6 načina tvrtke olakšavaju vam hack

Velike tvrtke troše mnogo novca na čuvanje klijenata, ali mnoge također stvaraju rupe u zakonu koje, iako čine brže i lakše kupuju stvari, omogućuju hakerima da vas opljačkaju.

Trebaju li vas tvrtke učiniti sigurnijima ili olakšati korištenje njihovih proizvoda? I je li bolje da vas sigurno čuvaju, ili da vas dovedu u frustrirajuće procese samo zato što mislite da ste sigurni? Odgovori uvijek ne odražavaju vaše najbolje interese.

Ovdje su neke od najčešćih načina na koje tvrtke olakšavaju život hakerima. To nipošto nije potpuni popis - nećemo govoriti o pohranjivanju zaporki u običnom tekstu, na primjer - ali bi trebalo pokriti osnove u prosječnoj presudi.

Dopuštanje zaobići lozinku prije kupnje s PayPalom

Vjerojatno vam se ne sviđa unos zaporki. Većina ljudi ne - to je monotoni zadatak koji brzo može postati frustrirajuće ako pogrešno umećete ili zaboravite zaporku. Omogućiti ljudima da izbjegavaju unos zaporki velika je pobjeda za praktičnost, ali to je također problem kada se novac mijenja.

Recimo da ste postavili račun za PlayStation Network. PayPal možete koristiti za dodavanje sredstava digitalnom novčaniku koji se zatim koristi za kupnju stavki. Ova kružna metoda kupnje stvari čini se sigurnijom - dva prijavljivanja moraju biti ugrožena, ali to nije. Ako netko nauči vaše vjerodajnice za PlayStation Network, a vi odlučite da ne morate zahtijevati lozinku svaki put kada se PayPal koristi za dodavanje sredstava u vaš novčanik, ta osoba može ukrasti neispričane iznose novca od vas bez vašeg znanja.

Omogućavanje postavljanja četveroznamenkastih PIN-ova umjesto zahtjeva zaporke

Evo opet s lozinkama. Ovaj put radi se o tome da dopusti ljudima da postavljaju PIN-ove, umjesto da zahtijevaju unos lozinke. Zvuči odlično! No, posljedice se kreću od manje sigurnog (pomoću PIN-a umjesto lozinke na iOS-u) do opasno nesigurnog ovisno o tome kako se koriste.

Razmotrite upozorenje francuske predsjednice Nacionalne komisije za zaštitu podataka da korisnici sustava Windows 10 mogu postaviti PIN za svoje Microsoft račune. To nije loše … osim što netko može pogoditi taj PIN onoliko puta koliko želi, što znači da je vaš račun osiguran digitalnim ekvivalentom Rubikove kocke: na kraju će netko naići na rješavanje problema.

Upotreba unaprijed određenih sigurnosnih pitanja (i odgovora)

Recimo da živite u Sjedinjenim Državama i plaćate poreze. To je lakše (iako nipošto nije jednostavno) ako postavite mrežni račun s IRS-om. Na taj način otkrijete da porezna uprava zahtijeva postavljanje sigurnosnih pitanja, a ona se sastoji od praktičnog padajućeg popisa prihvatljivih upita na koje možete odgovoriti.

To je strašna ideja. Većina prethodno generiranih pitanja oslanja se na javne informacije. Nije teško u Facebook dobi saznati nečiju prvu adresu, ili djevojačko prezime njihove majke, ili ime njihovog prvog ljubimca. Vaš je račun zapravo manje siguran jer netko može koristiti te lako prikupljene informacije za pristup.

Potrebno je često mijenjati zaporke

U redu, pronašli ste zaporku koja se lako upisuje i pamti. Sjajno! Sada ponovite taj postupak u sljedećih 90 dana, molim vas, jer još uvijek vjerujemo da je uporaba lozinke dugo vremena sigurnosni rizik. Je li to istina? Jesu li ljudi sigurniji ako redovito mijenjaju svoje zaporke umjesto da ih koriste zauvijek?

Promjena lozinki predstavlja sigurnosni rizik, kao što je FTC stalno ukazivao jer vas potiče na korištenje loših lozinki. Nesigurna zaporka je praktički poziv da se račun hakira.

Ostavljajući vas ranjivim za hackove socijalnog inženjeringa putem korisničke podrške

Mnoge se tvrtke ponose uslugom za korisnike. Njihov je posao da vas usreće tako da se ne žalite, da odnesete novac negdje drugdje i preporučite ljudima da prestanu ići u tu određenu tvrtku u budućnosti. Ali ponekad se sustavi osmišljeni kako bi vas usrećili mogu koristiti protiv vas.

Samo pogledajte Amazon. Tvrtka je poznata po svojoj korisničkoj podršci - često je spremna učiniti sve kako bi se pobrinula da se njezini klijenti stalno vraćaju. Ipak, netko bi mogao upotrijebiti tu želju da upadne u vaš račun koristeći javne informacije (s tim ponovno idemo) s relativnom lakoćom.

Prisiljavate vas da se pridržavate zahtjevnih pravila

Ovo je zadnji put da ćemo govoriti o lozinkama, obećati. No, vrijedi napomenuti da zahtjevi za lozinkom zbog kojih dodajete broj, veliko slovo, simbol i sve ostale znakove koje tvrtka može natjerati da kucate, ne čine vas doista sigurnijima. Trebalo bi, i čini se kao da jest, ali nije.

Lozinke moraju biti jedinstvene, sigurne i prikladne za ulazak. Dodavanje zahtjeva trebalo bi ga učiniti sigurnijim, ali u stvarnosti to samo čini ljude da dođu do sustava za nove lozinke, posebno kada se kombiniraju s drugim pitanjima kao što je potreba za promjenom lozinke u redovitim intervalima. Umjesto da koristite nešto jako, kao što je "Cq6U /? I8zV", završavate pomoću "p4ssword1" i "p4ssword2" ili nešto slično. Te se lozinke mogu lako pogoditi, a ako je netko kompromitiran, to će utjecati na sve lozinke koje koriste sličnu formulu.