ビデオ: therunofsummer (九月 2024)
オンラインショッピングサイトでデータ侵害が発生すると、パスワードを変更するように警告が表示されます。 銀行がハッキングされた場合、新しいクレジットカードが送られます。 実際の問題は、SSNや生年月日など、変更できない個人データを使用してビジネスがあなたを認証するときに発生します。 NSS Labsの新しいホワイトペーパーは、認証のための静的および動的情報の使用を検討し、セキュリティを改善するためのビジネスアドバイスを提供します。
静的データ
SSNは、個人の識別子として意図されたものではありません。 レポートでは、英国の同等の識別子が認証に使用されることは決してないことに注意しています。 SSNが侵害で明らかにされると、それは永久に危険にさらされます。 そしてそれは問題です。
一部の企業は、SSNの最後の4桁のみを保存することで顧客を保護しようとします。 これはあまり効果的ではないことがわかりました。 最初の5桁はランダムではありません。 SSNを最初に申請した時期と場所に基づいています。 5年前の調査プロジェクトでは、政府の「Death Master File」のデータを分析し、これらの最初の5桁を予測するアルゴリズムを考案しました。 2回の試行で、彼らは60%の精度を管理しました。 サイバー詐欺師がすでに最後の4桁の数字を持っている場合、SSNが記録されます。
生年月日は、変更できないデータです。 このレポートは、出生地、性別、市民権も認証に使用される可能性があり、変更できないことを指摘しています。 さらに、「企業や政府は、これらの属性をオンラインセキュリティの目的に使用することを控えるべきですが、歴史的には機密と見なされてきました」と述べています。
動的データ
消費者はすべての安全なサイトに異なる強力なパスワードを使用する必要があり、企業はこの努力を妨げずに支援する必要があります。 このレポートは、すべての企業に長いパスワードを許可し、使用できる文字の制限を削除するようにアドバイスしています。 Webサイトがパスワードマネージャーによって生成されたスーパーセキュアパスワードを拒否することは非常にがっかりします。
パスワードを忘れたユーザーは、多くの場合、1つ以上のセキュリティの質問に答えることで再認証できます。 顧客の出身地や母親の旧姓などの公開情報を求めるのは 大きな 間違いです。 企業は、顧客が独自の質問を定義できるようにし、顧客は部外者が答えられない質問を作成する必要があります。 報告書はこれを言っていないが、もしあなたが悪いセキュリティの質問に直面したなら、私はあなたが真実ではないが記憶に残る答えを提供することを勧める。
犯罪プロファイリング
広告主とオンラインビジネスは、さまざまな方法で消費者を常にプロファイリングしています。 彼らは、忠実な顧客、信用不良者のリスクを特定し、誰が健康で誰が健康でないかを突き止めようとします。 ショッピング習慣によって、割引クーポンを受け取るかどうか、またはブラウザにヒットする広告ピッチが決まる場合があります。
サイバー犯罪の怪しい世界でもまったく同じことが起こります。 すべてのデータ侵害は悪者にさらに多くのデータを提供し、重複する違反の結果を組み合わせることにより、非常に正確なプロファイルを作成できます。 ホワイトペーパーは、そのようなプロファイルが「何百万人ものユーザー」のためにすでに存在することを示唆しています。
ビジネスへのアドバイス
このホワイトペーパーでは、オンラインビジネス向けの多数の提案を提供しています。 必要最小限の個人データのみを保存し、1回限りの取引では何も保存しないことをお勧めします。 企業は、機密データをプレーンテキストとして保存しないでください。 特に、パスワードではなくパスワードハッシュを保存する必要があります。 また、ユーザーがアカウントを終了できるようにして、バックアップに保存されているデータを含むすべての個人データをシステムから消去する必要があります。
企業は、データ侵害が発生すると想定する必要があります。 レポートでは、過去10年間で最大の10件の侵害のうち、半数が2013年に発生したことが報告されています。 企業は侵害後、積極的に手を差し伸べ、実際のユーザーアクティビティに基づいてチャレンジ質問を作成するなど、リスクのあるユーザーを再認証する方法を実装する必要があります。
「なぜデータ漏えいが私の問題なのか」というタイトルの完全なホワイトペーパーでは、有用で実用的な情報が豊富に提供されており、驚くほど読みやすくなっています。 ご覧ください。
