Geënkripteerde Smart Phones Beveilig jou identiteit, nie net jou data nie

Geënkripteerde Smart Phones Beveilig jou identiteit, nie net jou data nie
'N Slimfoon is 'n digitale vorm van ID vir baie programme en dienste. Iowa Departement van Vervoer

Smart Phones stoor jou e-pos, jou foto's en jou kalender. Hulle bied toegang tot aanlyn sosiale media-webwerwe soos Facebook en Twitter, en selfs jou bank- en kredietkaartrekeninge. En hulle is sleutels tot iets selfs meer privaat en kosbaar - jou digitale identiteit.

Deur hul rol in tweefaktor-verifikasiestelsels, die mees gebruikte veilige digitale identiteitsbeskermingsmetode, het slimfone noodsaaklik geword om mense sowel aanlyn as af te identifiseer. As data en programme op slimfone nie veilig is nie, is dit 'n bedreiging vir mense se identiteite, wat indringers moontlik maak om hul teikens op sosiale netwerke, e-pos, werkplekkommunikasies en ander aanlynrekeninge te stel.

So onlangs as 2012, die FBI het aanbeveel dat die publiek die data van hul slimfone beskerm deur dit te enkripteer. Meer onlangs, alhoewel, die agentskap het gevra foonmakers Om 'n manier te bied kry in versleutelde toestelle, wat die polisie noem "uitsonderlike toegang. "Die debat tot dusver het gefokus op data-privaatheid, maar dit laat 'n belangrike aspek van smartphone-enkripsie uit: die vermoë om mense se persoonlike aanlyn identiteite te verseker.

Soos ek in my onlangse boek geskryf het, het "Luister In: Cyber ​​Sekuriteit In 'n Onveilige Ouderdom, "Doen wat die FBI wil hê - maak fone makliker om te ontsluit - noodwendig verminder die veiligheid van gebruikers. 'N onlangse Nasionale Akademie van Wetenskappe, Ingenieurswese en Geneeskunde studie, waarin ek deelgeneem het, waarsku ook dat fone wat makliker ontsluit kan ontsluit, hierdie sleutelelement van die beveiliging van mense se aanlyn-identiteite moontlik verswak.

Versamel bewyse of verswakking van sekuriteit?

In onlangse jare het die polisie toegang tot verdagtes se slimfone gekry as deel van kriminele ondersoeke, en tegnologie-maatskappye het weerstaan. Die mees prominente van hierdie situasies het ontstaan ​​in die nasleep van die 2015 San Bernardino massaskiet. Voordat die aanvallers self in 'n skietery doodgemaak is, kon hulle hul rekenaars en fone vernietig - behalwe een, 'n geslote iPhone. Die FBI wou die foon gedekripteer word, maar bekommerd dat mislukte pogings om Apple se veiligheidsmeganismes te kraak, die telefoon kan veroorsaak vee al sy data uit.

Die agentskap het appel hof toe geneem, om die maatskappy te dwing om spesiale sagteware te skryf om die telefoon se ingeboude beskerming te vermy. Appel het weerstaan ​​en het geargumenteer dat die FBI se poging die owerheid oorreed was wat, indien suksesvol, sou wees Verminder alle iPhone gebruikers se veiligheid - en, by uitbreiding, dié van alle slimfoongebruikers.

Die konflik is opgelos toe die FBI het 'n kuberversekeringsfirma betaal om in die telefoon te breek - en gevind niks van relevansie nie aan die ondersoek. Maar die lessenaar bly standvastig dat ondersoekers moet hê wat hulle noem "uitsonderlike toegang, "En wat ander 'n"agterdeur": Ingeboude sagteware wat die polisie toelaat om geslote fone te ontsyfer.


Kry die nuutste van InnerSelf


Die belangrikheid van twee-faktor-verifikasie

Die situasie is nie so eenvoudig soos die FBI suggereer nie. Veilige fone bied hindernisse vir polisie-ondersoeke, maar dit is ook 'n uitstekende komponent van sterk kuberveiligheid. En gegewe die frekwensie van kuberaanvalle en die diversiteit van hul teikens, is dit uiters belangrik.

In Julie 2015 het Amerikaanse amptenare dit aangekondig cyberthieves het gesteel die sosiale sekerheid nommers, gesondheid en finansiële inligting en ander private data van 21.5 miljoen mense wat aansoek gedoen het vir federale sekuriteitsklarasies van die Amerikaanse Kantoor van Personeelbestuur. In Desember het 2015 'n kuberaanval by drie elektrisiteitsmaatskappye in die Oekraïne gelaat 'n kwart van 'n miljoen mense sonder krag vir ses uur. In Maart 2016, ontelbare e-posse is gesteel van die persoonlike Gmail rekening van John Podesta, voorsitter van Hillary Clinton se presidensiële veldtog.

In elk van hierdie gevalle, en baie meer rondom die wêreld sedert, 'n swak sekuriteitspraktyk - die verkryging van rekeninge slegs deur wagwoorde - laat slegte mense ernstige skade doen. Wanneer aanmeldingsbewyse maklik is om te kraak, kry indringers vinnig in en kan Onopgemerk vir maande.

