Rsa: không có mật khẩu nữa, bao giờ?

Google đã tuyên chiến với mật khẩu, nhưng Giám đốc sản phẩm của Alitorair Faulkner và đồng sáng lập của ThreatMetrix, cho rằng họ đang chiến đấu với cuộc chiến sai lầm. "Ý tưởng thật đáng khen ngợi, " Faulkner nói. "Trên thực tế, hầu hết mọi người sử dụng cùng một mật khẩu đơn giản. Google đề xuất một trình xác thực vật lý. Vấn đề là, bất kỳ loại sơ đồ hai yếu tố nào cũng cần được chấp nhận bởi cả trang web và người dùng. Và nếu bạn mất trình xác thực, sau đó thì sao Ông cũng chỉ ra vấn đề xác thực người dùng trong quá trình đăng ký ban đầu.

ThreatMetrix đề xuất một giải pháp khác, một giải pháp không đòi hỏi bất kỳ nỗ lực nào từ phía người dùng. "Chúng tôi (và rất nhiều người khác) tin rằng chúng tôi cần phải bảo mật là một phần mặc định của mỗi hoạt động", Faulkner nói. "Nó nên thụ động, không xâm phạm. Sự kết hợp giữa hành vi của bạn và thiết bị của bạn qua nhiều tương tác có thể phục vụ để nhận dạng bạn và chỉ bạn."

Hành vi lệch lạc

Các ngân hàng xác định các giao dịch đáng ngờ bằng cách lưu ý các sai lệch so với các mẫu thông thường. ThreatMetrix áp dụng cùng loại logic cho xác thực trực tuyến. Họ không nhất thiết phải biết bất cứ điều gì về cá nhân bạn, nhưng họ thực sự biết rằng một tài khoản email cụ thể thường kết nối từ ba thiết bị cụ thể, thường là ở California. Nếu tài khoản đó đột nhiên bắt đầu kết nối nhiều lần cùng một lúc, từ các thiết bị không xác định, có lẽ ở Trung Quốc, đó là cờ đỏ.

"Các ngân hàng, trang web thương mại điện tử và một số công ty công nghệ lớn nhất sử dụng ThreatMetrix, " Faulkner nói. "Họ theo dõi các dấu hiệu tiếp quản tài khoản và gian lận thẻ tín dụng, và sử dụng nó để xác nhận đăng ký mới." Ông nhấn mạnh rằng công ty nghiêm túc tìm kiếm các mẫu trong dữ liệu, không phải cho thông tin cá nhân của bất kỳ ai.

Nơi mọi người đều biết tên của bạn

Nó rất có ý nghĩa với tôi. Khi tôi đi dạo quanh hội nghị RSA, những người biết tôi nói "Xin chào!, " Và những người không kiểm tra huy hiệu của tôi. Nếu một phụ nữ trẻ hấp dẫn đeo huy hiệu của tôi, không ai tin cô ấy là tôi; huy hiệu không phải là danh tính của tôi. Tôi không phải nhập mật khẩu để vào Phòng họp báo; họ biết tôi là ai Kế hoạch ThreatMetrix mở rộng việc biết bạn là ai vào không gian ảo.

Tôi hỏi Faulkner, còn dương tính giả thì sao? Nhiều người trong chúng tôi đã có kinh nghiệm giữ thẻ tín dụng vì chúng tôi đã mua hàng ở một địa điểm khác thường. ThreatMetrix không thể chặn nhầm quyền truy cập của tôi vào một trang web ngân hàng? "Chúng tôi cung cấp bối cảnh", ông trả lời, "nhưng chúng tôi không phải là người thực thi. Trang web có thể quyết định từ chối giao dịch hoặc chịu sự giám sát thêm. Trừ khi nó lừa đảo một cách trắng trợn, họ có thể sẽ không từ chối hoàn toàn."

Ngành ngân hàng đã sử dụng các kỹ thuật tương tự để đánh dấu các giao dịch tiềm ẩn rủi ro. Tôi hoàn toàn có thể thấy việc mở rộng mô hình đó sang xác thực trang web. Tất nhiên, nó chỉ có thể xảy ra với sự tham gia gần như phổ quát. Nếu đạt được mục tiêu cao cả đó, chúng ta có thể không bao giờ phải nhớ mật khẩu như 8l3yO5JgtxIC hoặc CorrectHorseBatteryStaple.

Để xem tất cả các bài đăng từ phạm vi bảo hiểm RSA của chúng tôi, hãy xem trang Hiển thị Báo cáo của chúng tôi.