Wetenschap
Een smartphone is een digitale vorm van ID voor veel apps en diensten. Krediet:Iowa Department of Transportation
Smartphones slaan uw e-mail op, uw foto's en uw kalender. Ze bieden toegang tot online sociale mediasites zoals Facebook en Twitter, en zelfs uw bank- en creditcardrekeningen. En het zijn de sleutels tot iets dat nog persoonlijker en waardevoller is:uw digitale identiteit.
Door hun rol in tweefactorauthenticatiesystemen, de meest gebruikte veilige methode voor digitale identiteitsbescherming, smartphones zijn essentieel geworden voor het identificeren van mensen, zowel online als offline. Als data en apps op smartphones niet veilig zijn, dat is een bedreiging voor de identiteit van mensen, mogelijk toestaan dat indringers zich voordoen als hun doelwit op sociale netwerken, e-mail, communicatie op de werkplek en andere online accounts.
Nog in 2012 de FBI adviseerde het publiek om de gegevens van hun smartphones te beschermen door deze te versleutelen. Recenter, Hoewel, het bureau heeft telefoonfabrikanten gevraagd om een manier te bieden om in gecodeerde apparaten te komen, wat de politie 'uitzonderlijke toegang' noemt. Het debat tot nu toe was gericht op gegevensprivacy, maar dat laat een essentieel aspect van smartphone-encryptie buiten beschouwing:het vermogen om de persoonlijke online identiteit van mensen te beveiligen.
Zoals ik in mijn recente boek schreef, "Luisteren in:cyberbeveiliging in een onzeker tijdperk, " doen wat de FBI wil - telefoons gemakkelijker te ontgrendelen maken - vermindert noodzakelijkerwijs de veiligheid van gebruikers. Een recente National Academies of Sciences, Engineering en geneeskunde studie, waaraan ik heb deelgenomen, waarschuwt ook dat het gemakkelijker maken van telefoons om dit belangrijke element van het beveiligen van de online identiteit van mensen mogelijk te verzwakken.
Bewijs verzamelen of de beveiliging verzwakken?
In recente jaren, politie heeft toegang gezocht tot de smartphones van verdachten als onderdeel van strafrechtelijk onderzoek, en technologiebedrijven hebben weerstand geboden. De meest prominente van deze situaties ontstonden na de massale schietpartij in San Bernardino in 2015. Voordat de aanvallers zelf werden gedood in een vuurgevecht, ze waren in staat om hun computers en telefoons te vernietigen - op één na, een vergrendelde iPhone. De FBI wilde dat de telefoon ontsleuteld werd, maar was bang dat mislukte pogingen om de beveiligingsmechanismen van Apple te kraken ertoe zouden kunnen leiden dat de telefoon al zijn gegevens wist.
Het bureau daagde Apple voor de rechter, proberen het bedrijf te dwingen speciale software te schrijven om de ingebouwde beveiligingen van de telefoon te vermijden. Appel verzette zich, met het argument dat de inspanning van de FBI de overheid te ver ging, dat, indien succesvol, de veiligheid van alle iPhone-gebruikers zou verminderen - en, door verlenging, die van alle smartphonegebruikers.
Het conflict werd opgelost toen de FBI een cyberbeveiligingsbedrijf betaalde om in te breken in de telefoon – en niets vond dat relevant was voor het onderzoek. Maar het bureau bleef volhouden dat onderzoekers zouden moeten hebben wat zij noemden "uitzonderlijke toegang, " en wat anderen een "achterdeur" noemden:ingebouwde software waarmee de politie vergrendelde telefoons kan ontcijferen.
Het belang van tweefactorauthenticatie
De situatie is niet zo eenvoudig als de FBI suggereert. Beveiligde telefoons vormen barrières voor politieonderzoeken, maar ze zijn ook een uitstekend onderdeel van sterke cyberbeveiliging. En gezien de frequentie van cyberaanvallen en de diversiteit van hun doelen, dat is ontzettend belangrijk.
In juli 2015 Amerikaanse functionarissen kondigden aan dat cyberdieven de sofinummers hadden gestolen, gezondheids- en financiële informatie en andere privégegevens van 21,5 miljoen mensen die federale veiligheidsmachtigingen hadden aangevraagd bij het Amerikaanse Office of Personnel Management. in december 2015, een cyberaanval op drie elektriciteitsbedrijven in Oekraïne zorgde ervoor dat een kwart miljoen mensen zes uur lang zonder stroom zaten. In maart 2016, talloze e-mails werden gestolen van het persoonlijke Gmail-account van John Podesta, voorzitter van de presidentiële campagne van Hillary Clinton.
