Krypton Solid

¿Cambia tu contraseña? Multa. ¿Está cambiando su SSN? Aoleu …

Cuando un sitio de compras en línea sufre una violación de datos, recibirá una advertencia para que cambie su contraseña. Si su banco es pirateado, le enviarán una nueva tarjeta de crédito. El verdadero problema surge cuando una empresa lo autentica utilizando datos personales que no se pueden cambiar, como el SSN o la fecha de nacimiento. Un nuevo informe técnico de NSS Labs examina el uso de información estática y dinámica para la autenticación y proporciona consejos para mejorar la seguridad.

Datos estáticos
El SSN nunca fue pensado como un identificador personal. El informe señala que el identificador equivalente del Reino Unido nunca se utiliza para la autenticación. Una vez que su SSN se revela en una infracción, se ve comprometido para siempre. Y eso es un problema.

Algunas empresas intentan proteger a los clientes almacenando solo los últimos cuatro dígitos del SSN. Parece que esto no es muy efectivo. Los primeros cinco dígitos no son aleatorios; se basan en cuándo y dónde solicitó por primera vez el SSN. A proyecto de investigación Hace cinco años analizó datos del «Archivo Principal de Muertes» del gobierno e ideó un algoritmo para predecir los primeros cinco dígitos. Con solo dos intentos, lograron una precisión del 60 por ciento. Si los ciberdelincuentes ya tienen los últimos cuatro dígitos, su SSN está protegido.

La fecha de nacimiento es otra fecha que simplemente no se puede cambiar. El informe señala que el lugar de nacimiento, el género y la nacionalidad también se pueden utilizar para la autenticación y tampoco se pueden cambiar. Además, establece que «las empresas y los gobiernos deben abstenerse de utilizar estos atributos con fines de seguridad en línea, aunque se hayan considerado confidenciales en el pasado».

Datos dinámicos
Los consumidores deben utilizar diferentes contraseñas seguras para todos los sitios seguros, y las empresas deben ayudar, no obstaculizar, este esfuerzo. El informe aconseja a todas las empresas que permitan contraseñas largas y eliminen cualquier restricción sobre los caracteres que se pueden utilizar. Es muy desalentador cuando un sitio web rechaza la contraseña súper segura generada por el administrador de contraseñas.

Los usuarios que han olvidado sus contraseñas a menudo pueden volver a autenticarse proporcionando respuestas a una o más preguntas de seguridad. Pedir información pública, como la ciudad natal del cliente o el apellido de soltera de la madre, es un gran error. Las empresas deben permitir que los clientes definan sus propias preguntas y los clientes deben crear preguntas que ningún extraño pueda responder. El informe no dice esto, pero si se enfrenta a una mala pregunta de seguridad, le aconsejo que proporcione una respuesta falsa pero memorable.

Perfiles criminales
Agencias de publicidad y negocios online constantemente consumidores de perfil De varias maneras. Buscan identificar clientes leales, riesgos de mal crédito, incluso para averiguar quién está sano y quién no. Tus hábitos de compra podrían determinar si recibes o no un cupón de descuento o qué propuesta publicitaria llega a tu navegador.

Exactamente lo mismo está sucediendo en el oscuro mundo del ciberdelito. Cada violación de datos les brinda a los chicos malos más datos y, al combinar los resultados de las violaciones superpuestas, se pueden crear perfiles muy precisos. El Libro Blanco sugiere que esos perfiles ya existen para «millones de usuarios».

Consejos empresariales
El Libro Blanco ofrece una serie de sugerencias para los negocios en línea. Le recomendamos que almacene solo el mínimo de datos personales y no almacene absolutamente nada para una sola transacción. Las empresas deben evitar almacenar datos confidenciales como texto sin formato; en particular, debe almacenar hashes de contraseñas, no contraseñas. También debería permitir a los usuarios cerrar sus cuentas, eliminando así todos los datos personales del sistema, incluidos los datos almacenados en las copias de seguridad.

Las empresas deben asumir que habrá una filtración de datos. El informe señala que de las diez principales infracciones en la última década, la mitad tuvo lugar en 2013. La preparación para una infracción incluye la creación de un canal de comunicación alternativo para cada usuario, si se infringe el canal principal. Las empresas deben ponerse en contacto de forma proactiva después de una infracción e implementar métodos para volver a autenticar a los usuarios en riesgo, como la creación de preguntas desafiantes basadas en la actividad real del usuario.

los libro blanco completo, titulado «Por qué su violación de datos es mi problema», proporciona mucha información útil y posible y es sorprendente de leer. Mirar.

¿Te gusta lo que lees?

Matricularse en Vigilancia de seguridad boletín de noticias para las historias de privacidad y seguridad más importantes que se envían directamente a su bandeja de entrada.

Este boletín puede contener anuncios, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento Condiciones de uso y política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

Deja un comentario