Langkau ke kandungan

Mengurus kata laluan dalam talian

Ramai pengguna berasa terbeban tentang keselamatan dalam talian. Mark Risher dan Stephan Micklitz daripada Google bercakap tentang mengambil kira emosi ini semasa membangunkan langkah keselamatan

En. Risher, anda merupakan Pengarah Pengurusan Produk di Google yang bekerja dalam bidang keselamatan Internet. Pernahkah anda menjadi mangsa komplot dalam talian?

Mark Risher: Saya tidak ingat contoh tertentu sekarang, tetapi saya rasa pasti pernah. Saya membuat kesilapan semasa melayari web sama seperti orang lain. Contohnya, saya memasukkan kata laluan Google saya pada laman web yang salah baru-baru ini. Mujurlah saya telah memasang Amaran Kata Laluan Chrome, yang menunjukkan kesilapan saya. Kemudian saya menukar kata laluan saya segera.

Stephan Micklitz, Pengarah Kejuruteraan pasukan Privasi dan Keselamatan Google: Kita semua manusia biasa. Setelah menghafal kata laluan, situasi menaip kata laluan tanpa memberikan sepenuh perhatian pada tempat kata laluan dimasukkan mudah berlaku.

Risher: Kami ingin menghapuskan kata laluan sepenuhnya, malangnya perkara ini tidak semudah yang disangka.

"Kebanyakan langkah keselamatan berlaku di sebalik tabir."

Mark Risher

Apakah yang tidak bagus tentang kata laluan?

Risher: Terdapat pelbagai kelemahan pada kata laluan: Kata laluan mudah dicuri tetapi sukar diingat dan mengurus kata laluan boleh jadi membosankan. Ramai pengguna percaya bahawa kata laluan haruslah sepanjang dan serumit mungkin – walaupun begitu, ini sebenarnya meningkatkan risiko keselamatan. Kata laluan yang rumit mendorong pengguna menggunakan kata laluan tersebut untuk lebih daripada satu akaun, ini menjadikan kata laluan lebih mudah terdedah.

Micklitz: Semakin anda kurang kerap memasukkan kata laluan, semakin selamat kata laluan anda. Itulah sebabnya anda tidak seharusnya log masuk dan log keluar akaun anda berulang kali. Lama kelamaan, hal ini boleh menyebabkan pengguna tidak memberi perhatian kepada halaman web yang dibuka dan memudahkan kerja pencuri kata laluan. Oleh itu, kami menasihati pengguna kami agar kekal log masuk.

Laman web bank saya akan log keluar secara automatik jika saya tidak aktif selama beberapa minit.

Micklitz: Malangnya, banyak syarikat masih mengikut peraturan lapuk. Nasihat untuk sentiasa log keluar sesuai apabila orang berada dalam talian di kafe Internet atau berkongsi komputer dengan orang lain. Penyelidikan kami menunjukkan bahawa semakin kerap orang memasukkan kata laluan mereka, semakin besar kemungkinan mereka menjadi mangsa serangan siber. Oleh itu, lebih selamat untuk hanya mengaktifkan kunci skrin pada telefon bimbit atau komputer anda dan menggunakan kata laluan selamat.

Risher: Betul. Malangnya, terdapat banyak nasihat palsu atau tidak praktikal yang tersebar, ini boleh mengelirukan ramai pengguna. Dalam senario terburuk, orang ramai berasa tidak pasti sehingga mereka menyerah begitu sahaja: “Jika sukar untuk melindungi diri sendiri, lebih baik saya berhenti mencuba.” Hal ini seperti membiarkan pintu depan terbuka kerana anda tahu pencuri akan datang.

Mark Risher
Kunci keselamatan USB

Mark Risher merupakan Pengarah Pengurusan Produk Google untuk keselamatan dan privasi. Pada tahun 2010, beliau mengasaskan Impermium, sebuah syarikat yang memfokuskan pada keselamatan siber. Impermium telah diambil alih oleh Google pada tahun 2014. Sejak itu, Risher telah bekerja di ibu pejabat syarikat di Mountain View, California. Di sebelah kanan: Kunci keselamatan seperti yang digunakan dalam Program Perlindungan Lanjutan. Kunci keselamatan ini boleh didapatkan dengan bayaran yang rendah dan boleh digunakan pada pelbagai laman web.

