Pamamahala sa mga online na password

Mr. Risher, isa kang Director of Product Management sa Google na nagtatrabaho sa larangan ng seguridad sa internet. Nabiktima ka na ba ng online scam?

Mark Risher: Wala akong maisip na kongkretong halimbawa sa ngayon, ngunit puwede ko lang ipagpalagay ito. Nagkakamali ako kapag nagsu-surf sa web tulad ng iba. Halimbawa, kamakailan kong nailagay ang aking Google password sa maling website. Mabuti na lang, na-install ko ang plugin sa Chrome na Alerto sa Password, na tumukoy sa pagkakamali ko. Siyempre, pagkatapos ay pinalitan ko kaagad ang aking password.

Stephan Micklitz, Director of Engineering sa team ng Privacy at Seguridad ng Google: Tao lang ako. Kapag naisaulo na natin ang isang password, puwedeng i-type natin ito nang hindi lubos na nagtutuon ng atensyon kung saan natin ito inilalagay.

Risher: Gusto naming ganap na alisin ang mga password, ngunit sa kasamaang-palad ay hindi ito ganoon kadali.

"Maraming hakbang sa seguridad ang nangyayari sa likod ng mga eksena."

Mark Risher

Ano ang masama sa mga password?

Risher: Marami itong mga disbentaha: Madali itong manakaw ngunit mahirap tandaan, at puwedeng nakakapagod ang pamamahala sa ating mga password. Maraming user ang naniniwalang dapat na mahaba at kumplikado ang isang password hangga't maaari – kahit na sa katunayan ay pinapataas nito ang panganib sa seguridad. Naiisip ng mga user na gamitin ang mga kumplikadong password para sa higit sa isang account, na mas naglalagay sa kanila sa panganib.

Micklitz: Kung hindi madalas ang paglalagay mo ng password, mas mabuti. Kaya hindi ka dapat paulit-ulit na nagsa-sign in at nagsa-sign out sa iyong mga account. Sa paglipas ng panahon, puwede itong magresulta sa hindi pagtuon ng atensyon ng mga user kung nasaang web page sila, na pinapadali ang mga bagay para sa mga magnanakaw ng password. Samakatuwid, pinapayuhan namin ang aming mga user na manatiling naka-log in.

Awtomatikong nila-log out ako ng website ng aking bangko kung ilang minuto akong hindi aktibo.

Micklitz: Sa kasamaang palad, maraming kumpanya ang sumusunod pa rin sa mga hindi napapanahong tuntunin. Ang payo na palaging mag-log out ay mula sa panahon kung saan nag-o-online ang karamihan sa mga tao sa mga internet cafe o may kabahagi silang gumagamit ng computer. Ipinapakita ng aming pananaliksik na kapag mas maraming beses na inilalagay ng mga tao ang kanilang mga password, mas malamang na maging mga biktima sila ng cyberattack. Kaya mas ligtas na i-activate na lang ang screen lock sa iyong cell phone o computer at gumamit ng secure na password.

Risher: Tama iyan. Sa kasamaang-palad, maraming kumakalat na mali o hindi praktikal na payo, na puwedeng nakakalito para sa maraming user. Sa pinakamalubhang sitwasyon, hindi sigurado ang mga tao kaya sumusuko na lang sila: “Kung mahirap protektahan ang aking sarili, hindi ko na lang ito susubukan.” Para itong palaging pag-iwang bukas ng pinto sa harapan dahil alam mong may mga magnanakaw sa paligid.

Si Mark Risher ay Director of Product Management ng Google para sa seguridad at privacy. Noong 2010, itinatag niya ang cybersecurity start-up na Impermium, na nakuha ng Google noong 2014. Mula noon, nagtrabaho si Risher sa headquarters ng kumpanya sa Mountain View, California. Sa kanan: Isang security key gaya ng ginagamit sa Programang Advanced na Proteksyon. Available ito para sa maliit na bayarin at magagamit ito sa iba't ibang website.

Paano titiyakin ng Google ang seguridad ng user kung aalisin ang mga password?

