Pamamahala sa mga online na password
Pagdating sa online na seguridad, maraming nalilitong user. Pinag-uusapan nina Mark Risher at Stephan Micklitz ng Google ang pagsasaalang-alang sa mga emosyong ito kapag bumubuo ng mga hakbang sa seguridad
Mr. Risher, isa kang Director of Product Management sa Google na nagtatrabaho sa larangan ng seguridad sa internet. Naging biktima ka na ba ng isang online scam?
Mark Risher: Wala akong maisip na partikular na halimbawa ngayon, pero puwede ko lang itong ipagpalagay. Nagkakamali ako kapag nagsu-surf sa web gaya ng lahat ng iba pa. Halimbawa, kamakailan kong nailagay ang aking Google password sa maling website. Mabuti na lang, na-install ko ang plugin sa Chrome na Alerto sa Password, na tumukoy sa pagkakamali ko. Siyempre, pagkatapos ay pinalitan ko kaagad ang aking password.
Stephan Micklitz, Director of Engineering sa team ng Privacy at Seguridad ng Google: Normal lang ito sa tao. Kapag naisaulo na natin ang isang password, puwedeng i-type natin ito nang hindi lubos na nagtutuon ng atensyon kung saan natin ito inilalagay.
Risher: Gusto naming tuluyang alisin ang mga password, pero sa kasamaang-palad ay hindi iyon ganoon kadali.
"Nangyayari behind the scenes ang marami sa mga hakbang sa seguridad."
Mark Risher
Ano ang masama tungkol sa mga password?
Risher: Maraming negatibong bagay sa mga iyon. Madaling manakaw pero mahirap tandaan ang mga iyon, at posibleng nakakapagod na pamahalaan ang ating mga password. Maraming user ang naniniwalang dapat na mahaba at kumplikado ang isang password hangga't maaari – kahit na sa katunayan ay pinapataas nito ang panganib sa seguridad. Naiisip ng mga user na gamitin ang mga kumplikadong password para sa higit sa isang account, na mas naglalagay sa kanila sa panganib.
Micklitz: Mas mabuti kapag mas madalang mo ilagay ang isang password. Kaya hindi ka dapat paulit-ulit na nagsa-sign in at nagsa-sign out sa iyong mga account. Sa paglipas ng panahon, puwede itong magresulta sa hindi pagtuon ng atensyon ng mga user kung nasaang website sila, na pinapadali ang mga bagay para sa mga magnanakaw ng password. Sa gayon, pinapayuhan namin sa aming mga user na manatiling naka-log in.
Awtomatiko akong nala-log out ng website ng aking bangko kung hindi ako aktibo sa loob ng ilang minuto.
Micklitz: Sa kasamaang-palad, maraming kumpanya ang sumusunod pa rin sa mga lumang panuntunan. Ang payo na palaging mag-log out ay mula sa panahon kung saan nag-o-online ang karamihan sa mga tao sa mga internet cafe o may kabahagi silang gumagamit ng computer. Ipinapakita ng aming pananaliksik na kapag mas maraming beses na inilalagay ng mga tao ang kanilang mga password, mas malamang na maging mga biktima sila ng cyberattack. Kaya mas ligtas na i-activate na lang ang lock ng screen sa iyong cell phone o computer at gumamit ng secure na password.
Risher: Tama iyon. Sa kasamaang-palad, maraming kumakalat na mali o hindi praktikal na payo, na puwedeng nakakalito para sa maraming user. Sa pinakamalubhang sitwasyon, hindi sigurado ang mga tao kaya sumusuko na lang sila: “Kung mahirap protektahan ang aking sarili, hindi ko na lang ito susubukan.” Para itong palaging pag-iwang bukas ng pinto sa harapan dahil alam mong may mga magnanakaw sa paligid.
Si Mark Risher ang Director of Product Management ng Google para sa seguridad at privacy. Noong 2010, itinatag niya ang cybersecurity start-up na Impermium, na nakuha ng Google noong 2014. Mula noon, nagtrabaho si Risher sa headquarters ng kumpanya sa Mountain View, California. Sa kanan: Isang security key gaya ng ginagamit sa Programang Advanced na Proteksyon. Available ito para sa maliit na bayarin at magagamit ito sa iba't ibang website.