Bagaimanakah Google akan memastikan keselamatan pengguna jika kata laluan dihapuskan?

Risher: Kami telah menjalankan pelbagai langkah keselamatan tambahan di sebalik tabir. Penggodam dapat mengetahui kata laluan dan nombor telefon selular anda, dan kami masih boleh menjamin 99.9 peratus keselamatan Google Account anda. Contohnya, kami menyemak peranti atau negara tempat seseorang log masuk. Jika seseorang cuba log masuk ke akaun anda beberapa kali secara berturut-turut dengan kata laluan salah, ini akan mencetuskan penggera dalam sistem keselamatan kami.

Micklitz: Kami juga telah membangunkan Pemeriksaan Keselamatan, yang membolehkan pengguna menyemak langkah demi langkah tetapan keselamatan peribadi dalam Google Account mereka. Kami selangkah lebih selamat dengan Program Perlindungan Lanjutan.

Apakah idea di sebalik program ini?

Micklitz: Pada asalnya, program ini dibangunkan untuk individu seperti ahli politik, CEO atau wartawan yang mungkin menjadi sasaran para penjenayah. Namun program ini kini tersedia kepada sesiapa sahaja yang mahukan perlindungan tambahan dalam talian. Individu yang mempunyai kunci keselamatan USB atau Bluetooth khas sahaja boleh mengakses Google Account mereka yang dilindungi.

Risher: Kami tahu tentang keberkesanan sistem ini berdasarkan pengalaman. Sebagai contohnya, semua pekerja Google menggunakan kunci keselamatan untuk memastikan akaun syarikat mereka selamat. Sejak memperkenalkan langkah keselamatan ini, tiada satu pun kes pancingan data yang dapat mengesan kembali pengesahan kata laluan berlaku. Walaupun penyerang mengetahui kata laluan, mereka tidak boleh mengakses akaun anda tanpa kunci keselamatan. Secara umumnya, akaun dalam talian boleh digodam dari mana-mana sahaja di dunia; tetapi ini tidak boleh dilakukan ke atas akaun yang dilindungi dengan kunci keselamatan fizikal.

Micklitz: Oh ya, kunci keselamatan ini boleh digunakan untuk kebanyakan laman web – bukan untuk Program Perlindungan Lanjutan Google sahaja. Anda boleh membeli kunci ini daripada kami atau pembekal lain dengan sedikit bayaran. Semua butiran boleh didapati di g.co/advancedprotection.

"Kadangkala orang berasa sukar untuk menilai risiko di Internet."

Stephan Micklitz

Pada pendapat anda, apakah bahaya terbesar yang mungkin timbul di Internet hari ini?

Risher: Salah satu masalah tersebut ialah banyak senarai nama pengguna dan kata laluan yang wujud dalam talian. Rakan sekerja kami, Tadek Pietraszek dan pasukannya menghabiskan masa selama enam minggu melakukan carian di Internet dan menemukan 3.5 bilion gabungan nama pengguna dan kata laluan. Ini bukan data daripada Google Account yang digodam – data ini dicuri daripada penyedia perkhidmatan lain. Walau bagaimanapun, oleh sebab ramai pengguna menggunakan kata laluan yang sama untuk beberapa akaun, senarai ini juga menimbulkan masalah kepada kami.

Micklitz: Saya berasa bimbang terhadap pancingan data bersasaran. Perkara ini berlaku apabila penyerang menghasilkan mesej diperibadikan dengan bijak sehingga mangsa sukar mengenal pasti niat penipuan. Kami melihat semakin banyak penggodam menggunakan kaedah ini – dan berjaya.

Risher: Saya bersetuju dengan Stephan. Selain itu, pancingan data bersasaran tidak begitu memakan masa seperti yang disangka. Hanya beberapa minit sahaja diperlukan untuk memperibadikan e-mel spam. Penggodam boleh menggunakan maklumat yang disiarkan oleh pengguna tentang diri mereka dalam talian. Inilah masalah yang berlaku dengan mata wang kripto, contohnya: Individu yang memberitahu orang ramai bahawa beliau memiliki 10,000 Bitcoin tidak seharusnya terkejut jika maklumat ini menarik perhatian penjenayah siber.

Micklitz: Situasi ini seperti saya berdiri di tengah-tengah pasar dan mengumumkan baki akaun bank saya dengan pembesar suara. Siapakah yang akan berbuat demikian? Tiada sesiapa. Namun, ada kalanya orang berasa sukar untuk menilai risiko di Internet.

