6 sposobów, w jakie firmy ułatwiają hakowanie

Duże firmy wydają dużo pieniędzy na utrzymanie klientów w bezpiecznym miejscu, ale wielu z nich tworzy luki, które sprawiają, że hakerzy mogą cię okraść, a jednocześnie szybciej i łatwiej kupować.

Czy firmy powinny czynić Cię bezpieczniejszym lub wygodniej korzystać z ich produktów? A czy lepiej jest zachować bezpieczeństwo lub przeprowadzać frustrujące procesy, aby myśleć, że jesteś bezpieczny? Odpowiedzi nie zawsze mają najlepsze intencje.

Oto niektóre z najczęstszych sposobów ułatwiających życie hakerom. Nie jest to wcale pełna lista - nie będziemy rozmawiać na przykład o przechowywaniu haseł w postaci zwykłego tekstu - ale powinna ona obejmować podstawowe informacje w wygaśnięciu wyroku.

Umożliwienie obejścia hasła przed zakupem w systemie PayPal

Prawdopodobnie nie lubisz wprowadzać haseł. Większość ludzi nie - to monotonne zadanie, które może szybko stać się bardziej frustrujące, jeśli błędnie wprowadzisz hasło. Pozwolenie ludziom na unikanie wprowadzania haseł jest dużą wygraną dla wygody, ale jest to również problem, gdy pieniądze zmieniają ręce.

Załóżmy, że założyłeś konto PlayStation Network. Za pomocą systemu PayPal możesz dodać środki do portfela cyfrowego, który jest następnie wykorzystywany do zakupu przedmiotów. Ta okrężna metoda kupowania rzeczy wydaje się bardziej bezpieczna - trzeba zalogować się na dwa loginy, ale tak nie jest. Jeśli ktoś nauczy się Twoich danych logowania do PlayStation Network i zdecydujesz się nie wymagać hasła za każdym razem, gdy system PayPal jest używany do dodawania środków do portfela, osoba ta może wykraść niezliczone kwoty pieniędzy bez Twojej wiedzy.

Pozwala ustawić czterocyfrowe kody PIN zamiast wymagać hasła

Ponownie idziemy z hasłami. Tym razem chodzi o to, aby ludzie mogli ustawiać kody PIN zamiast wymagać od nich wpisania hasła. Brzmi wspaniale! Konsekwencje są jednak takie, jak nieznaczne zmniejszenie bezpieczeństwa użytkownika (użycie kodu PIN zamiast hasła na iOS) do niebezpiecznego niebezpieczeństwa w zależności od tego, jak są używane.

Rozważ ostrzeżenie francuskiego przewodniczącego Komisji Ochrony Danych, że użytkownicy systemu Windows 10 mogą ustawić kod PIN dla swoich kont Microsoft. To nie jest tak źle … z wyjątkiem tego, że ktoś może odgadnąć ten PIN tyle razy, ile zechce, co oznacza, że ​​twoje konto jest zabezpieczone cyfrowym odpowiednikiem kostki Rubika: w końcu ktoś potknie się na drodze do rozwiązania problemu.

Użycie z góry określonych pytań bezpieczeństwa (i odpowiedzi)

Powiedzmy, że mieszkasz w Stanach Zjednoczonych i płacisz podatki. Jest to łatwiejsze (choć bynajmniej nie „łatwe”), jeśli założysz konto internetowe w IRS. Czyniąc to, odkrywasz, że IRS wymaga skonfigurowania pytań dotyczących bezpieczeństwa, a także wymyślnej listy rozwijanej akceptowalnych zapytań, na które możesz odpowiedzieć.

To okropny pomysł. Większość wstępnie wygenerowanych pytań opiera się na informacjach publicznych. W epoce Facebooka nie jest trudno znaleźć czyjeś pierwsze imię, nazwisko panieńskie matki lub imię pierwszego zwierzaka. Twoje konto jest w rzeczywistości mniej bezpieczne, ponieważ ktoś może wykorzystać te łatwo zebrane informacje, aby uzyskać do niego dostęp.

Wymaganie częstej zmiany haseł

Dobrze, więc znalazłeś hasło, które można łatwo wpisać i zapamiętać. Świetny! Teraz powtórz ten proces w ciągu następnych 90 dni, ponieważ nadal uważamy, że używanie hasła przez długi czas stanowi zagrożenie bezpieczeństwa. Czy to prawda? Czy ludzie są bezpieczniejsi, jeśli regularnie zmieniają swoje hasła zamiast korzystać z nich na stałe?

Nie. Zmiana haseł jest zagrożeniem bezpieczeństwa, ponieważ FTC stale podkreśla, ponieważ zachęca do używania złych haseł. Niezabezpieczone hasło jest praktycznie zaproszeniem do włamania na konto.

Pozostawiając Cię podatnym na ataki inżynierii społecznej za pośrednictwem obsługi klienta

Wiele firm szczyci się obsługą klienta. Ich zadaniem jest sprawić, byś był szczęśliwy, więc nie narzekaj, weź swoje pieniądze gdzie indziej i zalecaj, aby ludzie przestali chodzić do tej konkretnej firmy w przyszłości. Ale czasami systemy zaprojektowane tak, aby cię uszczęśliwić, mogą być użyte przeciwko tobie.

Wystarczy spojrzeć na Amazon. Firma słynie z obsługi klienta - często chce zrobić wszystko, aby klienci wracali. Jednak ktoś może wykorzystać tę chęć, aby włamać się na swoje konto za pomocą informacji publicznych (z tym idziemy ponownie) ze względną łatwością.

Zmuszanie Cię do przestrzegania tajemnych wymagań dotyczących hasła

To ostatni raz, kiedy będziemy rozmawiać o hasłach, obiecuję. Ale warto zauważyć, że wymagania dotyczące haseł, które sprawiają, że dodajesz liczbę, wielką literę, symbol i inne glify, które firma może zmusić do wpisania, tak naprawdę nie zwiększają bezpieczeństwa. To powinno i wydaje się, że tak jest, ale tak nie jest.

Hasła muszą być unikalne, bezpieczne i wygodne do wprowadzenia. Dodanie wymagań powinno uczynić go bardziej bezpiecznym, ale w rzeczywistości sprawia, że ​​ludzie wymyślają systemy dla nowych haseł, zwłaszcza w połączeniu z innymi problemami, takimi jak konieczność zmiany hasła w regularnych odstępach czasu. Zamiast używać czegoś mocnego, takiego jak „Cq6U /? I8zV”, kończymy używając „p4ssword1” i „p4ssword2” lub czegoś podobnego. Hasła te są łatwe do odgadnięcia, a jeśli zostaną one naruszone, wszystkie hasła używające podobnej formuły również zostaną naruszone.