Mengurus kata laluan dalam talian

En. Risher, anda merupakan Pengarah Pengurusan Produk di Google yang bekerja dalam bidang keselamatan Internet. Pernahkah anda menjadi mangsa komplot dalam talian?

Mark Risher: Saya tidak dapat memikirkan contoh yang kukuh sekarang tetapi saya hanya boleh menganggap sedemikian. Saya membuat kesilapan semasa melayari web sama seperti orang lain. Contohnya, saya memasukkan kata laluan Google saya pada laman web yang salah baru-baru ini. Mujurlah saya telah memasang pemalam Amaran Kata Laluan Chrome, yang menunjukkan kesilapan saya. Kemudian, saya menukar kata laluan saya dengan serta-merta.

Stephan Micklitz, Pengarah Kejuruteraan pasukan Privasi dan Keselamatan Google: Itulah sifat semula jadi manusia. Setelah kita menghafal kata laluan, mudah untuk kita menaip kata laluan tanpa memberikan perhatian yang cukup kepada tempat kita memasukkan kata laluan.

Risher: Kami mahu menghapuskan kata laluan sepenuhnya tetapi perkara ini tidak semudah yang disangka.

"Kebanyakan langkah keselamatan berlaku di balik tabir".

Mark Risher

Apakah yang tidak baik tentang kata laluan?

Risher: Terdapat banyak kekurangan: Kata laluan mudah dicuri tetapi sukar diingati dan pengurusan kata laluan kita boleh menjadi langkah yang menjemukan. Ramai pengguna percaya bahawa kata laluan haruslah sepanjang dan serumit mungkin – walaupun begitu, hal ini sebenarnya meningkatkan risiko keselamatan. Kata laluan yang rumit mendorong pengguna menggunakan kata laluan tersebut untuk beberapa akaun, menjadikan kata laluan lebih mudah terdedah.

Micklitz: Semakin kurang kerap anda memasukkan kata laluan, semakin selamat kata laluan anda. Itulah sebabnya anda tidak seharusnya log masuk dan log keluar akaun anda berulang kali. Lama kelamaan, hal ini boleh menyebabkan pengguna tidak mempedulikan halaman web yang dibuka dan memudahkan kerja pencuri kata laluan. Oleh itu, kami menasihati pengguna kami untuk kekal log masuk.

Laman web bank saya akan log keluar secara automatik jika saya tidak aktif selama beberapa minit.

Micklitz: Namun begitu, banyak syarikat masih mengikut peraturan yang sudah lapuk. Nasihat untuk sentiasa log keluar sesuai apabila pengguna berada dalam talian di kafe Internet atau berkongsi komputer dengan orang lain. Penyelidikan kami menunjukkan bahawa semakin kerap pengguna memasukkan kata laluan mereka, semakin besar kemungkinan mereka menjadi mangsa serangan siber. Oleh itu, lebih selamat untuk hanya mengaktifkan kunci skrin pada telefon bimbit atau komputer anda dan menggunakan kata laluan yang selamat.

Risher: Betul. Malangnya, terdapat banyak nasihat palsu atau tidak praktikal yang beredar, hal ini boleh mengelirukan ramai pengguna. Dalam senario terburuk, orang ramai berasa tidak pasti sehingga mereka menyerah begitu sahaja: “Jika amat sukar untuk melindungi diri sendiri, lebih baik saya berhenti mencuba”. Keadaan ini ibarat membiarkan pintu hadapan terbuka kerana anda tahu pencuri akan datang.

Mark Risher ialah Pengarah Pengurusan Produk Google untuk keselamatan dan privasi. Pada tahun 2010, beliau mengasaskan syarikat permulaan keselamatan siber Impermium, yang telah diperoleh oleh Google pada tahun 2014. Sejak itu, Risher telah bekerja di ibu pejabat syarikat di Mountain View, California. Pada sebelah kanan: Kunci keselamatan seperti yang digunakan dalam Program Perlindungan Lanjutan. Kunci keselamatan ini tersedia dengan yuran yang rendah dan boleh digunakan pada pelbagai laman web.