Paano matitiyak ng Google ang seguridad ng user kung aalisin ang mga password?
Risher: Marami na kaming karagdagang hakbang sa seguridad na ipinapatakbo behind the scenes. Posibleng malaman ng hacker ang iyong password at numero ng cell phone, at magagarantiya pa rin namin ang 99.9 na porsyento ng seguridad para sa Google Account mo. Halimbawa, tinitingnan namin kung sa aling device o bansa nagla-log in ang isang tao. Kung may isang taong sumusubok na mag-log in sa iyong account nang ilang beses at sunod-sunod gamit ang maling password, nagdudulot ito ng mga alarm sa aming mga security system.
Micklitz: Binuo rin namin ang Security Checkup, na nagbibigay-daan sa mga user na step by step na suriin ang kanilang mga personal na setting ng seguridad sa kanilang Google Account. At sa Programang Advanced na Proteksyon, mas humuhusay tayo.
Ano ang ideya sa likod ng programang ito?
Micklitz: Orihinal na binuo ang programa para sa mga tao gaya ng mga politiko, CEO, o mamamahayag na posibleng may partikular na interes ang mga kriminal. Pero ngayon, available na ito sa sinumang gusto ng karagdagang online na proteksyon. Ang mga taong may espesyal na USB o Bluetooth dongle lamang ang puwedeng magkaroon ng access sa kanilang protektadong Google Account.
Risher: Alam namin mula sa karanasan kung gaano kahusay ang system na ito, dahil gumagamit ng security key ang lahat ng empleyado ng Google para panatilihing secure ang kanilang account sa kumpanya. Mula noong ipinakilala ang hakbang sa seguridad na ito, wala kaming naging kaso ng phishing na dulot ng pagkumpirma ng password. Lubos na pinapahusay ng token ang seguridad ng Google Account, dahil kahit na alam ng mga attacker ang password, hindi nila maa-access ang account kung wala ang token. Sa pangkalahatan, puwedeng ma-hack ang isang online account saanman sa mundo; pero hindi ito opsyon para sa mga account na protektado ng isang pisikal na token ng seguridad.
Micklitz: Oo nga pala, puwedeng gamitin ang mga token ng seguridad na ito para sa maraming website – hindi lang para sa Programang Advanced na Proteksyon ng Google. Mabibili mo ang mga ito sa amin o sa iba pang provider para sa maliit na halaga. Makikita ang lahat ng detalye sa g.co/advancedprotection.
"Nahihirapan minsan ang mga tao na suriin ang mga panganib sa internet."
Stephan Micklitz
Sa iyong opinyon, ano ang mga pinakamalaking panganib sa internet ngayon?
Risher: Ang isang problema ay ang maraming listahan ng mga username at password na mayroon online. Gumugol ang aming kasamahang si Tadek Pietraszek at ang kanyang team ng anim na linggo para sa masinsinang paghahanap sa internet at nahanap nila ang 3.5 bilyong kumbinasyon ng username at password. Hindi ito data mula sa mga na-hack na Google Account – nanakaw ito mula sa iba pang provider. Gayunpaman, dahil maraming user ang gumagamit ng parehong password para sa maraming account, nagdadala rin ng problema para sa amin ang mga listahang ito.
Micklitz: Nakikita kong malaking problema ang spear phishing. Ito ay kapag gumagawa ang isang attacker ng mahusay na naka-personalize na mensahe, na ginagawang mahirap para sa biktima na matukoy ang mapanlokong layunin. Nakikita naming lalo pang ginagamit ng mga hacker ang paraang ito – at nagtatagumpay sila.
Risher: Sumasang-ayon ako kay Stephan. Dagdag dito, kumpara sa inaakala, hindi nakakaubos ng oras ang spear phishing. Karaniwang ilang minuto lang ang inaabot para mag-personalize ng isang spam na email. Puwedeng gamitin ng mga hacker ang impormasyong pina-publish ng mga user tungkol sa kanilang mga sarili online. Isa itong problema sa mga cryptocurrency, bilang halimbawa: Hindi dapat magulat ang mga taong ipinapaalam sa publiko na mayroon silang 10,000 Bitcoin kung mapupukaw nito ang atensyon ng mga cybercriminal.
