The Refractive Thinker Vol. I: Chapter 10 Dr. Cheryl Lentz F
目次:
- PayPalで購入する前にパスワードの迂回を許可する
- パスワードを要求せずに4桁のPINを設定する
- あらかじめ決められたセキュリティ上の質問(および回答)を使用させる
- 頻繁にパスワードを変更するように要求する
- カスタマーサポートを介してあなたをソーシャルエンジニアリングハックに対して脆弱なままにする
- 難解なパスワード要件を遵守するよう強制する
大企業は顧客の安全を守るために多額のお金を費やしていますが、多くの企業は抜け穴を作成しています。
会社はあなたをより安全にするべきですか、それともあなたが彼らの製品を使うことをより便利にするべきですか?そして、実際にあなたを安全に保つのか、それともあなたがあなたが安全だと思うように欲求不満なプロセスを経験させるのが良いのでしょうか。答えが常にあなたの最善の利益になるとは限りません。
企業がハッカーの生活を楽にする最も一般的な方法は次のとおりです。これは完全なリストではありません。たとえば、パスワードをプレーンテキストで格納することについては説明しませんが、失効した判断の基本については説明します。
PayPalで購入する前にパスワードの迂回を許可する
おそらくパスワードを入力するのは嫌です。ほとんどの人はそうではありません。パスワードの入力ミスや入力ミスをした場合、すぐにイライラするような単調な作業になります。パスワードの入力を避けることをユーザーに許可することは、利便性にとって大きな利点ですが、お金が変わりつつあるときはいつでも問題です。
PlayStation Networkアカウントを設定したとしましょう。 PayPalを使用してデジタル財布に資金を追加し、それを商品の購入に使用することができます。この遠回りしたものを購入する方法はより安全に感じます - 2つのログインを妥協する必要がありますが、そうではありません。誰かがあなたのプレイステーションネットワークの資格を知っていて、あなたがあなたの財布に資金を追加するためにPayPalが使われるたびにパスワードを要求しないことを決心した場合、その人は知らないうちにあなたから膨大な金額を盗むことができます。
パスワードを要求せずに4桁のPINを設定する
ここでもパスワードを入力します。今回は、パスワードの入力を要求するのではなく、ユーザーにPINを設定させることについて説明します。いいね!しかし、その影響は、(iOSでパスコードの代わりにPINを使用して)あなたを少しだけ安全性を低下させることから、それらが使用される方法によっては危険なほど安全でないまでの範囲にわたります。
フランスのNational Data Protection Commissionの議長からの、Windows 10ユーザーが自分のMicrosoftアカウントにPINを設定できるという警告について考えてみましょう。それはそれほど悪くありません…誰かがそのPINを何度でも推測できるということを除いて、それはあなたのアカウントがルービックの立方体と同等のデジタルで保護されていることを意味します:結局誰かが問題を解決する方法につまずくことになる。
あらかじめ決められたセキュリティ上の質問(および回答)を使用させる
アメリカに住んでいて、税金を払っているとしましょう。 IRSでオンラインアカウントを設定すれば、これはもっと簡単になります(ただし、「簡単」という意味ではありません)。そうすることで、IRSではセキュリティの質問を設定する必要があることがわかります。また、ユーザーが回答するための適切なクエリのドロップダウンリストが表示されます。
それは恐ろしい考えです。事前に生成された質問のほとんどは、公開情報に依存しています。 Facebookの時代には、誰かの最初の住所、母親の旧姓、または最初のペットの名前を見つけるのは難しくありません。誰かがこの簡単に収集した情報を使用してアクセスする可能性があるため、あなたのアカウントは実際には安全性が低くなります。
頻繁にパスワードを変更するように要求する
それで、あなたは簡単にタイプされ記憶されているパスワードを見つけました。すばらしいです!パスワードを長期間使用することはセキュリティ上のリスクがあると私達はまだ信じているので、今から90日以内にそのプロセスを繰り返してください。本当?永久にパスワードを使用するのではなく、定期的にパスワードを変更した方が安全ですか。
いいえ。パスワードの変更はセキュリティ上のリスクがあります。FTCでは、不適切なパスワードを使用することをお勧めしているためです。安全でないパスワードは、事実上、アカウントをハッキングするための招待状です。
カスタマーサポートを介してあなたをソーシャルエンジニアリングハックに対して脆弱なままにする
多くの企業は顧客サービスを誇りにしています。あなたを幸せにするのは彼らの仕事なので、文句を言わないで、お金を他の所に持って行き、将来その人がその特定のビジネスに行くのをやめるように勧めます。しかし時々あなたを幸せにするように設計されたシステムはあなたに対して使用することができます。
Amazonを見てください。同社は、その顧客サポートで有名です。顧客が確実に戻ってくるようにするために、ほとんど何でもしても構わないと思っています。それでも、誰かが比較的簡単に公開情報を使ってあなたのアカウントに侵入したいという願望を使うことができます。
難解なパスワード要件を遵守するよう強制する
これが私たちがパスワードについて話すつもりの最後の時です、約束。しかし、数字、大文字、記号など、会社が入力を強制することができるその他のグリフを追加するためのパスワード要件によって、実際のセキュリティが向上するわけではありません。それは想定されていることであり、そうであるように感じますが、そうではありません。
パスワードは、一意で、安全で、入力しやすいようにする必要があります。要件を追加するとより安全になるはずですが、実際には、特に定期的にパスワードを変更する必要性などの他の問題と組み合わせると、新しいパスワード用のシステムを思いつくだけで済みます。 “ Cq6U /?i8zV”のように強いものを使うのではなく、“ p4ssword1”と“ p4ssword2”またはそれに似たものを使うことになります。これらのパスワードは推測が容易であり、1つが危険にさらされると、同様の式を使用しているパスワードも影響を受けます。