Peretas membocorkan nomor telepon dan alamat email dari 5,4 juta akun Twitter

Anda benar-benar dapat mencoba mengurai pesan saya, tetapi Anda menghindari inti dari pesan saya – keamanan yang tidak sempurna untuk massa lebih baik daripada keamanan sempurna dengan banyak kerumitan yang tidak digunakan siapa pun.

Anda lagi salah membaca apa yang saya tulis; Tidak ada keamanan yang lengkap.

Maksud saya adalah bahwa tindakan keamanan yang diketahui dilebih-lebihkan dengan kemudahan untuk dielakkan, itulah yang terjadi dalam lebih banyak kasus.

Salah satu risiko tersebut adalah bahwa organisasi di belakang server melebih-lebihkan (ke tingkat yang semakin tinggi) keandalan proses otentikasi mereka, menempatkan korban pada risiko penipuan identitas:

Karena Anda telah masuk dengan benar dengan MFA, kami mengesampingkan penipuan identitas. Kami menduga Anda mencoba melakukan penipuan dan telah melaporkan Anda ke polisi.

Semoga berhasil jika terjadi penipuan identitas asli.

di Kontribusi lain untuk utas ini Saya menulis bahwa saya menemukan saran sebelumnya (saya sendiri) untuk membuat SMS lebih aman sebagai agen otentikasi tidak lagi berguna, justru karena tidak membantu jika orang menerima ID pengguna, kata sandi, dan kode numerik mereka melalui SMS (baik diacak atau tidak oleh pengguna) di situs MitM.

Selain itu, langkah-langkah keamanan selalu memiliki kekurangan yang harus Anda perhitungkan saat mempertimbangkan penerapan. Pikirkan baterai telepon kosong, smartphone rusak, tidak ada cadangan rahasia TOTP, kehilangan Yubikey dan tidak ada “cadangan” itu.

Bagi banyak orang berketerampilan rendah dan/atau lanjut usia, MFA tetap rumit, dan Lebih banyak data Harus mengisi data untuk dapat masuk pada dasarnya mengalihkan perhatian pengguna dari apa yang harus diperhatikan: Apakah saya berada di lokasi yang tepat?

Sayangnya, MFA sangat dilebih-lebihkan. Pada bulan Mei, bersama dengan Layanan Keamanan (termasuk ncsc.nl) Berikan saran keamanan MFA di atas. Jika Anda membaca dengan seksama, Anda dapat menemukan:

Permintaan MFA tahan phishing (seperti kunci keamanan atau kartu PIN) untuk layanan penting.

Dengan kata lain: MFA normal (SMS, Voice, TOTP, RSA keyfobs) adalah Tidak ada resistensi terhadap phishing Sementara “kunci keamanan atau kartu PIN” tidak masuk akal bagi massa.

kunci pas Mempersiapkan peningkatan, tetapi salah satu risikonya adalah semakin banyak bukti identitas Anda akan difokuskan pada setiap perangkat Anda, menjadikannya target utama.

Saya mungkin mengabaikannya, tetapi dalam tip tersebut (dan sebagian besar saran lainnya) saya melewatkan bahwa MFA normal tidak berguna jika pengguna tidak tahu untuk memverifikasi server tempat mereka memasukkan data, dan Bagaimana Mereka dapat (dan harus) memeriksanya.

Kami tidak akan berhasil dengan teknologi saja (seperti yang dijelaskan dalam tip ini); Dengan menerapkan MFA, Anda tidak ada di sana (terlepas dari opsi reset otentikasi 1FA saat ini dan terkadang cookie sesi 1FA “dapat dicuri” atau serupa setelah masuk).

Jika jumlah serangan phishing yang menargetkan MFA meningkatBisakah Anda dan saya tidak setuju tentang itu? Kapan Saatnya tepat ketika MFA memiliki lebih banyak kerugian daripada keuntungan, tetapi cepat atau lambat Anda akan menghadapinya juga.

Saya Namun, jangan berpegang teguh pada teknologi yang pernah terbukti (secara singkat) (bahkan jika saya dapat membantahnya sendiri, saya tidak memiliki ilusi bahwa saya dapat meramalkan segalanya dan Sebaiknya sering berubah pikiran) yang pada saat yang sama memberikan rasa aman yang palsu – bahkan jika itu bermanfaat dalam beberapa kasus penduduk. Jika pelanggan tetap menginginkan setengah perbaikan, itu mungkin – tetapi ada penafian besar (tertulis dan lisan).

Zbi juga menulis:

Saya juga bekerja di keamanan TI, tetapi saya kira Anda lebih tertarik pada praktik, sementara saya harus mencoba menyeimbangkan penggunaannya dengan benar-benar menerapkannya.

Saya mendekati IB dari sisi “teoretis” (misalnya seri ISO 27000) dan dari sisi praktis, yaitu saya mencoba membangun jembatan antara dua dunia ini (seringkali sangat terpisah).

Tentu saja Anda harus memilih di antara sumber daya yang Anda miliki, tetapi jika ternyata rusak, saya tidak menunggu sedetik pun untuk menjelaskannya, kepada klien dan “dunia” (misalnya di sini di Tweakers).

Jika tidak ada yang mengeluh, kebanyakan orang berpikir kami baik-baik saja seperti itu (terutama jika mereka tidak mengikuti berita keamanan setiap hari di situs-situs seperti komputer tidur Dan Keamanan. tidak ada).

Penjahat dunia maya terus berinovasi; Kami tidak percaya kami sudah selesai. Banyak yang salah ketika itu bisa lebih baik.