视频: †ÙÆ' الÙÆ'ويت الوطنيإعلانال�طور رà (十一月 2024)
当在线购物网站遭受数据泄露时,您会收到一条警告,要求您更改密码。 如果您的银行被黑客入侵,他们会向您发送一张新的信用卡。 当企业使用无法更改的个人数据(例如您的SSN或生日)对您进行身份验证时,就会出现真正的问题。 NSS Labs的新白皮书研究了静态和动态信息用于身份验证的情况,并为提高安全性提供了业务建议。
静态数据
SSN从未被视为个人标识符。 该报告指出,英国的等效标识符从未用于身份验证。 一旦您的SSN被泄露,它便会永远受到损害。 那是个问题。
一些企业试图通过仅存储SSN的后四位数字来保护客户。 事实证明这不是很有效。 前五个数字不是随机的; 它们取决于您首次申请SSN的时间和地点。 五年前的一个研究项目分析了政府“死亡主文件”中的数据,并设计了一种算法来预测前五个数字。 只需两次尝试,他们就可以达到60%的准确性。 如果网络骗子已经有最后四位数字,则将对您的SSN进行伪造。
出生日期是另一个无法更改的数据。 该报告指出,出生地,性别和公民身份也可以用于身份验证,并且不能更改。 它继续指出:“尽管从历史上看,企业和政府应将这些属性用于在线安全目的,但应避免使用这些属性。”
动态数据
消费者需要为所有安全站点使用不同的强密码,而企业需要帮助而不是阻止这种努力。 该报告建议所有企业允许使用长密码,并取消对可以使用哪些字符的限制。 当网站拒绝您的密码管理器生成的超级安全密码时,这非常令人沮丧。
忘记密码的用户通常可以通过提供对一个或多个安全问题的答案来进行重新认证。 要求提供诸如客户的家乡或母亲的娘家姓之类的公开信息是一个 巨大的 错误。 企业应允许客户定义自己的问题,客户应提出外人无法回答的问题。 该报告没有这么说,但是如果您遇到一个严重的安全问题,我建议您提供一个不真实但令人难忘的答案。
刑事概况
广告商和在线业务不断以许多不同的方式描述消费者。 他们试图确定忠实的客户,不良的信用风险,甚至找出谁是健康的,谁不是健康的。 您的购物习惯可能决定您是否会获得优惠券,或者哪种广告宣传会吸引您的浏览器。
完全相同的事情发生在网络犯罪的阴暗世界中。 每次数据泄露都会给坏人更多的数据,并且通过合并重叠泄露的结果,他们可以创建非常准确的配置文件。 白皮书表明,此类配置文件已经存在于“数百万用户”中。
商业建议
白皮书为在线业务提供了许多建议。 它建议仅存储必要的最少个人数据,并且一次存储一次不存储任何数据。 企业应避免将敏感数据存储为纯文本格式; 特别是它们应该存储密码哈希,而不是密码。 它们还应允许用户终止帐户,从而从系统中清除所有个人数据,包括备份中存储的数据。
企业应该假设会发生数据泄露。 该报告指出,在过去十年中发生的十大最大违规事件中,有一半发生在2013年。对于违规行为的准备包括在主要渠道遭到违反的情况下为每个用户建立备用通信渠道。 企业应在出现漏洞后主动伸出援手,并实施重新认证有风险用户的方法,例如根据实际用户活动创建质询问题。
完整的白皮书标题为“为什么数据泄露是我的问题”,提供了大量有用且可行的信息,并且可读性出奇。 看一看。