In elk van deze gevallen en nog veel meer over de hele wereld sinds, een slechte beveiligingspraktijk - accounts uitsluitend beveiligen met wachtwoorden - laat slechteriken ernstige schade aanrichten. Wanneer inloggegevens gemakkelijk te kraken zijn, indringers komen snel binnen – en kunnen maandenlang onopgemerkt blijven.
De technologie om online accounts te beveiligen ligt in de portemonnee van mensen. Het gebruik van een smartphone om software met de naam tweefactorauthenticatie (of tweedefactorauthenticatie) uit te voeren, maakt het inloggen op online accounts veel moeilijker voor de slechteriken. Software op de smartphone genereert een extra stukje informatie dat een gebruiker moet verstrekken, naast een gebruikersnaam en wachtwoord, voordat u mag inloggen.
Momenteel, veel smartphonebezitters gebruiken sms-berichten als een tweede factor, maar dat is niet goed genoeg. Het Amerikaanse National Institute of Standards and Technology waarschuwt dat sms'en veel minder veilig is dan authenticatie-apps:aanvallers kunnen teksten onderscheppen of zelfs een mobiel bedrijf overtuigen om het sms-bericht door te sturen naar een andere telefoon. (Het is Russische activisten overkomen, Black Lives Matter-activist DeRay Mckesson, en anderen.)
Een veiligere versie is een gespecialiseerde app, zoals Google Authenticator of Authy, die op tijd gebaseerde eenmalige wachtwoorden genereert. Wanneer een gebruiker wil inloggen op een dienst, ze geeft een gebruikersnaam en wachtwoord op, en krijgt vervolgens een prompt voor de code van de app. Het openen van de app onthult een zescijferige code die elke 30 seconden verandert. Pas door dat in te typen, is de gebruiker daadwerkelijk ingelogd. Een startup uit Michigan genaamd Duo maakt dit nog eenvoudiger:nadat een gebruiker een gebruikersnaam en wachtwoord heeft ingevoerd, het systeem pingt de Duo-app op haar telefoon, zodat ze op het scherm kan tikken om de aanmelding te bevestigen.
Echter, deze apps zijn alleen zo veilig als de telefoon zelf. Als een smartphone een zwakke beveiliging heeft, iemand die erover beschikt toegang kan krijgen tot iemands digitale rekeningen, zelfs de eigenaar buitensluiten. Inderdaad, niet lang nadat de iPhone in 2007 debuteerde, hackers ontwikkelden technieken om verloren en gestolen telefoons te hacken. Apple reageerde door een betere beveiliging te bouwen voor de gegevens op zijn telefoons; dit zijn dezelfde reeks beschermingen die de wetshandhaving nu ongedaan probeert te maken.
Een ramp voorkomen
Het gebruik van een telefoon als tweede factor bij authenticatie is handig:de meeste mensen hebben hun telefoon altijd bij zich, en de apps zijn gemakkelijk te gebruiken. En het is veilig:gebruikers merken dat hun telefoon ontbreekt, wat ze niet doen als een wachtwoord wordt opgeheven. Telefoons als tweedefactorauthenticatie bieden een enorme toename van de beveiliging die verder gaat dan alleen gebruikersnamen en wachtwoorden.
Als het Office of Personnel Management tweedefactorauthenticatie had gebruikt, die personeelsdossiers zouden niet zo gemakkelijk op te heffen zijn geweest. Als de Oekraïense energiebedrijven tweedefactorauthenticatie hadden gebruikt voor toegang tot de interne netwerken die de stroomdistributie regelen, de hackers zouden het veel moeilijker hebben gevonden om het elektriciteitsnet zelf te verstoren. En als John Podesta tweedefactorauthenticatie had gebruikt, Russische hackers zouden niet in zijn Gmail-account kunnen komen, zelfs met zijn wachtwoord.
De FBI spreekt zichzelf tegen over deze belangrijke kwestie. Het bureau heeft het publiek voorgesteld om tweefactorauthenticatie te gebruiken en vereist het wanneer politieagenten verbinding willen maken met federale strafrechtelijke databasesystemen vanaf een onveilige locatie zoals een coffeeshop of zelfs een politieauto. Maar dan wil het bureau smartphones makkelijker te ontgrendelen maken, de bescherming van zijn eigen systeem verzwakken.
Ja, telefoons die moeilijk te ontgrendelen zijn, belemmeren onderzoeken. Maar dat mist een groter verhaal. Internetcriminaliteit neemt sterk toe, en aanvallen worden steeds geavanceerder. Door telefoons gemakkelijk te ontgrendelen voor onderzoekers, wordt de beste manier voor gewone mensen om hun online accounts te beveiligen, ondermijnd. Het is een vergissing dat de FBI dit beleid volgt.
Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.
Wetenschap © https://nl.scienceaq.com