Risher: Marami na tayong mga karagdagang hakbang sa seguridad na tumatakbo sa likod ng mga eksena. Posibleng malaman ng hacker ang iyong password at numero ng cell phone, at magagarantiya pa rin namin ang 99.9 na porsyento ng seguridad para sa Google Account mo. Halimbawa, tinitingnan namin kung sa aling device o bansa nagla-log in ang isang tao. Kung may isang taong sumusubok na mag-log in sa iyong account nang ilang beses at sunod-sunod gamit ang maling password, nagdudulot ito ng mga alarm sa aming mga security system.

Micklitz: Binuo din namin ang Security Checkup, na nagbibigay-daan sa mga user na dumaan sa kanilang mga personal na setting ng seguridad sa kanilang Google Account nang sunud-sunod. At sa Programang Advanced na Proteksyon, mas mapapahusay pa natin ang seguridad.

Ano ang ideya sa likod ng programang ito?

Micklitz: Sa orihinal, binuo ang programa para sa mga tao tulad ng mga pulitiko, CEO, o mamamahayag na posibleng partikular na interesado sa mga kriminal. Pero ngayon, available na ito sa sinumang gusto ng karagdagang online na proteksyon. Ang mga taong may espesyal na USB o Bluetooth dongle lang ang puwedeng magkaroon ng access sa kanilang protektadong Google Account.

Risher: Alam namin mula sa karanasan kung gaano kabisa ang system na ito, dahil gumagamit ang lahat ng empleyado ng Google ng security key para panatilihing secure ang kanilang account sa kumpanya. Mula noong ipinakilala ang hakbang sa seguridad na ito, wala kaming naging kaso ng phishing na dulot ng pagkumpirma ng password. Lubos na pinapahusay ng token ang seguridad ng Google Account, dahil kahit na alam ng mga attacker ang password, hindi nila maa-access ang account kung wala ang token. Sa pangkalahatan, puwedeng ma-hack ang isang online account saanman sa mundo; pero hindi ito opsyon para sa mga account na protektado ng isang pisikal na token ng seguridad.

Micklitz: Oo nga pala, puwedeng gamitin ang mga security token na ito para sa maraming website – hindi lang para sa Programang Advanced na Proteksyon ng Google. Mabibili mo ang mga ito sa amin o sa iba pang provider para sa maliit na halaga. Ang lahat ng detalye ay makikita sa g.co/advancedprotection.

"Minsan nahihirapan ang mga tao na alamin ang mga panganib sa internet."

Stephan Micklitz

Sa iyong palagay, ano ang mga pinakamalaking panganib na umaaligid sa internet ngayon?

Risher: Ang isang problema ay ang maraming listahan ng mga username at password na umiiral online. Gumugol ang aming kasamahang si Tadek Pietraszek at ang kanyang team ng anim na linggo para sa masinsinang paghahanap sa internet at nahanap nila ang 3.5 bilyong kumbinasyon ng username at password. Hindi ito data mula sa mga na-hack na Google Account – nanakaw ito mula sa iba pang provider. Gayunpaman, dahil maraming user ang gumagamit ng parehong password para sa maraming account, nagdadala rin ng problema para sa amin ang mga listahang ito.

Micklitz: Nakikita ko ang spear phishing bilang isang malaking problema. Ito ay kapag gumagawa ang isang attacker ng mahusay na naka-personalize na mensahe, na ginagawang mahirap para sa biktima na matukoy ang mapanlokong layunin. Nakikita naming lalo pang ginagamit ng mga hacker ang paraang ito – at nagtatagumpay sila.

Risher: Sumasang-ayon ako kay Stephan. Dagdag dito, kumpara sa inaakala, hindi nakakaubos ng oras ang spear phishing. Karaniwang ilang minuto lang ang inaabot para mag-personalize ng isang spam na email. Puwedeng gamitin ng mga hacker ang impormasyong pina-publish ng mga user tungkol sa kanilang mga sarili online. Isa itong problema sa mga crypto currency, bilang halimbawa: Hindi dapat magulat ang mga taong ipinapaalam sa publiko na mayroon silang 10,000 Bitcoin kung mapupukaw nito ang atensyon ng mga cybercriminal.

