Krypterte Smartphones Sikre din identitet, ikke bare dine data

Krypterte Smartphones Sikre din identitet, ikke bare dine data
En smarttelefon er en digital ID-form for mange apper og tjenester. Iowa Department of Transportation

Smarttelefoner lagrer e-posten, bildene dine og kalenderen din. De gir tilgang til sosiale nettsider på nettet, som Facebook og Twitter, og til og med bank- og kredittkortkontoer. Og de er nøkler til noe enda mer privat og verdifullt - din digitale identitet.

Gjennom sin rolle i tofaktors autentiseringssystemer, den mest brukte sikker digital identifikasjonsbeskyttelsesmetode, har smarttelefoner blitt viktige for å identifisere folk både online og offline. Hvis data og apper på smarttelefoner ikke er sikre, er det en trussel mot folks identiteter, som muliggjør inntrengere som mål for sosiale nettverk, e-post, arbeidsplasskommunikasjon og andre nettkontoer.

Så nylig som 2012, FBI anbefalte offentlig beskyttelse av deres smarttelefoner data ved å kryptere den. Mer nylig, skjønt, byrået har spurte telefon beslutningstakere å gi en måte å komme inn i krypterte enheter, hva politiet ringer "eksepsjonell tilgang. "Debatten så langt har fokusert på personvern, men det gir et viktig aspekt av smarttelefonkryptering: dets evne til å sikre folks personlige online identiteter.

Som jeg skrev i min siste bok, "Lytte i: Cybersecurity i en usikker alder, "Gjør hva FBI ønsker - noe som gjør telefoner enklere å låse opp - nødvendigvis reduserer brukernes sikkerhet. Et nylig Nasjonalt akademi for vitenskap, ingeniørfag og medisinstudie, der jeg deltok, advarer også på at det blir enklere å låse opp telefonene, noe som kan svekke dette nøkkelelementet for å sikre folks online identiteter.

Samle bevis eller svekkelse av sikkerhet?

I de senere år har politiet søkt tilgang til mistenktes smarttelefoner som en del av kriminelle undersøkelser, og teknologibedrifter har motstått. Den mest fremtredende av disse situasjonene oppstod i kjølvannet av 2015 San Bernardino masseskyting. Før angriperne selv ble drept i en shootout, kunne de ødelegge sine datamaskiner og telefoner - unntatt en, en låst iPhone. FBI ønsket at telefonen ble dekryptert, men bekymret for at mislykkede forsøk på å sprenge Apples sikkerhetsmekanismer kan føre til at telefonen skal Slett alle dataene.

Etaten tok Apple til retten, som forsøker å tvinge selskapet til å skrive spesiell programvare for å unngå telefonens innebygde beskyttelser. Apple motstod, og argumenterte for at FBIs innsats var regjeringens overtakelse som, hvis vellykket, ville reduser alle iPhone-brukeres sikkerhet - og i forlengelse av alle smarttelefonbrukere.

Konflikten ble løst da FBI Betalt et selskap for sikkerhetssikkerhet for å bryte inn i telefonen - og funnet ingenting av relevans til undersøkelsen. Men byrået holdt seg fast at etterforskerne burde ha det de kalte "eksepsjonell tilgang, "Og hva andre kalte en"bakdør": Innebygd programvare som tillater politiet å dekryptere låste telefoner.

Betydningen av tofaktorautentisering

Situasjonen er ikke så enkelt som FBI antyder. Sikre telefoner gir hindringer for politiundersøkelser, men de er også en utmerket komponent i sterk cybersikkerhet. Og gitt frekvensen av cyberattacks og mangfoldet av deres mål, er det ekstremt viktig.

I juli 2015 annonserte amerikanske tjenestemenn det cyberthieves hadde stjålet personnummer, helse og finansiell informasjon og andre private data fra 21.5 million mennesker som hadde søkt om føderale sikkerhetstiltak fra US Office of Personnel Management. I desember 2015 dro en cyberattack på tre elektrisitetsbedrifter i Ukraina en kvart million mennesker uten strøm i seks timer. I mars 2016, utallige e-postmeldinger ble stjålet fra personlig Gmail-konto av John Podesta, leder av Hillary Clintons presidentkampanje.

