Rsa: tidak ada lagi kata sandi?

Google telah menyatakan perang terhadap kata sandi, tetapi Alisdair Faulkner, Chief Products Officer dan salah satu pendiri ThreatMetrix, berpikir mereka melawan perang yang salah. "Idenya patut dipuji, " kata Faulkner. "Secara de facto, kebanyakan orang menggunakan kata sandi sederhana yang sama berulang-ulang. Google mengusulkan autentikator fisik. Masalahnya adalah, segala jenis skema dua faktor perlu diadopsi baik oleh situs dan oleh pengguna. Dan jika Anda kehilangan autentikator Anda, lalu bagaimana?" Dia juga menunjukkan masalah mengautentikasi pengguna saat mendaftar awal.

ThreatMetrix mengusulkan solusi yang berbeda, solusi yang tidak memerlukan upaya apa pun dari pihak pengguna. "Kami (dan banyak lainnya) percaya bahwa kami perlu menjadikan keamanan sebagai bagian default dari setiap operasi, " kata Faulkner. "Itu harus pasif, tidak mengganggu. Kombinasi perilaku Anda dan perangkat Anda di banyak interaksi dapat berfungsi untuk mengidentifikasi Anda, dan hanya Anda."

Kelakuan menyimpang

Bank mengidentifikasi transaksi yang mencurigakan dengan mencatat penyimpangan dari pola normal. ThreatMetrix menerapkan jenis logika yang sama untuk otentikasi online. Mereka tidak perlu tahu apa pun tentang Anda secara pribadi, tetapi mereka tahu, misalnya, bahwa akun email tertentu biasanya terhubung dari tiga perangkat tertentu, biasanya di California. Jika akun itu tiba-tiba mulai menghubungkan beberapa kali sekaligus, dari perangkat yang tidak dikenal, mungkin di China, itu adalah tanda bahaya.

"Bank, situs e-commerce, dan beberapa perusahaan teknologi terbesar menggunakan ThreatMetrix, " kata Faulkner. "Mereka mengawasi tanda-tanda pengambilalihan akun dan penipuan kartu kredit, dan menggunakannya untuk memvalidasi pendaftaran baru." Dia menekankan bahwa perusahaan secara ketat mencari pola dalam data, bukan untuk informasi pribadi siapa pun.

Di mana Semua Orang Tahu Nama Anda

Itu sangat masuk akal bagi saya. Ketika saya berjalan di sekitar konferensi RSA, orang-orang yang mengenal saya mengatakan "Hai!", Dan orang-orang yang tidak memeriksa lencana saya. Jika seorang wanita muda yang menarik mengenakan lencanaku, tidak ada yang akan percaya dia adalah aku; lencana itu bukan identitas saya. Saya tidak perlu memasukkan kata sandi untuk masuk ke Ruang Pers; mereka tahu siapa saya. Rencana ThreatMetrix memperluas mengetahui siapa Anda ke dunia maya.

Saya bertanya kepada Faulkner, bagaimana dengan positif palsu? Banyak dari kita pernah mengalami penahanan kartu kredit karena kami melakukan pembelian di lokasi yang tidak biasa. Tidak bisakah ThreatMetrix secara keliru memblokir akses saya ke, katakanlah sebuah situs perbankan? "Kami menyediakan konteks, " jawabnya, "tapi kami bukan penegaknya. Situs ini dapat memutuskan untuk menolak transaksi, atau melakukan pengawasan ekstra. Kecuali jika itu adalah penipuan yang terang-terangan, mereka mungkin tidak akan langsung menyangkal hal itu."

Industri perbankan sudah menggunakan teknik serupa untuk menandai transaksi yang berpotensi berisiko. Saya benar-benar dapat melihat memperluas model itu ke otentikasi situs web. Tentu saja, itu hanya dapat terjadi dengan partisipasi hampir universal. Jika tujuan mulia itu tercapai, kita mungkin tidak akan pernah lagi mengingat kata sandi seperti 8l3yO5JgtxIC atau CorrectHorseBatteryStaple.

Untuk melihat semua posting dari cakupan RSA kami, lihat halaman Tampilkan Laporan kami.