Vídeo: Versión Completa. Estoicismo: una filosofía de vida. Massimo Pigliucci, doctor en Filosofía (Setembre 2024)
Quan un lloc de compres en línia pateix un incompliment de dades, rebrà un advertiment per canviar la vostra contrasenya. Si el banc és piratejat, us enviaran una targeta de crèdit nova. El veritable problema es produeix quan una empresa us autentica mitjançant dades personals que no es poden canviar, com ara el vostre SSN o la vostra data de naixement. Un nou llibre blanc de NSS Labs examina l’ús d’informació estàtica i dinàmica per a l’autenticació i ofereix assessorament a les empreses per millorar la seguretat.
Dades estàtiques
La SSN mai es va significar com a identificador personal. L’informe assenyala que l’identificador equivalent al Regne Unit no s’utilitza mai per a l’autenticació. Una vegada que el vostre SSN es revela de manera incompleta, sempre es veurà compromès. I això és un problema.
Algunes empreses intenten protegir els clients emmagatzemant només els últims quatre dígits de la SSN. Resulta que això no és gaire efectiu. Els cinc primers dígits no són aleatoris; es basen en quan i on vas sol·licitar la vostra xarxa SSN. Un projecte de recerca de fa cinc anys va analitzar les dades del "fitxer mestre de la mort" del govern i va idear un algorisme per predir aquests primers cinc dígits. Amb només dos intents van aconseguir la precisió del 60 per cent. Si els cibercrooks ja tenen els últims quatre dígits, el vostre SSN està indicat.
La data de naixement és una altra dada que no es pot canviar. L’informe assenyala que el lloc de naixement, el sexe i la ciutadania també es poden utilitzar per a l’autenticació i no es pot canviar. Continua a afirmar que "Les empreses i els governs s'han d'abstenir d'utilitzar aquests atributs amb finalitats de seguretat en línia, tot i que històricament han estat considerats confidencials".
Dades dinàmiques
Els consumidors han d’utilitzar contrasenyes contundents diferents per a tots els llocs segurs, i les empreses han d’ajudar, i no dificultar, aquest esforç. L’informe aconsella a totes les empreses que permetin contrasenyes llargues i suprimeixin les restriccions sobre quins caràcters es poden utilitzar. És molt descoratjador quan un lloc web rebutja la contrasenya súper segura generada pel gestor de contrasenyes.
Els usuaris que han oblidat les seves contrasenyes sovint es poden tornar a autenticar proporcionant respostes a una o més preguntes de seguretat. Sol·licitar informació disponible al públic, com ara la ciutat natal del client o el nom de la mare de la mare, és un error enorme . Les empreses han de permetre als clients definir les seves pròpies preguntes, i els clients han de formular preguntes que cap estranger podria respondre. L'informe no diu això, però si us trobeu amb una pregunta de seguretat dolenta, us aconsello que proporcioneu una resposta que no és memorable però que sigui memorable.
Perfilat penal
Els anunciants i les empreses en línia perfilen constantment els consumidors de moltes maneres diferents. Busquen identificar clients fidels, riscos de crèdit dolents, fins i tot esbrinar qui és sa i qui no. Els vostres hàbits de compra podrien determinar si obteniu o no un cupó de descompte o bé quin grau publicitari arriba al vostre navegador.
El mateix passa exactament al món ombrívol de la ciberdelinqüència. Cada infracció de dades proporciona als nois més informació i, combinant els resultats de les incompliments, es poden crear perfils molt precisos. El llibre blanc suggereix que aquests perfils ja existeixen per a "milions d'usuaris".
Assessorament per a empreses
El llibre blanc ofereix diversos suggeriments per a negocis en línia. Aconsella emmagatzemar només el mínim necessari de dades personals i emmagatzemar res per a una transacció única. Les empreses han d'evitar l'emmagatzematge de dades sensibles com a text senzill; en particular, han d’emmagatzemar hashes de contrasenya, no contrasenyes. També han de permetre als usuaris acabar els comptes, esborrar totes les dades personals del sistema, incloses les dades emmagatzemades en còpies de seguretat.
Les empreses han de suposar un incompliment de dades. L’informe assenyala que de les deu infraccions més importants de l’última dècada, la meitat es va produir el 2013. La preparació per a una infracció inclou la creació d’un canal de comunicació alternatiu per a cada usuari, en cas que s’incompleixi el canal principal. Les empreses haurien d’arribar de manera proactiva després d’un incompliment i implementar mètodes per autentificar de nou els usuaris amb risc, com ara crear preguntes de desafiament basades en l’activitat real dels usuaris.
El llibre blanc complet, titulat "Per què és que el problema és el meu problema", ofereix una gran quantitat d'informació útil i actuable, i és sorprenent. Fes un cop d'ull.