Micklitz: Para itong katulad ng pagtayo ko sa gitna ng isang palengke nang may hawak na megaphone at inaanunsyo ang aking balanse sa bank account. Sino ang gagawa ng ganoong bagay? Wala isa man. Pero nahihirapan minsan ang mga tao na suriin ang mga panganib sa internet.
Problema pa rin ba ang mga regular na spam na email?
Risher: Malaking hamon para sa amin ang pag-link ng mga device at serbisyo. Hindi lang mga laptop at smartphone ang ginagamit ng mga tao para mag-online – gumagamit din sila ng mga TV, smartwatch, at smart speaker. Pinapatakbo ng iba't ibang app ang lahat ng device na ito, na nag-aalok sa mga hacker ng maraming iba't ibang uri ng potensyal na punto ng pag-atake. At dahil marami nang device ang konektado ngayon, puwedeng gamitin ng mga hacker ang isang device para subukang i-access ang impormasyong naka-store sa iba. Kaya kailangan naming tugunan ang tanong na ito ngayon: Paano namin magagarantiya ang kaligtasan ng aming mga user sa kabila ng napakaraming bagong gawi sa paggamit?
Micklitz: Nagsisimula ito sa pagtatanong namin sa aming mga sarili kung aling data ang talagang kailangan namin para sa bawat serbisyo – at aling data ang ibinibigay sa mga serbisyo.
Si Stephan Micklitz
ang Director of Engineering sa team ng Privacy at Seguridad ng Google. Nag-aral siya ng computer science sa Technical University of Munich at nagtatrabaho na siya sa tanggapan ng Google sa Munich mula pa noong katapusan ng 2007. Si Micklitz ay nasa board ng German na inisyatiba sa online na kaligtasan na Deutschland sicher im Netz (DsiN).
Paano ninyo ginagamit ang artificial intelligence para makatulong na protektahan ang mga user?
Micklitz: Matagal-tagal nang ginagamit ng Google ang artificial intelligence.
Risher: Mula sa simula, isinama ang teknolohiya sa aming serbisyo sa email, ang Gmail. Bumuo pa nga ang Google ng sarili nitong library ng machine learning na tinatawag na TensorFlow, na pinapadali ang trabaho ng mga programmer na nauugnay sa machine learning. Bilang partikular, nakikinabang ang Gmail mula sa TensorFlow, dahil nagbibigay ito ng mahalagang serbisyo pagdating sa pagkilala sa mga karaniwang pattern.
Puwede mo bang ipaliwanag kung paano gumagana ang pagkilala sa pattern na ito?
Risher: Ipagpalagay nating may naobserbahan tayong kahina-hinalang aktibidad sa maraming user na hindi natin maikategorya. Puwedeng pagkumparahin ng isang self-learning machine ang mga event na ito, at sa pinakamainam na sitwasyon, matutukoy nito ang mga bagong anyo ng panloloko bago pa man magsimulang kumalat ang mga iyon online.
Micklitz: Pero may mga limitasyon: Kasinghusay lang ng isang machine ang taong gumagamit nito. Kung lalagyan ko ang machine ng mali o one-sided na data, magiging mali o one-sided din ang mga pattern na nakikilala nito. Sa kabila ng lahat ng hype sa artificial intelligence, palaging nakadepende ang bisa nito sa taong gumagamit nito. Ang user ang bahalang magsanay sa machine gamit ang data na may mataas na kalidad at sumuri sa mga resulta pagkatapos.
Risher: Isang beses, noong nagtatrabaho ako para sa ibang email provider, nakatanggap kami ng mensahe mula sa isang empleyado ng bangko sa Lagos. Noong panahong iyon, maraming kumakalat na mapanlokong email – na ipinagpapalagay na mula sa Nigeria. Nagrereklamo ang tao na palaging napupunta ang kanyang mga email sa folder ng spam ng tagatanggap, kahit na nagtrabaho siya sa isang mapagkakatiwalaang bangko. Isa itong karaniwang kaso ng maling pag-generalize sa loob ng pagkilala sa pattern dahil sa kulang na impormasyon. Nalutas namin ang problemang ito sa pamamagitan ng pagbabago sa algorithm.
Mga Larawan: Conny Mirbach
Mga pagsulong sa cybersecurity
Alamin kung paano namin napapanatiling ligtas ang mas maraming tao online kaysa sa sinupaman sa mundo.
Matuto pa