6 способов, которыми компании могут легко вас взломать

Крупные компании тратят много денег на обеспечение безопасности клиентов, но многие также создают лазейки, которые, делая покупки быстрее и проще, позволяют хакерам грабить вас.

Должны ли компании сделать вас более безопасными или сделать их использование более удобным для вас? И лучше ли на самом деле держать вас в безопасности или подвергать вас разочаровывающим процессам, просто чтобы вы думали, что вы в безопасности? Ответы не всегда имеют ваши интересы в глубине души.

Вот некоторые из наиболее распространенных способов, которыми компании облегчают жизнь хакерам. Это ни в коем случае не полный список - мы не будем говорить о хранении паролей в простом тексте, например - но он должен охватывать основы в упрощенном виде.

Разрешение обхода пароля перед покупкой в ​​PayPal

Вам, вероятно, не нравится вводить пароли. Большинство людей этого не делают - это однообразная задача, которая может быстро стать более неприятной, если вы неправильно наберете пароль или запомните пароль. Позволить людям избегать ввода паролей - большая победа для удобства, но это также проблема, когда деньги переходят из рук в руки.

Допустим, вы создали учетную запись PlayStation Network. Вы можете использовать PayPal для добавления средств в цифровой кошелек, который затем используется для покупки товаров. Этот обходной метод покупки вещей кажется более безопасным - два входа должны быть скомпрометированы, но это не так. Если кто-то узнает ваши учетные данные PlayStation Network, и вы решите не запрашивать пароль каждый раз, когда PayPal используется для пополнения вашего кошелька, этот человек может украсть у вас неисчислимые суммы денег без вашего ведома.

Позволяет вам установить четырехзначный PIN-код вместо пароля

Здесь мы снова идем с паролями. На этот раз речь идет о том, чтобы позволить людям устанавливать PIN-коды, а не вводить пароль. Звучит здорово! Но последствия варьируются от того, что вы становитесь немного менее защищенными (использование PIN-кода вместо пароля на iOS), до опасно небезопасных в зависимости от того, как они используются.

Учтите предупреждение французского председателя Национальной комиссии по защите данных о том, что пользователи Windows 10 могут установить ПИН-код для своих учетных записей Microsoft. Это не так уж плохо … за исключением того, что кто-то может угадать этот PIN-код столько раз, сколько ему захочется, что означает, что ваша учетная запись защищена цифровым эквивалентом кубу Рубика: в конечном итоге кто-то может наткнуться на пути решения проблемы.

Заставить вас использовать заранее заданные вопросы безопасности (и ответы)

Допустим, вы живете в Соединенных Штатах и ​​платите налоги. Это проще (хотя отнюдь не «легко»), если вы создали учетную запись в IRS. При этом вы обнаружите, что IRS требует, чтобы вы задали вопросы безопасности, и у него есть удобный выпадающий список приемлемых запросов, на которые вы можете ответить.

Это ужасная идея. Большинство предварительно сгенерированных вопросов опираются на публичную информацию. В эпоху Фейсбука несложно узнать чей-то первый адрес, девичью фамилию матери или имя первого питомца. Ваша учетная запись на самом деле менее безопасна, потому что кто-то может использовать эту легко собираемую информацию для доступа к ней.

Требуя частой смены паролей

Итак, вы нашли пароль, который легко вводится и запоминается. Большой! Повторите этот процесс в следующие 90 дней, пожалуйста, потому что мы все еще считаем, что использование пароля в течение длительного времени является угрозой безопасности. Это правда? Люди безопаснее, если они регулярно меняют свои пароли вместо того, чтобы использовать их вечно?

Нет. Изменение паролей является угрозой безопасности, поскольку FTC постоянно указывал, потому что это побуждает вас использовать плохие пароли. Небезопасный пароль - это практически приглашение для взлома аккаунта.

Оставляя вас уязвимым для взломов социальной инженерии через службу поддержки

Многие компании гордятся обслуживанием клиентов. Их работа состоит в том, чтобы сделать вас счастливыми, чтобы вы не жаловались, не брали свои деньги в другое место и не рекомендовали, чтобы люди прекратили заниматься этим конкретным бизнесом в будущем. Но иногда системы, разработанные, чтобы сделать вас счастливыми, могут быть использованы против вас.

Просто посмотрите на Амазонку. Компания известна своей поддержкой клиентов - она ​​часто готова сделать что угодно, чтобы ее клиенты продолжали возвращаться. Тем не менее, кто-то может использовать это желание, чтобы проникнуть в ваш аккаунт, используя общедоступную информацию (и мы снова с этим справимся) с относительной легкостью

Принудительное соблюдение тайных требований к паролям

Это последний раз, когда мы будем говорить о паролях, обещаю. Но стоит отметить, что требования к паролю, которые заставляют вас добавлять число, заглавную букву, символ и любые другие глифы, которые компания может заставить вас печатать, на самом деле не делают вас более защищенными. Предполагается, и кажется, что так и есть, но это не так.

Пароли должны быть уникальными, безопасными и удобными для ввода. Добавление требований должно сделать его более безопасным, но в действительности оно просто заставляет людей придумывать системы для новых паролей, особенно в сочетании с другими проблемами, такими как необходимость смены пароля через регулярные промежутки времени. Вместо того, чтобы использовать что-то сильное, например, «Cq6U /? I8zV», вы в конечном итоге используете «p4ssword1» и «p4ssword2» или что-то подобное. Эти пароли легко угадать, и если один из них будет взломан, любые пароли, использующие аналогичную формулу, также будут затронуты.