Telefon pintar adalah bentuk ID digital untuk banyak aplikasi dan perkhidmatan. Jabatan Pengangkutan Iowa
Telefon pintar menyimpan e-mel anda, foto dan kalendar anda. Mereka menyediakan akses kepada laman media sosial dalam talian seperti Facebook dan Twitter, dan juga akaun bank dan kad kredit anda. Dan mereka kunci kepada sesuatu yang lebih peribadi dan berharga - identiti digital anda.
Melalui peranan mereka dalam sistem pengesahan dua faktor, yang paling biasa digunakan kaedah perlindungan identiti digital yang selamat, telefon pintar menjadi penting untuk mengenal pasti orang dalam talian dan di luar. Jika data dan aplikasi pada telefon pintar tidak selamat, itu adalah ancaman kepada identiti orang, yang berpotensi membenarkan penyusup untuk ditimbulkan sebagai sasaran mereka di rangkaian sosial, e-mel, komunikasi tempat kerja dan akaun dalam talian lain.
Sebaik sahaja 2012, FBI mengesyorkan awam melindungi data telefon pintar mereka dengan menyulitkannya. Baru-baru ini, walaupun, agensi itu mempunyai bertanya kepada pembuat telefon untuk memberi laluan kepada masuk ke dalam peranti yang disulitkan, apa yang dipanggil polis "akses yang luar biasa. "Perbahasan setakat ini telah memberi tumpuan kepada privasi data, tetapi meninggalkan aspek penting penyulitan telefon pintar: keupayaannya untuk mendapatkan identiti dalam talian peribadi orang.
Seperti yang saya tulis dalam buku baru-baru ini, "Mendengarkan Dalam: Keselamatan Siber dalam Umur Tidak Selamat, "Melakukan apa yang FBI mahu - menjadikan telefon lebih mudah untuk membuka kunci - semestinya mengurangkan keselamatan pengguna. Baru-baru ini Kajian Akademi Kebangsaan, Kejuruteraan dan Perubatan, di mana saya mengambil bahagian, juga memberi amaran bahawa membuat telefon lebih mudah untuk membuka kunci berpotensi melemahkan elemen penting ini untuk mendapatkan identiti dalam talian orang.
Mengumpul bukti atau melemahkan keselamatan?
Dalam tahun-tahun kebelakangan ini, polis telah mendapatkan akses kepada telefon pintar yang disyaki sebagai sebahagian daripada penyiasatan jenayah, dan syarikat teknologi telah menentang. Yang paling menonjol dari situasi ini timbul di hadapan Menembak massa 2015 San Bernardino. Sebelum penyerang sendiri terbunuh dalam penentuan, mereka dapat memusnahkan komputer dan telefon mereka - kecuali satu, iPhone terkunci. FBI mahu telefon disahsulit, tetapi bimbang bahawa percubaan gagal untuk memecahkan mekanisme keselamatan Apple boleh menyebabkan telefon padam semua datanya.
agensi itu mengambil Apple ke mahkamah, berusaha untuk memaksa syarikat untuk menulis perisian khas untuk mengelakkan perlindungan terbina dalam telefon. Apple menentang, dengan alasan bahawa usaha FBI adalah kerajaan yang melampaui bahawa, jika berjaya, akan mengurangkan semua keselamatan pengguna iPhone - dan, dengan lanjutan, semua pengguna telefon pintar.
Konflik diselesaikan ketika FBI membayar firma keselamatan siber untuk memasuki telefon - dan dijumpai tiada kaitan dengannya kepada siasatan. Tetapi biro tetap tegas bahawa penyidik harus mempunyai apa yang mereka sebut "akses yang luar biasa, "Dan apa yang disebut oleh orang lain"pintu belakang": Perisian terbina dalam membenarkan polis mengecryptkan telefon terkunci.
Kepentingan pengesahan dua faktor
Keadaan ini tidak semudah yang dicadangkan oleh FBI. Telefon selamat menyediakan halangan kepada siasatan polis, tetapi ia juga merupakan komponen penting dalam keselamatan siber. Dan memandangkan kekerapan cyberattacks dan kepelbagaian sasaran mereka, itu sangat penting.
Pada Julai 2015, pegawai AS mengumumkan bahawa cyberthieves telah dicuri nombor Keselamatan Sosial, maklumat kesihatan dan kewangan dan data peribadi lain 21.5 juta orang yang telah memohon untuk kelulusan keselamatan persekutuan dari Pejabat Pengurusan Personel AS. Pada bulan Disember 2015, sebuah cyberattack di tiga syarikat elektrik di Ukraine ditinggalkan seperempat juta orang tanpa kuasa selama enam jam. Pada Mac 2016, e-mel yang tidak banyak telah dicuri daripada akaun Gmail peribadi John Podesta, pengerusi kempen presiden Hillary Clinton.
Dalam setiap kes ini, dan banyak lagi di dunia sejak itu, amalan keselamatan yang lemah - mengamankan akaun semata-mata melalui kata laluan - biarkan orang jahat melakukan kerosakan yang serius. Apabila kelayakan login mudah rosak, penceroboh masuk dengan cepat - dan boleh pergi tanpa perhatian selama berbulan-bulan.
