يشير التقرير إلى أنه يمكن أيضًا استخدام مكان الميلاد والجنس والمواطنة للمصادقة ، ولا يمكن تغييره أيضًا. وغني عن القول إنه "يتعين على الشركات والحكومات الامتناع عن استخدام هذه السمات لأغراض الأمان عبر الإنترنت ، رغم أنها كانت تعتبر من الناحية التاريخية سرية."
البيانات الديناميكية
يحتاج المستهلكون إلى استخدام كلمات مرور قوية مختلفة لجميع المواقع الآمنة ، كما تحتاج الشركات إلى المساعدة ، وليس عرقلة ، هذا الجهد. ينصح التقرير جميع الشركات بالسماح لكلمات المرور الطويلة وإزالة أي قيود على الأحرف التي يمكن استخدامها. إنه أمر محبط للغاية عندما يرفض موقع ويب كلمة مرور فائقة الأمان تم إنشاؤها بواسطة مدير كلمات المرور.
يمكن للمستخدمين الذين نسوا كلمات المرور الخاصة بهم في كثير من الأحيان إعادة المصادقة من خلال توفير إجابات على واحد أو أكثر من أسئلة الأمان. يعد طلب المعلومات المتاحة للجمهور مثل مسقط رأس الزوجة أو اسم الأم قبل الزواج خطأً فادحًا. يجب أن تسمح الشركات للعملاء بتحديد أسئلةهم الخاصة ، كما يجب على العملاء صياغة أسئلة لا يمكن لأي شخص خارجي الإجابة عليها. لا يقول التقرير هذا ، ولكن إذا واجهتك سؤال أمان سيء ، فننصحك بتقديم إجابة غير صحيحة حتى الآن لا تنسى.
التنميط الجنائي
يقوم المعلنون والشركات عبر الإنترنت دائمًا بمراجعة تعريف المستهلكين بعدة طرق مختلفة. إنهم يتطلعون إلى تحديد العملاء المخلصين ، ومخاطر الائتمان الرديئة ، وحتى معرفة من هو بصحة جيدة ومن ليس كذلك. قد تحدد عادات التسوق ما إذا كنت ستحصل على قسيمة خصم أم لا ، أو أي إعلان إعلان يضرب متصفحك.
يحدث الشيء نفسه بالضبط في عالم الجريمة السيبرانية. يمنح كل خرق للبيانات الأشرار مزيدًا من البيانات ، ومن خلال دمج النتائج من الانتهاكات المتداخلة ، يمكنهم إنشاء ملفات تعريف دقيقة للغاية. تشير الورقة البيضاء إلى وجود مثل هذه الملفات الشخصية بالفعل لـ "ملايين المستخدمين".
نصيحة للأعمال
تقدم الورقة البيضاء عددًا من الاقتراحات للشركات عبر الإنترنت. تنصح بتخزين الحد الأدنى الضروري فقط من البيانات الشخصية ، وتخزين أي شيء على الإطلاق لمعاملة لمرة واحدة. يجب أن تتجنب الشركات تخزين البيانات الحساسة كنص عادي ؛ على وجه الخصوص يجب أن تخزن تجزئة كلمة المرور ، وليس كلمات المرور. يجب أن تسمح أيضًا للمستخدمين بإنهاء الحسابات ، وبالتالي محو جميع البيانات الشخصية من النظام ، بما في ذلك البيانات المخزنة في النسخ الاحتياطية.
يجب أن تفترض الشركات حدوث خرق للبيانات. يشير التقرير إلى أنه من بين أكبر عشرة انتهاكات في العقد الماضي ، وقع النصف في عام 2013. ويشمل الإعداد للاختراق إنشاء قناة اتصال بديلة لكل مستخدم ، في حالة انتهاك القناة الرئيسية. يجب أن تتواصل الشركات بشكل استباقي بعد حدوث خرق ، وأن تنفذ طرقًا لإعادة المصادقة على المستخدمين المعرضين للخطر ، مثل إنشاء أسئلة تحدي بناءً على نشاط المستخدم الفعلي.
تقدم الورقة البيضاء الكاملة التي تحمل عنوان "سبب خرق البيانات لمشكلتي" ثروة من المعلومات المفيدة والقابلة للتنفيذ ، وهي قابلة للقراءة بشكل مدهش. الق نظرة.