评论
遗传信息是少数真正不可改变且具有潜在价值的信息之一。我们无法在很大程度上改变我们的基因组。与可以以任意数量的不同算法或散列结构存储的生物特征数据不同,遗传信息总是可以简化为简单的氨基酸对序列。那么,噩梦般的场景就是坏人侵入基因数据库并获取大量人的生物蓝图。
最近,这个噩梦成真了 基因检测公司 23andMe 遭黑客攻击。攻击者使用了经典的 凭证填充技术 非法访问 14,000 个用户帐户。但他们并没有就此止步。由于 23andMe 的共享功能使用户能够共享和读取可能相关的其他用户的数据,因此黑客能够提取 来自 6.9 万人的基因数据。攻击者在暗网上发布了 1 万个个人资料的报价。 23andMe 直到攻击发生一个月后才披露全部影响。
为了保护用户,23andMe 提示所有用户立即更改密码并确保密码独特且复杂。这很好,但还不够。更重要的是,该公司正在自动将现有客户注册到双因素身份验证中,以获得额外的安全层。每个软件即服务 (SaaS) 应用程序都应该强制执行 2FA,并且最佳实践应该从 2FA 转向 MFA,并且至少具备三个可用因素,而不是等待不可避免的灾难性事件发生。现在这是一个公共安全问题,应该是强制性的,就像汽车制造商必须在其车辆中配备安全带和安全气囊一样。
网络效应使妥协的影响倍增
我们的许多帐户和 SaaS 应用程序都包含联网功能,可成倍增加曝光率。就 23andMe 而言,暴露的数据包括来自 5.5 个帐户用户共享或访问的 DNA 亲属档案(1.4 万)和家谱档案(14,000 万)的信息。这些信息包括位置、显示名称、关系标签和与匹配者共享的 DNA,以及某些用户的出生年份和位置。尽管 DNA 数据对黑客的市场价值仍不清楚,但其独特性和不可替代性引起了人们对未来可能被滥用和针对的担忧。
将 23andMe 替换为 Dropbox、Outlook 或 Slack,您可以轻松了解相对少量的暴露帐户如何为整个组织生成数据。访问 Outlook 帐户可能会产生姓名和社交关系,以及可用于构建更可信的社会工程攻击的交互。
这不是一个小威胁。我们越来越多地看到精明的攻击者正在寻找防护更薄弱的应用程序,这些应用程序拥有大量的网络信息来执行更广泛的攻击。 根据 2023 年 IBM X-Force 2023 威胁情报指数,41% 的成功攻击使用网络钓鱼和社会工程作为主要媒介。例如, Okta 会话令牌事件 希望利用其客户支持和票务系统较弱的安全性来收集针对客户的网络钓鱼攻击信息。这些攻击的成本正在上升,而且可能令人震惊。 IBM 估计平均违规成本超过 4 万美元 和 Okta市值暴跌数十亿美元 宣布违规后。
姗姗来迟的修复:强制登录 2FA
23andMe 黑客锤揭示了一个显而易见的事实。用户名和密码组合不仅本质上不安全,而且本质上是不可投保且风险不可接受的。即使假设仅密码就能提供安全性也是愚蠢的。在安全和其他认证流程中,任何未能启用自动 2FA 注册的公司都应被标记为有风险,以便向合作伙伴、投资者、客户和政府机构提供必要的风险信息。
2FA 必须是强制性的,并且必须作为任何 SaaS 应用程序的进入价格来执行——无一例外。一些组织可能会抱怨这样的强制要求会带来额外的摩擦并对用户体验产生负面影响。但创新的应用程序设计者在假设用户将被要求使用 2FA 的情况下,通过从第一原则构建,在很大程度上解决了这些问题。此外,像 GitHub 这样的众多领先组织已经推出了 2FA 指令,因此不乏有才华的用户体验团队如何应对这一挑战的例子。
奇怪的是,同样的摩擦和不便的说法曾经是对安全带强制规定的主要投诉。如今,没有人眨眼,安全带已被广泛接受。同样,SaaS 应用程序的安全带和安全气囊最终将为世界节省数十亿美元,减少损失并提高生产力。
那么万能钥匙呢?不幸的是,它们在未来几年不太可能在企业中达到临界质量。与 MFA 配合使用时,密钥会更加安全。那么,SaaS 制造商面临的挑战将是提高他们的可用性游戏,让 2FA 和 MFA 更容易让每个人使用——尤其是生物识别、硬件密钥和身份验证应用程序等更安全的因素。
