비디오: Новый год от Жени:* (십월 2024)
온라인 쇼핑 사이트에 데이터 유출이 발생하면 비밀번호를 변경하라는 경고가 표시됩니다. 은행이 해킹되면 새 신용 카드를 보내드립니다. 실제 문제는 SSN 또는 생년월일과 같이 변경할 수없는 개인 데이터를 사용하여 회사에서 인증 할 때 발생합니다. NSS Labs의 새로운 백서는 인증을위한 정적 및 동적 정보의 사용에 대해 검토하고 기업의 보안 향상에 대한 조언을 제공합니다.
정적 데이터
SSN은 결코 개인 식별자로 사용되지 않았습니다. 이 보고서에 따르면 영국의 동등한 식별자는 인증에 사용되지 않습니다. SSN이 위반으로 밝혀지면 영원히 손상됩니다. 그리고 그것은 문제입니다.
일부 비즈니스는 SSN의 마지막 네 자리 만 저장하여 고객을 보호하려고합니다. 이것이 효과적이지 않다는 것이 밝혀졌습니다. 처음 다섯 자리는 무작위가 아닙니다. SSN 신청 시점과 장소에 따라 결정됩니다. 5 년 전의 연구 프로젝트는 정부의 "Death Master File"의 데이터를 분석하고 처음 5 자리를 예측하는 알고리즘을 고안했습니다. 두 번의 시도로 60 %의 정확도를 관리했습니다. 사이버 사기꾼이 이미 마지막 네 자리 숫자를 가지고 있다면, SSN이 파킹됩니다.
생년월일은 변경할 수없는 또 다른 기준입니다. 보고서는 출생지, 성별 및 시민권이 인증에 사용될 수 있으며 변경 될 수 없음을 지적합니다. "기업과 정부는 역사적으로 기밀로 간주되었지만 온라인 보안 목적으로 이러한 속성을 사용하지 말아야합니다."
동적 데이터
소비자는 모든 보안 사이트에 대해 서로 다른 강력한 암호를 사용해야하며, 기업은 이러한 노력을 방해하지 않고 도와야합니다. 이 보고서는 모든 기업에게 긴 암호를 허용하고 사용할 수있는 문자에 대한 제한을 제거하도록 권고합니다. 웹 사이트가 비밀번호 관리자에 의해 생성 된 안전한 비밀번호를 거부 할 때 매우 실망합니다.
비밀번호를 잊어 버린 사용자는 종종 하나 이상의 보안 질문에 대한 답변을 제공하여 재 인증 할 수 있습니다. 고객의 고향이나 어머니의 성함과 같은 공개적으로 사용 가능한 정보를 요구하는 것은 큰 실수입니다. 기업은 고객이 자신의 질문을 정의 할 수 있어야하며, 외부인이 대답 할 수없는 질문을 작성해야합니다. 이 보고서는 이것을 말하지는 않지만 잘못된 보안 질문에 직면하는 경우 사실이지만 기억하기 어려운 답변을 제공하는 것이 좋습니다.
범죄 프로파일 링
광고주와 온라인 비즈니스는 다양한 방식으로 지속적으로 소비자를 프로파일합니다. 그들은 충성도가 높은 고객, 나쁜 신용 위험을 식별하고 누가 건강하고 누가 그렇지 않은지를 파악하려고합니다. 쇼핑 습관에 따라 할인 쿠폰을 받을지 여부 또는 브라우저에 맞는 광고 피치가 결정될 수 있습니다.
사이버 범죄의 그늘진 세상에서도 똑같은 일이 일어납니다. 모든 데이터 침해는 악의적 인 사용자에게 더 많은 데이터를 제공하고 중복 된 위반의 결과를 결합하여 매우 정확한 프로필을 만들 수 있습니다. 이 백서는 이러한 프로파일이 이미 "수백만 명의 사용자"에게 존재한다고 제안합니다.
사업에 대한 조언
백서는 온라인 비즈니스를위한 여러 가지 제안을 제공합니다. 필요한 최소한의 개인 데이터 만 저장하고 일회성 트랜잭션에는 아무것도 저장하지 않는 것이 좋습니다. 기업은 민감한 데이터를 일반 텍스트로 저장하지 않아야합니다. 특히 비밀번호가 아닌 비밀번호 해시를 저장해야합니다. 또한 사용자가 계정을 종료 할 수 있도록하여 백업에 저장된 데이터를 포함하여 시스템에서 모든 개인 데이터를 삭제해야합니다.
기업은 데이터 유출이 발생한다고 가정해야합니다. 이 보고서는 지난 10 년 동안 10 건의 가장 큰 위반 건수 중 절반이 2013 년에 발생했다고 지적했다. 비즈니스는 위반 후 사전에 적극적으로 연락하고 실제 사용자 활동을 기반으로 챌린지 질문을 생성하는 등 위험 사용자를 재 인증하는 방법을 구현해야합니다.
"데이터 유출이 내 문제인 이유"라는 전체 백서에는 유용하고 실행 가능한 풍부한 정보가 있으며 놀랍게도 읽을 수 있습니다. 보세요