I hvert av disse tilfellene, og mange flere rundt om i verden siden, en dårlig sikkerhetspraksis - sikring av kontoer utelukkende gjennom passord - la skurkene gjøre alvorlige skader. Når innloggingsinformasjon er lett å knekke, kommer inntrengere inn raskt - og kan gå ubemerket i flere måneder.

Teknologien for å sikre online kontoer ligger i folks lommer. Bruke en smarttelefon til å kjøre et program som heter tofaktor (eller andre faktor) autentisering gjør logging inn på nettkontoer langt vanskeligere for de slemme gutta. Programvare på smarttelefonen genererer ytterligere informasjon som en bruker må levere, utover et brukernavn og passord, før han får lov til å logge inn.

I dag bruker mange smarttelefoneiere tekstmeldinger som en andre faktor, men det er ikke bra nok. Det amerikanske instituttet for standarder og teknologi advarer om at teksting er langt mindre sikker enn autentiseringsprogrammer: Attackers kan fange tekster eller til og med overbevise et mobilfirma for å videresende SMS-meldingen til en annen telefon. (Det har skjedd Russiske aktivister, Black Life Matter aktivist DeRay Mckessonog andre.)

En sikrere versjon er en spesialisert app, som Google Authenticator or Authy, som genererer det som kalles tidsbaserte engangspassord. Når en bruker ønsker å logge på en tjeneste, gir hun et brukernavn og passord, og får deretter en melding om appens kode. Å åpne appen avslører en sekssifret kode som endres hvert 30 sekund. Bare ved å skrive det inn er brukeren faktisk logget inn. En Michigan oppstart kalt Duo gjør dette enda enklere: Når en bruker skriver inn et brukernavn og passord, peker systemet på Duo-appen på telefonen, slik at hun kan trykke på skjermen for å bekrefte innloggingen.

Disse appene er imidlertid bare like sikre som selve telefonen er. Hvis en smarttelefon har svak sikkerhet, kan noen som har besittelse av det få tilgang til en persons digitale kontoer, selv ved å låse eieren ut. Faktisk, ikke lenge etter at iPhone debuterte i 2007, hackere utviklet teknikker forum hacking inn i tapt og stjålet telefoner. Apple reagerte by bygge bedre sikkerhet for data på sine telefoner; Dette er det samme settet av beskyttelse som lovhåndhevelse nå forsøker å angre.

Unngå katastrofe

Bruke en telefon som en annen faktor i autentisering er praktisk: De fleste bærer sine telefoner hele tiden, og appene er enkle å bruke. Og det er sikkert: Brukerne merker om telefonen mangler, som de ikke gjør hvis et passord løftes. Telefoner som andre faktorautentisatorer gir en enorm økning i sikkerhet utover bare brukernavn og passord.

Hvis Office of Personnel Management hadde brukt andrefaktorautentisering, ville ikke personopplysningene vært så lett å løfte. Hadde de ukrainske energiselskapene brukt annenfaktorautentisering for tilgang til de interne nettene som kontrollerte kraftdistribusjon, ville hackerne ha funnet det mye vanskeligere å forstyrre strømnettet selv. Og hvis John Podesta hadde brukt andre faktorautentisering, ville russiske hackere ikke ha vært i stand til å komme inn på sin Gmail-konto, selv med sitt passord.

FBI motsier seg seg på dette viktige problemet. Byrået har Foreslo offentlig bruk av tofaktorautentisering og krever det når politimenn vil koble til føderale strafferettsdatabasesystemer fra et usikkert sted som en kaffebar eller til og med en politibil. Men da vil byrået gjøre smarttelefoner lettere å låse opp, svekke sitt eget systems beskyttelse.

Den ConversationJa, telefoner som er vanskelig å låse opp hindrer undersøkelser. Men det savner en større historie. Online kriminalitet øker kraftig, og angrepene vokser mer sofistikert. Å gjøre telefoner enkle for at etterforskere kan låse opp, vil underminere den beste måten det er for vanlige folk å sikre sine online kontoer. Det er en feil for FBI å forfølge denne politikken.

Om forfatteren

Susan Landau, professor i datalogi, lov og diplomati og cybersecurity, Tufts University

Denne artikkelen ble opprinnelig publisert på Den Conversation. Les opprinnelige artikkelen.

Bøker av denne forfatteren

{amazonWS: searchindex = Bøker; søkeord = Susan Landau; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

følg InnerSelf på

facebook-ikonettwitter-iconrss-ikonet

Få den siste via e-post

{Emailcloak = off}