Krypterade Smartphones Säkra din identitet, inte bara dina data

Krypterade Smartphones Säkra din identitet, inte bara dina data
En smartphone är en digital ID-form för många appar och tjänster. Iowa Department of Transportation

Smartphones lagrar ditt email, dina foton och din kalender. De ger tillgång till online sociala medier som Facebook och Twitter, och till och med dina bank- och kreditkortskonton. Och de är nycklar till något ännu mer privat och dyrbart - din digitala identitet.

Genom sin roll i tvåfaktors autentiseringssystem, den mest använda säker digital identitetsskyddsmetod, har smartphones blivit viktiga för att identifiera människor både online och offline. Om data och appar på smartphones inte är säkra, är det ett hot mot människors identiteter, vilket möjliggör att inkräktare kan utgöra deras mål på sociala nätverk, e-post, arbetsplatskommunikation och andra onlinekonton.

Så sent som 2012, FBI rekommenderade allmänheten att skydda sina smartphones data genom att kryptera den. Mer nyligen, dock, byrån har frågade telefon beslutsfattare att ge ett sätt att komma in i krypterade enheter, vad polisanrop "exceptionell tillgång. "Debatten hittills har fokuserat på dataintegritet, men det lämnar en viktig aspekt av smartphone kryptering: dess förmåga att säkra människors personliga online identiteter.

Som jag skrev i min senaste bok, "Lyssna på: Cybersäkerhet i en osäker ålder, "Gör vad FBI vill - gör telefoner lättare att låsa upp - nödvändigtvis minskar användarnas säkerhet. En nyligen Nationella akademier för vetenskap, teknik och medicin studie, där jag deltog, varnar också att det är lättare att låsa upp telefoner som potentiellt försvagar detta nyckelelement för att säkra människors onlineidentiteter.

Samla bevis eller försämra säkerheten?

Under senare år har polisen sökt tillgång till misstänkta smartphones som en del av brottsutredningar, och teknikföretag har motsatt sig. Den mest framträdande av dessa situationer uppstod i kölvattnet av 2015 San Bernardino massfotografering. Innan attackerna själva dödades i en shootout kunde de förstöra sina datorer och telefoner - förutom en, en låst iPhone. FBI ville ha telefonen dekrypterad, men orolig att misslyckade försök att spricka Apples säkerhetsmekanismer kan orsaka att telefonen ska radera alla dess data.

Byrån tog Apple till domstol, som försöker tvinga företaget att skriva speciell programvara för att undvika telefonens inbyggda skydd. Apple motstod och argumenterade för att FBI: s ansträngning var regeringens övergrepp som, om det lyckades, skulle minska alla iPhone-användare säkerhet - och, i förlängning, det för alla smartphone-användare.

Konflikten blev löst när FBI betalade ett företag för säkerhet i cyberbranschen för att bryta sig in i telefonen - och hittad inget av relevans till undersökningen. Men byrået var stilla, att utredare borde ha vad de kallade "exceptionell tillgång, "Och vad andra kallade en"bakdörr": Inbyggd programvara som tillåter polis att dekryptera låsta telefoner.

Betydelsen av tvåfaktorsautentisering

Situationen är inte så enkelt som FBI föreslår. Säkra telefoner ger hinder för polisutredningar, men de är också en utmärkt komponent i stark cybersäkerhet. Och givet frekvensen av cyberattack och mångfalden av deras mål är det extremt viktigt.

I juli 2015 meddelade amerikanska tjänstemän det cyberthieves hade stulits Säkerhetsnumren, hälso- och finansinformationen och andra privata uppgifter om 21.5 miljoner människor som hade ansökt om federala säkerhetsklareringar från US Office of Personnel Management. I december 2015 lämnade en cyberattack hos tre elföretag i Ukraina en kvart miljon människor utan ström i sex timmar. I mars 2016, otaliga e-postmeddelanden blev stulna från personligt Gmail-konto av John Podesta, ordförande för Hillary Clintons presidentkampanj.

I vart och ett av dessa fall, och många fler runt om i världen sedan, en dålig säkerhetspraxis - säkra konton enbart genom lösenord - låt skurkarna göra allvarliga skador. När inloggningsuppgifter är lätta att knäcka, kommer inkräktare in snabbt - och kan gå obemärkt i månader.

