Vidéo: Comment Changer Votre (Mot De Pass - Code Pin) Sur Windows 10 (Novembre 2024)
Lorsqu'un site d'achat en ligne subit une violation de données, vous recevrez un avertissement vous invitant à modifier votre mot de passe. Si votre banque est piratée, elle vous enverra une nouvelle carte de crédit. Le vrai problème se produit lorsqu'une entreprise vous authentifie à l'aide de données personnelles qui ne peuvent pas être modifiées, telles que votre numéro de sécurité sociale ou votre date de naissance. Un nouveau livre blanc de NSS Labs examine l'utilisation d'informations statiques et dynamiques pour l'authentification et propose aux entreprises des conseils pour améliorer la sécurité.
Données statiques
Le SSN n'a jamais été conçu comme un identifiant personnel. Le rapport note que l'identificateur équivalent au Royaume-Uni n'est jamais utilisé pour l'authentification. Une fois que votre SSN est révélé dans une brèche, il est compromis à tout jamais. Et c'est un problème.
Certaines entreprises tentent de protéger leurs clients en ne stockant que les quatre derniers chiffres du numéro de sécurité sociale. Il s'avère que ce n'est pas très efficace. Les cinq premiers chiffres ne sont pas aléatoires. ils sont basés sur quand et où vous avez demandé votre SSN pour la première fois. Un projet de recherche mené il y a cinq ans a analysé les données du "Fichier maître de la mort" du gouvernement et mis au point un algorithme permettant de prédire ces cinq premiers chiffres. En seulement deux tentatives, ils ont réussi une précision de 60%. Si les cybercrooks ont déjà les quatre derniers chiffres, votre SSN est utilisé.
La date de naissance est une autre donnée qui ne peut tout simplement pas être modifiée. Le rapport indique que le lieu de naissance, le sexe et la citoyenneté peuvent également être utilisés pour l'authentification et ne peuvent pas être modifiés. Il est ensuite précisé que "les entreprises et les gouvernements doivent s'abstenir d'utiliser ces attributs à des fins de sécurité en ligne, bien qu'ils aient toujours été considérés comme confidentiels par le passé".
Données dynamiques
Les consommateurs doivent utiliser des mots de passe forts différents pour tous les sites sécurisés, et les entreprises doivent aider, et non entraver, cet effort. Le rapport recommande à toutes les entreprises d'autoriser les mots de passe longs et de supprimer toute restriction quant aux caractères pouvant être utilisés. C'est très décourageant lorsqu'un site Web rejette le mot de passe super sécurisé généré par votre gestionnaire de mots de passe.
Les utilisateurs qui ont oublié leurs mots de passe peuvent souvent se réauthentifier en apportant des réponses à une ou plusieurs questions de sécurité. Demander des informations publiquement disponibles comme la ville natale du client ou le nom de jeune fille de sa mère est une grave erreur. Les entreprises doivent permettre aux clients de définir leurs propres questions, et les clients doivent formuler des questions auxquelles aucun étranger ne peut répondre. Le rapport ne dit pas cela, mais si vous êtes confronté à une mauvaise question de sécurité, je vous conseille de fournir une réponse fausse mais mémorable.
Profilage criminel
Les annonceurs et les entreprises en ligne profilent constamment les consommateurs de différentes manières. Ils cherchent à identifier les clients fidèles, les risques de mauvais crédit, voire à déterminer qui est en bonne santé et qui ne l’est pas. Vos habitudes d'achat peuvent déterminer si vous recevez ou non un coupon, ou quel argument publicitaire touche votre navigateur.
La même chose se produit dans le monde louche de la cybercriminalité. Chaque violation de données donne plus de données aux malfaiteurs et, en combinant les résultats de violations superposées, ils peuvent créer des profils très précis. Le livre blanc suggère que de tels profils existent déjà pour "des millions d'utilisateurs".
Conseils aux entreprises
Le livre blanc propose un certain nombre de suggestions pour les entreprises en ligne. Il est conseillé de ne stocker que le minimum nécessaire de données personnelles et de ne rien stocker du tout pour une transaction unique. Les entreprises doivent éviter de stocker des données sensibles sous forme de texte brut. en particulier, ils doivent stocker les hachages de mots de passe, pas les mots de passe. Ils devraient également permettre aux utilisateurs de fermer des comptes, effaçant ainsi toutes les données personnelles du système, y compris les données stockées dans des sauvegardes.
Les entreprises doivent supposer qu'une violation de données se produira. Le rapport note que la moitié des dix violations les plus graves de la dernière décennie ont eu lieu en 2013. La préparation d'une violation inclut la mise en place d'un canal de communication alternatif pour chaque utilisateur, en cas de violation du canal principal. Les entreprises doivent prendre contact de manière proactive après une violation et mettre en œuvre des méthodes pour réauthentifier les utilisateurs à risque, telles que la création de questions de défi basées sur l'activité de l'utilisateur.
Le livre blanc complet, intitulé "Pourquoi votre violation de données est mon problème", offre une mine d'informations utiles et exploitables, qui sont étonnamment lisibles. Regarde.
