Video: How to Get an EIN for Your LLC/Corp Even If You Don't Have an SSN or ITIN (Tháng Chín 2024)
Khi một trang web mua sắm trực tuyến bị vi phạm dữ liệu, bạn sẽ nhận được cảnh báo thay đổi mật khẩu của mình. Nếu ngân hàng của bạn bị hack, họ sẽ gửi cho bạn một thẻ tín dụng mới. Vấn đề thực sự xảy ra khi một doanh nghiệp xác thực bạn bằng cách sử dụng dữ liệu cá nhân không thể thay đổi, như SSN hoặc ngày sinh của bạn. Một whitepaper mới từ NSS Labs kiểm tra việc sử dụng thông tin tĩnh và động để xác thực và cung cấp lời khuyên cho doanh nghiệp để cải thiện bảo mật.
Dữ liệu tĩnh
SSN không bao giờ có nghĩa là một định danh cá nhân. Báo cáo lưu ý rằng số nhận dạng tương đương ở Anh không bao giờ được sử dụng để xác thực. Khi SSN của bạn bị lộ vi phạm, nó sẽ bị xâm phạm mãi mãi. Và đó là một vấn đề.
Một số doanh nghiệp cố gắng bảo vệ khách hàng bằng cách chỉ lưu trữ bốn chữ số cuối của SSN. Hóa ra điều này không hiệu quả lắm. Năm chữ số đầu tiên không ngẫu nhiên; chúng dựa trên thời gian và nơi bạn đăng ký SSN lần đầu tiên. Một dự án nghiên cứu từ năm năm trước đã phân tích dữ liệu từ "Death Master File" của chính phủ và nghĩ ra một thuật toán để dự đoán năm chữ số đầu tiên đó. Chỉ với hai lần thử, họ đã quản lý chính xác 60%. Nếu cybercrooks đã có bốn chữ số cuối cùng, SSN của bạn sẽ bị xóa.
Ngày sinh là một mốc thời gian khác không thể thay đổi. Báo cáo lưu ý rằng nơi sinh, giới tính và quyền công dân cũng có thể được sử dụng để xác thực và cũng không thể thay đổi. Nó tiếp tục tuyên bố rằng "Các doanh nghiệp và chính phủ nên hạn chế sử dụng các thuộc tính này cho mục đích bảo mật trực tuyến, mặc dù trong lịch sử chúng đã được coi là bí mật."
Dữ liệu động
Người tiêu dùng cần sử dụng các mật khẩu mạnh khác nhau cho tất cả các trang web an toàn và doanh nghiệp cần giúp đỡ, không cản trở, nỗ lực này. Báo cáo khuyên tất cả các doanh nghiệp cho phép mật khẩu dài và loại bỏ bất kỳ hạn chế nào đối với những ký tự nào có thể được sử dụng. Thật đáng thất vọng khi một trang web từ chối mật khẩu siêu an toàn do trình quản lý mật khẩu của bạn tạo ra.
Người dùng đã quên mật khẩu thường có thể xác thực lại bằng cách cung cấp câu trả lời cho một hoặc nhiều câu hỏi bảo mật. Yêu cầu thông tin có sẵn công khai như quê hương của khách hàng hoặc tên thời con gái của mẹ là một sai lầm lớn . Doanh nghiệp nên cho phép khách hàng tự xác định câu hỏi của mình và khách hàng nên tạo ra những câu hỏi mà không người ngoài nào có thể trả lời. Báo cáo không nói điều này, nhưng nếu bạn phải đối mặt với một câu hỏi bảo mật tồi, tôi khuyên bạn nên cung cấp một câu trả lời không đúng sự thật nhưng vẫn đáng nhớ.
Hồ sơ hình sự
Các nhà quảng cáo và doanh nghiệp trực tuyến liên tục hồ sơ người tiêu dùng theo nhiều cách khác nhau. Họ tìm cách xác định khách hàng trung thành, rủi ro tín dụng xấu, thậm chí tìm ra ai khỏe mạnh và ai không. Thói quen mua sắm của bạn có thể xác định liệu bạn có nhận được phiếu giảm giá hay quảng cáo nào phù hợp với trình duyệt của bạn hay không.
Điều tương tự chính xác xảy ra trong thế giới mờ ám của tội phạm mạng. Mỗi vi phạm dữ liệu cung cấp cho kẻ xấu nhiều dữ liệu hơn và bằng cách kết hợp các kết quả từ các vi phạm chồng chéo, chúng có thể tạo hồ sơ rất chính xác. Whitepaper gợi ý rằng các cấu hình như vậy đã tồn tại cho "hàng triệu người dùng".
Tư vấn cho doanh nghiệp
Whitepaper cung cấp một số gợi ý cho các doanh nghiệp trực tuyến. Nó khuyên chỉ lưu trữ dữ liệu cá nhân tối thiểu cần thiết và không lưu trữ gì cả cho giao dịch một lần. Doanh nghiệp nên tránh lưu trữ dữ liệu nhạy cảm dưới dạng văn bản thuần túy; đặc biệt họ nên lưu trữ băm mật khẩu, không phải mật khẩu. Họ cũng nên cho phép người dùng chấm dứt tài khoản, từ đó xóa sạch tất cả dữ liệu cá nhân khỏi hệ thống, bao gồm cả dữ liệu được lưu trữ trong các bản sao lưu.
Các doanh nghiệp nên cho rằng một vi phạm dữ liệu sẽ xảy ra. Báo cáo lưu ý rằng trong mười vi phạm lớn nhất trong thập kỷ qua, một nửa đã xảy ra vào năm 2013. Chuẩn bị cho một vi phạm bao gồm thiết lập kênh liên lạc thay thế cho mọi người dùng, trong trường hợp kênh chính bị vi phạm. Các doanh nghiệp nên chủ động tiếp cận sau khi vi phạm và thực hiện các phương pháp để xác thực lại người dùng có nguy cơ, chẳng hạn như tạo câu hỏi thách thức dựa trên hoạt động thực tế của người dùng.
Bản trắng đầy đủ, có tiêu đề "Tại sao vi phạm dữ liệu của bạn là vấn đề của tôi", cung cấp rất nhiều thông tin hữu ích và có thể thực hiện được, và thật đáng ngạc nhiên khi đọc được. Có một cái nhìn.
