Bestuur aanlyn wagwoorde
Baie gebruikers voel oorweldig deur die onderwerp van aanlyn sekuriteit. Mark Risher en Stephan Micklitz van Google praat daaroor om hierdie emosies in ag te neem wanneer sekuriteitsmaatreëls ontwerp word
Mnr. Risher, jy is 'n direkteur van produkbestuur by Google wat op die terrein van internetsekuriteit werk. Was jy al ooit 'n slagoffer van aanlyn swendelary?
Mark Risher: Ek kan nie op die oomblik aan 'n spesifieke voorbeeld dink nie, maar ek kan net só aanneem. Ek maak foute wanneer ek op die web rondblaai net soos enigiemand anders. Ek het byvoorbeeld onlangs my Google-wagwoord op die verkeerde webwerf ingevoer. Gelukkig het ek die Chrome Wagwoordwaarsku-inprop geïnstalleer wat my fout uitgewys het. Ek het my wagwoord natuurlik toe onmiddellik verander.
Stephan Micklitz, direkteur van ingenieurswese in Google se privaatheid-en-sekuriteitspan: Dis net menslik. Wanneer ons 'n wagwoord gememoriseer het, kan dit maklik gebeur dat ons dit intik sonder om goed aandag te gee aan waar ons dit invoer.
Risher: Ons sal wagwoorde graag heeltemal wil afskaf, maar ongelukkig is dit nie so maklik nie.
"Baie sekuriteitmaatreëls vind agter die skerms plaas."
Mark Risher
Wat is so sleg aan wagwoorde?
Risher: Hulle het baie nadele. Dis maklik om hulle te steel, maar moeilik om hulle te onthou, en die bestuur van ons wagwoorde kan lastig wees. Baie gebruikers meen dat 'n wagwoord so lank en ingewikkeld moontlik moet wees – al maak dit die sekuriteitsrisiko in werklikheid groter. Ingewikkelde wagwoorde bring gebruikers in die versoeking om hulle vir meer as een rekening te gebruik, wat hulle nog meer kwesbaar maak.
Micklitz: Hoe minder gereeld jy 'n wagwoord invoer, hoe beter. Dis hoekom ons nie herhaaldelik by ons rekeninge moet aan- en afmeld nie. Dit kan mettertyd veroorsaaak dat gebruikers nie aandag gee aan op watter webbladsy hulle tans is nie, wat dit vir wagwoorddiewe veel makliker maak. Daarom raai ons gebruikers aan om aangemeld te bly.
My bank se webwerf meld my outomaties af as ek 'n paar minute lank onaktief was.
Micklitz: Ongelukkig volg baie maatskappye nog verouderde reëls. Die advies om voortdurend af te meld, kom uit 'n tyd toe die meeste mense in internetkafees aanlyn gegaan het of 'n rekenaar met ander mense gedeel het. Ons navorsing wys dat hoe meer mense hul wagwoorde invoer, hoe groter is die kans dat hulle slagoffers van 'n kuberaanval sal wees. Dis daarom veiliger om eenvoudig die skermslot op jou selfoon of rekenaar te aktiveer en om 'n veilige wagwoord te gebruik.
Risher: Dis reg. Ongelukkig is daar baie vals of onpraktiese advies in omloop, wat vir baie gebruikers verwarrend kan wees. In die ergste geval voel mense uiteindelik so onseker dat hulle eenvoudig opgee: "As dit so moeilik is om myself te beskerm, kan ek eintlik maar ophou probeer." Dis nogal amper soos om die voordeur oop te hou omdat jy weet dat daar inbrekers in die omtrek is.
Hoe sal Google gebruikersekuriteit verseker as wagwoorde afgeskaf word?
Risher: Ons het reeds baie bykomende sekuriteitmaatreëls wat agter die skerms plaasvind. 'n Kuberkraker sou jou wagwoord en jou selfoonnommer kon uitvind en ons sou steeds 99,9 persent sekuriteit vir jou Google-rekening kon waarborg. Ons kyk byvoorbeeld op watter toestel of in watter land iemand aanmeld. As iemand verskeie kere ná mekaar met 'n verkeerde wagwoord by jou rekening probeer aanmeld, veroorsaak dit waarskuwingseine in ons sekuriteitstelsels.
Micklitz: Ons het ook die Sekuriteitkontrole geskep, wat dit vir gebruikers moontlik maak om stap vir stap deur hul persoonlike sekuriteitinstellings in hul Google-rekening te werk. En met die Gevorderde Beskerming-program gaan ons een stap verder.
Wat is die idee met hierdie program?
Micklitz: Die program is oorspronklik ontwikkel vir mense soos politici, uitvoerende hoofde en joernaliste, wat vir misdadigers van besondere belang sou wees. Dis nou egter beskikbaar vir enigiemand wat ekstra aanlyn beskerming wil hê. Net dié met 'n spesiale USB- of Bluetooth-module kan toegang tot hul beskermde Google-rekening kry.
Risher: Ons weet uit ervaring hoe doeltreffend hierdie stelsel is, want alle Google-werknemers gebruik 'n sekuriteitsleutel om hul maatskappyrekening veilig te hou. Sedert ons hierdie sekuriteitmaatreël ingestel het, het ons nie 'n enkele geval van uitvissing gehad wat na wagwoordbevestiging teruggespoor kon word nie. Die module verbeter Google-rekeningsekuriteit geweldig baie, want selfs al ken aanvallers die wagwoord kan hulle nie sonder die module toegang tot die rekening kry nie. Daar kan in die algemeen van enige plek ter wêreld af by 'n aanlyn rekening ingebreek word; dit is nie 'n opsie vir rekeninge wat met 'n fisiese sekuriteitmodule beskerm word nie.