Adakah e-mel spam biasa masih menjadi masalah?

Risher: Pemautan peranti dan perkhidmatan merupakan cabaran besar kepada kami. Orang ramai bukan sahaja menggunakan komputer riba dan telefon pintar untuk berada dalam talian – mereka juga menggunakan TV, jam tangan pintar dan pembesar suara pintar. Pelbagai aplikasi yang berjalan pada semua peranti ini menawarkan pelbagai potensi titik serangan yang berbeza kepada penggodam. Oleh sebab banyak peranti disambungkan, penggodam boleh menggunakan satu peranti untuk cuba mengakses maklumat yang disimpan pada peranti lain. Justeru itu, kami perlu menjawab pertanyaan: Bagaimanakah kami dapat menjamin keselamatan pengguna kami walaupun terdapat pelbagai tabiat penggunaan baharu?

Micklitz: Perkara ini bermula dengan cara kami bertanya kepada diri sendiri data yang benar-benar diperlukan untuk setiap perkhidmatan – dan data yang ditukar antara perkhidmatan.

Stephan Micklitz

merupakan Pengarah Kejuruteraan bagi pasukan Privasi dan Keselamatan Google. Beliau mengambil jurusan sains komputer di Universiti Teknikal Munich dan telah bekerja di pejabat Google di Munich sejak akhir tahun 2007. Micklitz menganggotai lembaga inisiatif keselamatan dalam talian Jerman, Deutschland sicher im Netz (DsiN).

Bagaimanakah anda menggunakan kecerdasan buatan (juga dikenali sebagai, "AI" atau "Artificial Intelligence") untuk melindungi pengguna?

Micklitz: Google telah menggunakan Artificial Intelligence sejak sekian lama.

Risher: Sejak awal, teknologi ini telah digabungkan ke dalam perkhidmatan e-mel Gmail kami. Google turut membangunkan pustaka pembelajaran mesin (juga dikenali sebagai, "Machine Learning") kami sendiri yang dipanggil TensorFlow, ini memudahkan kerja pengatur cara yang terlibat dalam pembelajaran mesin. Gmail khususnya mendapat manfaat daripada TensorFlow, kerana ciri ini menyediakan perkhidmatan yang berharga apabila melibatkan pengecaman corak lazim.

Bolehkah anda menerangkan cara pengecaman corak ini berfungsi?

Risher: Katakan kami memerhatikan aktiviti mencurigakan dalam kalangan beberapa pengguna yang tidak dapat dikategorikan. Pembelajaran mesin kendiri boleh membandingkan peristiwa ini dan dalam senario terbaik, mengesan bentuk penipuan baharu sebelum penipuan ini mula merebak dalam talian.

Micklitz: Akan tetapi mesin ini ada hadnya: Kepintaran mesin bergantung kepada orang yang menggunakan mesin tersebut. Jika saya menyuap mesin dengan data palsu atau sebelah pihak, corak yang dikenal pasti oleh mesin juga bersifat palsu atau sebelah pihak. Meskipun kecerdasan buatan kedengaran hebat, keberkesanan mesin ini sentiasa bergantung kepada orang yang menggunakan mesin tersebut. Terpulang kepada pengguna untuk melatih mesin dengan data berkualiti tinggi dan menyemak hasil data selepas itu.

Risher: Pernah sekali, semasa saya bekerja untuk pembekal e-mel yang berbeza, kami menerima mesej daripada pekerja bank di Lagos. Pada masa itu, terdapat banyak e-mel penipuan yang beredar – kononnya datang dari Nigeria. Lelaki itu mengadu bahawa e-melnya akan sentiasa masuk ke folder spam penerima, walaupun beliau bekerja dengan bank bereputasi baik. Ini merupakan kes generalisasi palsu yang biasa berlaku dalam pengecaman corak disebabkan maklumat yang tidak mencukupi. Kami dapat membantu beliau menyelesaikan masalah ini dengan menukar algoritma.

Gambar: Conny Mirbach

Kembali ke atas

Kemajuan keselamatan siber

Ketahui cara kami memastikan lebih ramai pengguna selamat dalam talian berbanding dengan pihak lain di dunia.

Ketahui lebih lanjut