Micklitz: Para akong nakatayo sa gitna ng isang marketplace na may bitbit na megaphone, na inaanunsyo ang balanse ng aking bank account. Sino ang gagawa ng ganoong bagay? Wala isa man. Pero nahihirapan minsan ang mga tao na tasahin ang mga panganib sa internet.

Problema pa rin ba ang mga regular na spam email?

Risher: Ang pag-link ng mga device at serbisyo ay isang malaking hamon para sa amin. Hindi lang mga laptop at smartphone ang ginagamit ng mga tao para mag-online – gumagamit din sila ng mga TV, smartwatch, at smart speaker. Pinapatakbo ng iba't ibang app ang lahat ng device na ito, na nag-aalok sa mga hacker ng maraming iba't ibang uri ng potensyal na punto ng pag-atake. At dahil marami nang device ang konektado ngayon, puwedeng gamitin ng mga hacker ang isang device para subukang i-access ang impormasyong naka-store sa iba. Kaya kailangan naming tugunan ang tanong na ito ngayon: Paano namin magagarantiya ang kaligtasan ng aming mga user sa kabila ng napakaraming bagong gawi sa paggamit?

Micklitz: Nagsisimula ito sa pagtatanong natin sa ating sarili kung aling data ang talagang kailangan natin para sa bawat serbisyo – at kung aling data ang ipinagpapalit sa pagitan ng mga serbisyo.

Paano mo ginagamit ang artificial intelligence para makatulong na protektahan ang mga user?

Micklitz: Matagal nang gumagamit ang Google ng artificial intelligence.

Risher: Ang teknolohiya ay isinama sa aming serbisyo sa email, ang Gmail, mula pa sa simula. Bumuo pa nga ang Google ng sarili nitong library ng machine learning na tinatawag na TensorFlow, na pinapadali ang trabaho ng mga programmer na nauugnay sa machine learning. Bilang partikular, nakikinabang ang Gmail mula sa TensorFlow, dahil nagbibigay ito ng mahalagang serbisyo pagdating sa pagkilala sa mga karaniwang pattern.

Puwede mo bang ipaliwanag kung paano gumagana ang pagkilala sa pattern na ito?

Risher: Sabihin nating nakakakita kami ng kahina-hinalang aktibidad sa ilang user na hindi namin ma-categorize. Puwedeng pagkumparahin ng isang self-learning machine ang mga event na ito, at sa pinakamainam na sitwasyon, matutukoy nito ang mga bagong anyo ng panloloko bago pa man magsimulang kumalat ang mga iyon online.

Micklitz: Ngunit may mga limitasyon: Ang machine ay kasing talino lang ng taong gumagamit nito. Kung lalagyan ko ang machine ng mali o one-sided na data, magiging mali o one-sided din ang mga pattern na nakikilala nito. Sa kabila ng lahat ng hype sa artificial intelligence, palaging nakadepende ang bisa nito sa taong gumagamit nito. Ang user ang bahalang magsanay sa machine gamit ang data na may mataas na kalidad at sumuri sa mga resulta pagkatapos.

Risher: Minsan, noong nagtatrabaho ako sa ibang email provider, nakatanggap kami ng mensahe mula sa isang empleyado ng bangko sa Lagos. Noong panahong iyon, maraming kumakalat na mapanlokong email – na ipinagpapalagay na mula sa Nigeria. Nagrereklamo ang tao na palaging napupunta ang kanyang mga email sa folder ng spam ng tagatanggap, kahit na nagtrabaho siya sa isang mapagkakatiwalaang bangko. Isa itong karaniwang kaso ng maling pag-generalize sa loob ng pagkilala sa pattern dahil sa kulang na impormasyon. Nalutas namin ang problemang ito sa pamamagitan ng pagbabago sa algorithm.

.

Mga Larawan: Conny Mirbach