Micklitz: Terloops, hierdie sekuriteitmodules kan vir baie webwerwe gebruik word – nie net Google se Gevorderde Beskerming-program nie. Jy kan hulle teen 'n klein heffing by ons of ander verskaffers koop. Al die besonderhede kan gekry word by g.co/advancedprotection.
"Dis soms vir mense moeilik om risiko's op die internet te bepaal."
Stephan Micklitz
Wat is na jul mening die grootste gevare wat vandag op die internet skuil?
Risher: Een probleem is die baie lyste gebruikername en wagwoorde wat aanlyn bestaan. Ons kollega Tadek Pietraszek en sy span het ses weke daaraan gewy om deur die internet te soek en het 3,5 miljard gebruikernaam-en-wagwoordkombinasies gekry. Dit is nie data uit gekraakte Google-rekeninge nie – dit is by ander verskaffers gesteel. Omdat baie gebruikers egter dieselfde wagwoord vir verskeie rekeninge gebruik, hou hierdie lyste vir ons ook 'n probleem in.
Micklitz: Ek beskou spiesuitvissing as 'n reuseprobleem. Dit is wanneer 'n aanvaller 'n boodskap opstel wat só slim gepersonaliseer is dat dit vir die slagoffer moeilik is om bedrieglike voorneme raak te sien. Ons sien al hoe meer dat kuberkrakers hierdie metode gebruik – met welslae.
Risher: Ek stem met Stephan saam. Daarby is spiesuitvissing nie naastenby so tydrowend as wat dit dalk klink nie. Dit neem dikwels net 'n paar minute om 'n strooipos-e-pos te personaliseer. Kuberkrakers kan die inligting gebruik wat gebruikers aanlyn oor hulself publiseer. Dit is byvoorbeeld 'n probleem met kriptogeldeenhede: Mense wat dit openlik bekend maak dat hulle 10 000 Bitcoins besit, moenie verbaas wees as hierdie inligting kubermisdadigers se aandag trek nie.
Micklitz: Dit sal wees soos as ek met 'n megafoon in die middel van 'n mark staan en my bankrekeningsaldo aankondig. Wie sal dit doen? Niemand nie. Maar dis soms vir mense moeilik om risiko's op die internet te bepaal.
Is gewone strooipos-e-pos steeds 'n probleem?
Risher: Die koppeling van toestelle en dienste is vir ons 'n groot uitdaging. Mense gebruik nie net skootrekenaars en slimfone om aanlyn te gaan nie – hulle gebruik ook TV's, slimhorlosies en slimluidsprekers. Verskeie programme werk op al hierdie toestelle – wat vir kuberkrakers baie verskillende potensiële aanvalspunte gee. En omdat baie toestelle nou gekoppel is, kan kuberkrakers een toestel gebruik om toegang te probeer kry tot inligting wat op 'n ander een geberg is. Daarom moet ons nou aandag gee aan die vraag: Hoe kan ons die veiligheid van ons gebruikers ondanks die verskeidenheid nuwe gebruiksgewoontes waarborg?
Micklitz: Dit begin daarmee dat ons onsself vra watter data ons werklik vir elke diens benodig – en watter data tussen dienste uitgeruil word.
Hoe gebruik julle kunsmatige intelligensie om te help om gebruikers te beskerm?
Micklitz: Google gebruik kunsmagtige intelligensie al 'n ruk lank.
Risher: Die tegnologie is van meet af aan by Gmail, ons e-posdiens, ingevoeg. Google het selfs hul eie masjienleerbiblioteek genaamd TensorFlow ontwikkel wat die werk vergemaklik van programmeerders wat by masjienleer betrokke is. Gmail word in besonder deur TensorFlow bevoordeel, want dit bied 'n waardevolle diens met betrekking tot die herkenning van tipiese patrone.
Kan julle verduidelik hoe hierdie patroonherkenning werk?
Risher: Kom ons sê ons neem verdagte aktiwiteit by verskeie gebruikers waar wat ons nie kan kategoriseer nie. 'n Selfleermasjien kan hierdie gebeure vergelyk en in die beste geval nuwe vorme van bedrog bespeur nog voordat hulle aanlyn begin versprei.
Micklitz: Daar is egter perke: 'n Masjien is net so slim soos die persoon wat dit gebruik. As ek vals of eensydige data in 'n masjien invoer, sal die patrone wat dit herken ook vals of eensydig wees. Die doeltreffendheid van kunsmatige intelligensie hang ondanks al die ophemeling daarvan altyd af van die persoon wat dit gebruik. Dit hang van die gebruiker af om die masjien met data van hoë gehalte op te lei en om die resultate ná die tyd na te gaan.
Risher: Toe ek vir 'n ander e-posverskaffer gewerk het, het ons eenkeer 'n boodskap van 'n bankwerknemer in Lagos af ontvang. Daar was destyds baie bedrieglike e-posse in omloop wat vermoedelik van Nigerië af gekom het. Die man het gekla dat sy e-posse altyd in die ontvanger se strooiposvouer beland het al het hy vir 'n bank van goeie naam gewerk. Dis 'n tipiese geval van vals veralgemening binne patroonherkenning weens onvoldoende inligting. Ons kon hierdie probleem oplos deur die algoritme te verander.
Foto's: Conny Mirbach
Kubersekuriteitverbeteringe
Vind uit hoe ons meer mense aanlyn veilig hou as enigiemand anders in die wêreld.
Kom meer te wete