Teknologi untuk mendapatkan akaun dalam talian terletak pada poket orang. Menggunakan telefon pintar untuk menjalankan perisian yang dipanggil dua faktor (atau faktor kedua) pengesahan membuat log masuk ke dalam akaun dalam talian jauh lebih sukar untuk orang jahat. Perisian pada telefon pintar menjana sekeping maklumat tambahan yang pengguna mesti membekalkan, di luar nama pengguna dan kata laluan, sebelum dibenarkan masuk.
Pada masa ini, ramai pemilik telefon pintar menggunakan mesej teks sebagai faktor kedua, tetapi itu tidak cukup baik. Institut Piawaian dan Teknologi Kebangsaan AS memberi amaran bahawa penghantaran teks kurang selamat daripada aplikasi pengesahan: Penyerang boleh memintas teks atau bahkan meyakinkan sebuah syarikat mudah alih untuk meneruskan mesej SMS ke telefon lain. (Ia berlaku kepada Aktivis Rusia, Black Lives Matlamat aktivis DeRay Mckesson, dan lain-lain.)
Versi lebih selamat adalah aplikasi khusus, seperti Pengesah Google or Pengarang, yang menjana apa yang dipanggil kata laluan satu kali berasaskan masa. Apabila pengguna mahu melog masuk ke perkhidmatan, dia menyediakan nama pengguna dan kata laluan, dan kemudian mendapat petikan untuk kod aplikasinya. Membuka apl mendedahkan kod enam angka yang mengubah setiap saat 30. Hanya selepas menaip bahawa pengguna sebenarnya log masuk. Permulaan Michigan dipanggil Duo menjadikannya lebih mudah: Selepas jenis pengguna dalam nama pengguna dan kata laluan, sistem itu memainkan apl Duo di telefonnya, membenarkannya untuk mengetik skrin untuk mengesahkan log masuk.
Walau bagaimanapun, aplikasi ini hanya selamat seperti telefon itu sendiri. Sekiranya telefon pintar mempunyai keselamatan yang lemah, seseorang yang memiliki ia boleh mendapat akses ke akaun digital seseorang, walaupun mengunci pemiliknya. Sesungguhnya, tidak lama selepas iPhone memulakan kerjaya dalam 2007, penggodam teknik yang dibangunkan Untuk meretas ke telefon yang hilang dan dicuri. Apple bertindak balas by membina keselamatan yang lebih baik bagi data pada telefonnya; ini adalah satu set perlindungan yang sama yang penguatkuasaan undang-undang kini cuba untuk membatalkan.
Mengelakkan bencana
Menggunakan telefon sebagai faktor kedua dalam pengesahan adalah mudah: Kebanyakan orang membawa telefon mereka sepanjang masa, dan aplikasi mudah digunakan. Dan selamat: Pengguna notis jika telefon mereka hilang, yang mereka tidak jika kata laluan diangkat. Telefon sebagai pengesahan faktor kedua menawarkan peningkatan yang besar dalam keselamatan di luar hanya nama pengguna dan kata laluan.
Sekiranya Pejabat Pengurusan Personel menggunakan pengesahan faktor kedua, rekod kakitangan tersebut tidak akan begitu mudah diangkat. Sekiranya syarikat kuasa Ukraine telah menggunakan pengesahan faktor kedua untuk mengakses rangkaian dalaman mengawal pengagihan kuasa, penggodam akan mendapati ia lebih sukar untuk mengganggu grid kuasa itu sendiri. Dan mempunyai John Podesta menggunakan pengesahan faktor kedua, penggodam Rusia tidak akan dapat masuk ke dalam akaun Gmailnya, walaupun dengan kata laluannya.
FBI bertentangan dengan isu penting ini. Agensi itu ada mencadangkan penggunaan awam dua faktor pengesahan and memerlukannya apabila pegawai polis mahu menyambung sistem pangkalan data keadilan jenayah persekutuan dari tempat yang tidak selamat seperti kedai kopi atau kereta polis. Tetapi biro ingin membuat telefon pintar lebih mudah untuk membuka kunci, melemahkan perlindungan sistem sendiri.
Ya, telefon yang sukar membuka kunci menghalang siasatan. Tetapi itu merindukan cerita yang lebih besar. Jenayah dalam talian semakin meningkat, dan serangan semakin berkembang. Membuat telefon mudah untuk penyiasat untuk membuka kunci akan melemahkan cara terbaik bagi orang biasa untuk mendapatkan akaun dalam talian mereka. Ia adalah satu kesilapan untuk FBI meneruskan dasar ini.
Ya, telefon yang sukar membuka kunci menghalang siasatan. Tetapi itu merindukan cerita yang lebih besar. Jenayah dalam talian semakin meningkat, dan serangan semakin berkembang. Membuat telefon mudah untuk penyiasat untuk membuka kunci akan melemahkan cara terbaik bagi orang biasa untuk mendapatkan akaun dalam talian mereka. Ia adalah satu kesilapan untuk FBI meneruskan dasar ini.Tentang Pengarang
Susan Landau, Profesor Sains Komputer, Undang-undang dan Diplomasi dan Keselamatan Siber, Universiti Tufts
Artikel ini pada asalnya diterbitkan pada Perbualan. Membaca artikel asal.
Buku oleh Penulis ini
at InnerSelf Market dan Amazon