Tekniken för att säkra onlinekonton ligger i folks fickor. Använda en smartphone för att köra ett program som heter tvåfaktor (eller andra faktor) autentisering gör inloggning på onlinekonton långt svårare för de dåliga killarna. Programvaran på smarttelefonen genererar ytterligare information som en användare måste lämna utöver ett användarnamn och lösenord innan de får logga in.

För närvarande använder många smartphone-ägare textmeddelanden som en andra faktor, men det är inte tillräckligt bra. USA: s nationella institut för standarder och teknik varnar för att textning är mycket mindre säker än autentiseringsapps: Attackers kan avlyssningstexter eller till och med övertyga ett mobilföretag för att vidarebefordra SMS-meddelandet till en annan telefon. (Det hände med Ryska aktivister, Black Life Matter aktivist DeRay Mckessonoch andra.)

En säkrare version är en specialiserad app, som Google Authenticator or Authy, vilket genererar det som kallas tidsbaserade engångslösenord. När en användare vill logga in på en tjänst, tillhandahåller hon ett användarnamn och ett lösenord och får sedan en prompt för appens kod. Öppna appen avslöjar en sexsiffrig kod som ändras varje 30 sekunder. Endast vid att skriva in det är användaren faktiskt inloggad. En Michigan startup heter Duo gör det ännu enklare: När en användare skriver in ett användarnamn och lösenord, pekar systemet Duo-appen på sin telefon, så att hon kan trycka på skärmen för att bekräfta inloggningen.

Men dessa appar är bara lika säkra som själva telefonen är. Om en smartphone har svag säkerhet kan någon som har tillgång till det få tillgång till en persons digitala konton, till och med låsa ägaren ut. Faktiskt, inte långt efter att iPhone debuterade i 2007, hackare utvecklade tekniker för hacking i förlorade och stulna telefoner. Apple svarade by bygga bättre säkerhet för data på sina telefoner; Dessa är samma uppsättning skydd som brottsbekämpningen nu försöker ångra.

Undvik katastrof

Att använda en telefon som en andra faktor i autentisering är bekväm: De flesta bär bärbara telefoner hela tiden, och apparna är lätta att använda. Och det är säkert: Användare märker om deras telefon saknas, vilket de inte gör om ett lösenord är lyft. Telefoner som andra faktorns autentisatorer ger en enorm ökning av säkerheten utöver bara användarnamn och lösenord.

Om Office of Personnel Management hade använt andra faktorns autentisering, skulle personaldokumenten inte ha varit så lätt att lyfta. Om de ukrainska kraftbolagen använde andra faktorns autentisering för åtkomst till de interna nät som kontrollerar kraftdistributionen, skulle hackarna ha funnit det mycket svårare att störa strömnätet själv. Och om John Podesta använde andrafaktorsautentisering skulle ryska hackare inte ha kunnat komma in i sitt Gmail-konto, även med sitt lösenord.

FBI motsätter sig denna viktiga fråga. Byrån har föreslog den offentliga användningen två-faktor autentisering och kräver det när poliser vill ansluta till federala straffrättsliga databassystem från en osäker plats, till exempel en kafé eller till och med en polisbil. Men då vill byrået göra smartphones lättare att låsa upp, vilket försvagar sitt eget systems skydd.

AvlyssningenJa, telefoner som är svåra att låsa upp hindrar utredningar. Men det saknar en större historia. Online brottslighet ökar kraftigt, och attacker växer mer sofistikerade. Att göra telefoner enkelt för utredare att låsa upp kommer att undergräva det bästa sättet för vanliga människor att säkra sina onlinekonton. Det är ett misstag för FBI att följa denna policy.

Om författaren

Susan Landau, professor i datavetenskap, lag och diplomati och cybersecurity, Tufts University

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

Böcker av denna författare

{amazonWS: searchindex = Böcker; nyckelord = Susan Landau; maxresultat = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

följ InnerSelf på

facebook-icontwitter-iconrss-icon

Få det senaste via e-post

{Emailcloak = off}