Bagaimanakah Google memastikan keselamatan pengguna jika kata laluan dihapuskan?

Risher: Kami sudah melaksanakan pelbagai langkah keselamatan tambahan yang beroperasi di belakang tabir. Penggodam dapat mengetahui kata laluan dan nombor telefon selular anda dan kami masih boleh menjamin 99.9 peratus keselamatan untuk Google Account anda. Contohnya, kami menyemak peranti atau negara tempat seseorang log masuk. Jika seseorang cuba log masuk ke akaun anda beberapa kali secara berturut-turut dengan kata laluan yang salah, tindakan ini akan mencetuskan penggera dalam sistem keselamatan kami.

Micklitz: Kami juga telah membangunkan Pemeriksaan Keselamatan, yang membolehkan pengguna menyemak tetapan keselamatan peribadi mereka dalam Google Account mereka langkah demi langkah. Dengan Program Perlindungan Lanjutan, kami maju selangkah ke hadapan.

Apakah idea di sebalik program ini?

Micklitz: Pada asalnya, program ini dibangunkan untuk individu seperti ahli politik, CEO atau wartawan yang mungkin menarik minat penjenayah. Namun program ini kini tersedia kepada sesiapa sahaja yang mahukan perlindungan tambahan dalam talian. Hanya individu yang mempunyai anak kunci USB atau Bluetooth khas boleh mengakses Google Account mereka yang dilindungi.

Risher: Kami mengetahui keberkesanan sistem ini berdasarkan pengalaman, kerana semua pekerja Google menggunakan kunci keselamatan untuk memastikan akaun syarikat mereka selamat. Sejak memperkenalkan langkah keselamatan ini, tiada satu pun kes pancingan data yang dapat mengesan kembali pengesahan kata laluan yang berlaku. Token ini meningkatkan keselamatan Google Account pada tahap yang amat besar kerana walaupun penyerang mengetahui kata laluan, mereka tidak boleh mengakses akaun tanpa token. Secara umumnya, akaun dalam talian boleh digodam dari mana-mana sahaja di dunia; perkara ini bukan satu pilihan untuk akaun yang dilindungi dengan token keselamatan fizikal.

Micklitz: Token keselamatan ini juga boleh digunakan untuk kebanyakan laman web – bukan untuk Program Perlindungan Lanjutan Google sahaja. Anda boleh membeli token ini daripada kami atau penyedia lain dengan sedikit bayaran. Semua butiran boleh ditemukan pada g.co/advancedprotection.

"Kadangkala pengguna berasa sukar untuk menilai risiko pada Internet".

Stephan Micklitz

Pada pendapat anda, apakah bahaya terbesar yang wujud pada Internet hari ini?

Risher: Salah satu masalah tersebut ialah banyak senarai nama pengguna dan kata laluan yang wujud dalam talian. Rakan sekerja kami, Tadek Pietraszek dan pasukannya menghabiskan masa selama enam minggu melakukan carian di Internet dan menemukan 3.5 bilion gabungan nama pengguna dan kata laluan. Data ini bukan data daripada Google Account yang digodam – data ini dicuri daripada penyedia perkhidmatan lain. Walau bagaimanapun, oleh sebab ramai pengguna menggunakan kata laluan yang sama untuk beberapa akaun, senarai ini juga menimbulkan masalah kepada kami.

Micklitz: Saya melihat pemancingan data bersasaran sebagai masalah besar. Perkara ini berlaku apabila penyerang menghasilkan mesej diperibadikan dengan bijak sehingga mangsa sukar mengenal pasti niat penipuan. Kami melihat semakin banyak penggodam menggunakan kaedah ini – dan berjaya.