Die tegnologie om aanlyn rekeninge te beveilig, lê in mense se sakke. Gebruik 'n slimfoon om 'n stukkie sagteware te noem twee-faktor (of tweede faktor) verifikasie maak aanteken by aanlyn rekeninge wat baie moeiliker vir die slegte ouens is. Sagteware op die slimfoon genereer 'n addisionele stuk inligting wat 'n gebruiker moet verskaf, buiten 'n gebruikersnaam en wagwoord, voordat hy toegelaat word om aan te meld.

Tans gebruik baie slimfoon-eienaars SMS-boodskappe as 'n tweede faktor, maar dit is nie goed genoeg nie. Die Amerikaanse Nasionale Instituut vir Standaarde en Tegnologie waarsku dat SMS is baie minder veilig as verifikasie apps: Aanvalle kan afsnit tekste of selfs 'n mobiele maatskappy oortuig om die sms-boodskap na 'n ander foon te stuur. (Dit het gebeur Russiese aktiviste, Black Life Matter-aktivis DeRay Mckesson, en ander.)

'N Veiliger weergawe is 'n gespesialiseerde program, soos Google Authenticator or Authy, wat genereer wat tydgebaseerde eenmalige wagwoorde genoem word. Wanneer 'n gebruiker wil aanmeld by 'n diens, verskaf sy 'n gebruikersnaam en wagwoord, en kry dan 'n prompt vir die program se kode. As jy die program oopmaak, word 'n ses-syfer kode vertoon wat elke 30 sekondes verander. Slegs wanneer dit ingeskryf word, is die gebruiker eintlik aangeteken. 'N Michigan-opstart is geroep Duo maak dit nog makliker: Nadat 'n gebruiker in 'n gebruikersnaam en wagwoord ingetik het, pik die stelsel die Duo-program op haar foon, sodat sy die skerm kan tik om die aanmelding te bevestig.

Hierdie programme is egter net so veilig soos die selfoon self is. As 'n slimfoon swak sekuriteit het, kan iemand wat dit besit, toegang tot 'n persoon se digitale rekeninge kry, selfs die eienaar uitsluitsel. Inderdaad, nie lank nadat die iPhone in 2007 debuut gemaak het nie, hackers ontwikkel tegnieke vir Inbraak in verlore en gesteelde fone. Apple het gereageer by bou beter sekuriteit vir die data op sy fone; Dit is dieselfde stel beskerming wat wetstoepassing nou probeer ongedaan maak.

Vermy ramp

Die gebruik van 'n foon as 'n tweede faktor in verifikasie is gerieflik: Die meeste mense dra hul fone al die tyd, en die programme is maklik om te gebruik. En dit is veilig: Gebruikers let op as hul foon ontbreek, wat hulle nie doen as 'n wagwoord opgehef word nie. Telefone as tweedefaktor-verifikators bied 'n groot toename in sekuriteit buite net gebruikersname en wagwoorde.

As die Kantoor van Personeelbestuur tweedefaktor-verifikasie gebruik het, sou daardie personeelrekords nie so maklik wees om op te lig nie. As die Oekraïense kragmaatskappye tweedefaktor-verifikasie gebruik het vir toegang tot die interne netwerke wat kragverspreiding beheer, sou die hackers dit baie moeiliker vind om die kragnetwerk self te ontwrig. En as John Podesta tweedefaktor-verifikasie gebruik het, sou Russiese hackers nie in sy Gmail-rekening kon ingaan nie, selfs met sy wagwoord.

Die FBI weerspreek homself op hierdie belangrike kwessie. Die agentskap het het die openbare gebruik van twee-faktor-verifikasie voorgestel en vereis dit wanneer polisiebeamptes wil aansluit federale kriminele regstelsel databasis stelsels van 'n onveilige plek soos 'n koffiewinkel of selfs 'n polisiemotor. Maar dan wil die lessenaar slimfone makliker ontsluit, die beskerming van sy eie stelsel verswak.

Die gesprekJa, fone wat moeilik is om te ontsluit, belemmer ondersoeke. Maar dit mis 'n groter storie. Aanlynmisdaad neem skerp toe, en aanvalle word meer gesofistikeerd. Om fone maklik te maak vir ondersoekers om te ontsluit, sal die beste manier ondermyn dat gewone mense hul aanlyn rekeninge kan beveilig. Dit is 'n fout vir die FBI om hierdie beleid te volg.

Oor Die Skrywer

Susan Landau, Professor in Rekenaarwetenskap, Regte en Diplomasie en Cyberveiligheid, Tufts Universiteit

Hierdie artikel is oorspronklik gepubliseer op Die gesprek. Lees die oorspronklike artikel.

Boeke deur hierdie skrywer

{amazonWS: search index = Boeke; sleutelwoorde = Susan Landau; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

volg InnerSelf op

Facebook-ikoonTwitter-ikoonrss-ikoon

Kry die nuutste per e-pos

Emailcloak = {af}