Rsa: mai més contrasenyes?

Google ha declarat la guerra contra les contrasenyes, però Alisdair Faulkner, responsable de productes i cofundador de ThreatMetrix, creu que lluitaran contra la guerra errònia. "La idea és lloable", va dir Faulkner. "De fet, la majoria de la gent utilitza una i altra vegada la mateixa contrasenya senzilla. Google proposa un autenticador físic. El problema és que qualsevol lloc de dos factors ha de ser adoptat tant pels llocs com pels usuaris. I si perdeu l'autenticador, llavors que?" També va assenyalar el problema de l’autenticació d’un usuari durant el registre inicial.

ThreatMetrix proposa una solució diferent, que no requereix cap esforç per part de l’usuari. "Nosaltres (i molts altres) creiem que hem de fer de la seguretat una part predeterminada de cada operació", va dir Faulkner. "Hauria de ser passiu, no intrusiu. La combinació de les vostres conductes i els vostres dispositius a través de moltes interaccions pot servir per identificar-vos i només vosaltres."

Comportament desviant

Els bancs identifiquen transaccions sospitoses notant desviacions dels patrons normals. ThreatMetrix aplica el mateix tipus de lògica a l'autenticació en línia. No necessàriament saben res de vostè personalment, però saben, per exemple, que un compte de correu electrònic particular es connecta normalment des de tres dispositius en particular, normalment a Califòrnia. Si de sobte, aquest compte comença a connectar-se diverses vegades a la vegada, des de dispositius desconeguts, potser a la Xina, és un indicador vermell.

"Els bancs, llocs de comerç electrònic i algunes de les majors empreses tecnològiques utilitzen ThreatMetrix", va dir Faulkner. "Vetllen els signes d’adquisició de comptes i fraus a la targeta de crèdit i l’utilitzen per validar la nova inscripció". Va remarcar que l'empresa busca estrictament patrons en dades, no en informació personal de ningú.

On tothom sap el seu nom

Té molt sentit per a mi. Quan passeig per la conferència RSA, les persones que em coneixen diuen "Hola!" I les persones que no comproven la meva insígnia. Si una jove atractiva portés la meva insígnia, ningú creuria que sóc jo; la insígnia no és la meva identitat. No he d’introduir cap contrasenya per entrar a la Sala de Premsa; saben qui sóc. El pla ThreatMetrix s’estén sabent qui sou al ciberespai.

Vaig preguntar a Faulkner, què passa amb els falsos positius? Molts de nosaltres hem experimentat retencions de targeta de crèdit perquè hem fet una compra a un lloc inusual. ThreatMetrix no podria bloquejar l'accés errònia a un lloc bancari? "Nosaltres proporcionem un context", va respondre, "però no som els executors. El lloc pot decidir rebutjar la transacció o sotmetre-la a un control addicional. A no ser que sigui flagrant fraudulent, probablement no la negarien de ple."

La indústria bancària ja utilitza tècniques similars per marcar transaccions potencialment de risc. Puc veure estendre aquest model a l’autenticació del lloc web. Per descomptat, només pot passar amb una participació gairebé universal. Si s’assoleix aquest objectiu alt, potser no haurem de tornar a recordar una contrasenya com 8l3yO5JgtxIC o CorrectHorseBatteryStaple.

Per veure totes les publicacions de la nostra cobertura RSA, consulteu la nostra Mostra de informes.