Risher: Saya bersetuju dengan Stephan. Selain itu, pancingan data bersasaran tidak begitu memakan masa seperti yang disangka. Hanya beberapa minit sahaja diperlukan untuk memeribadikan e-mel spam. Penggodam boleh menggunakan maklumat yang diterbitkan oleh pengguna tentang diri mereka dalam talian. Inilah masalah yang berlaku dengan mata wang kripto, contohnya: Individu yang memberitahu orang ramai bahawa beliau memiliki 10,000 Bitcoin tidak seharusnya terkejut jika maklumat ini menarik perhatian penjenayah siber.

Micklitz: Situasi ini ibarat saya berdiri di tengah-tengah pasar dan mengumumkan baki akaun bank saya dengan megafon. Siapakah yang akan berbuat demikian? Tiada sesiapa. Namun, kadangkala pengguna berasa sukar untuk menilai risiko pada Internet.

Adakah e-mel spam biasa masih menjadi masalah?

Risher: Pemautan peranti dan perkhidmatan merupakan cabaran besar kepada kami. Orang ramai bukan sahaja menggunakan komputer riba dan telefon pintar untuk berada dalam talian – mereka juga menggunakan TV, jam tangan pintar dan pembesar suara pintar. Pelbagai aplikasi yang berjalan pada semua peranti ini menawarkan pelbagai potensi titik serangan yang berbeza kepada penggodam. Oleh sebab banyak peranti disambungkan, penggodam boleh menggunakan satu peranti untuk cuba mengakses maklumat yang disimpan pada peranti lain. Maka kami perlu menjawab pertanyaan: Bagaimanakah kami dapat menjamin keselamatan pengguna kami walaupun terdapat pelbagai tabiat penggunaan baharu?

Micklitz: Perkara ini bermula dengan cara kami bertanya diri sendiri tentang data yang benar-benar diperlukan untuk setiap perkhidmatan – dan data yang ditukar antara perkhidmatan.

Bagaimanakah anda menggunakan kecerdasan buatan untuk melindungi pengguna?

Micklitz: Google telah menggunakan kecerdasan buatan sejak sekian lama.

Risher: Teknologi ini telah digabungkan dalam perkhidmatan e-mel Gmail kami, sejak awal lagi. Google turut membangunkan pustaka pembelajaran mesin sendiri yang dipanggil TensorFlow, yang memudahkan kerja pengaturcara yang terlibat dalam pembelajaran mesin. Gmail khususnya mendapatkan manfaat daripada TensorFlow, kerana ciri ini menyediakan perkhidmatan yang berharga apabila melibatkan pengecaman corak lazim.

Bolehkah anda menerangkan cara pengecaman corak ini berfungsi?

Risher: Katakan kami memerhatikan aktiviti mencurigakan dalam kalangan beberapa pengguna yang tidak dapat dikategorikan. Pembelajaran mesin kendiri boleh membandingkan peristiwa ini dan dalam senario terbaik, mengesan bentuk penipuan baharu sebelum penipuan ini mula merebak dalam talian.

Micklitz: Akan tetapi mesin ini mengandungi had: Kepintaran mesin bergantung pada orang yang menggunakan mesin tersebut. Jika saya menyuap mesin dengan data palsu atau berat sebelah, corak yang dikenal pasti oleh mesin juga bersifat palsu atau berat sebelah. Meskipun kecerdasan buatan kedengaran hebat, keberkesanan mesin ini sentiasa bergantung pada orang yang menggunakan mesin tersebut. Terpulang kepada pengguna untuk melatih mesin dengan data berkualiti tinggi dan menyemak hasil data selepas itu..

Risher: Pernah sekali, semasa saya bekerja untuk pembekal e-mel yang berbeza, kami menerima mesej daripada pekerja bank di Lagos. Pada masa itu, terdapat banyak e-mel penipuan yang beredar – kononnya datang dari Nigeria. Lelaki itu mengadu bahawa e-melnya akan sentiasa masuk ke folder spam penerima, walaupun beliau bekerja dengan bank bereputasi baik. Hal ini merupakan kes biasa generalisasi palsu dalam pengecaman corak disebabkan oleh maklumat yang tidak mencukupi. Kami telah membantu beliau menyelesaikan masalah ini dengan menukar algoritma.

.

Gambar: Conny Mirbach