基因数据是 SaaS 安全煤矿中的金丝雀。随着我们越来越多的生活和活动在网上进行,企业和消费者都会面临更多的风险。在 SaaS 中构建更高的安全性是一项惠及所有人的公共利益。目前最好、最明显的步骤是强制将 2FA 作为安全基准级别。
- :是
- :不是
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Able
- 关于
- 公认
- ACCESS
- 无障碍
- 账号管理
- 账户
- 活动
- 演员
- 额外
- 优点
- 后
- 驳
- 算法
- 一样
- 所有类型
- 单
- 沿
- an
- 和
- 宣布
- 任何
- 应用
- 应用领域
- 应用领域
- 应用
- 保健
- AS
- 假设
- 攻击
- 攻击
- 认证
- 自动化
- 自动
- 可使用
- 坏
- 底线
- BE
- 因为
- 得益
- 最佳
- 最佳实践
- 十亿美元
- 生物识别
- 生物识别技术
- 分娩
- 机构
- 违反
- 更广泛
- 建筑物
- 企业
- 但是
- by
- 来了
- CAN
- 能力
- 大写
- 汽车
- 案件
- 灾难性
- 证书
- 挑战
- 更改
- 索赔
- 经典
- 煤
- 组合
- 如何
- 公司
- 抱怨
- 复杂
- 妥协
- 关注
- 连接
- 大量
- 消费者
- 价格
- 成本
- 可以
- 危急
- 顾客
- 客户支持
- 合作伙伴
- 黑暗
- 黑暗的网络
- data
- 数据库
- 学位
- 设计师
- DID
- 没
- 不同
- 透露
- 屏 显:
- 的DNA
- 美元
- Dropbox
- 更容易
- 容易
- 影响
- enable
- 结束
- 强制执行
- 工程师
- 确保
- 企业
- 整个
- 条目
- 特别
- 本质上
- 估计
- 甚至
- 活动
- 所有的
- 每个人
- 例子
- 例子
- 执行
- 现有
- 体验
- 成倍
- 裸露
- 曝光
- 额外
- 提取
- 因素
- 失败
- 家庭
- 特征
- 少数
- 姓氏:
- 固定
- 已标记
- 针对
- 摩擦
- 止
- ,
- 未来
- 游戏
- 收集
- 遗传
- 越来越
- GitHub上
- Go
- 非常好
- 政府
- 更大的
- 更高的安全性
- 破解
- 黑客
- 黑客
- 民政事务总署
- 处理
- 硬件
- 哈希
- 有
- 击中
- 主页
- 创新中心
- HTTPS
- IBM
- 非法
- 立即
- 一成不变
- 影响力故事
- 影响
- 重要
- in
- 包括
- 包括
- 增加
- 增加
- 日益
- 必然
- 信息
- 本质
- 创新
- 不安全
- 房源搜索
- 互动
- 成
- 介绍
- 无价
- 不变地
- 投资者
- ISN
- IT
- 它的
- JPG
- 只是
- 键
- 标签
- 大
- 在很大程度上
- 层
- 领导
- Level
- 喜欢
- 生活
- 地点
- 长
- 看着
- 寻找
- 损失
- 制成
- 使
- 庄家
- 要求
- 任务
- 强制
- 强制性
- 制造商
- 许多
- 市场
- 市场价值
- 质量
- 火柴
- 问题
- 可能..
- 手段
- 外交部
- 可能
- 百万
- 最低限度
- 未成年人
- 滥用
- 月
- 更多
- 最先进的
- 移动
- 必须
- 名称
- 自然
- 必要
- 负
- 网络
- 网络效应
- 没有
- 现在
- 数
- 数字
- 众多
- 明显
- of
- 优惠精选
- 奥克塔
- on
- 一旦
- 一
- 在线
- 仅由
- or
- 组织
- 组织
- 其他名称
- 我们的
- 输出
- Outlook
- 超过
- 配对
- 对
- 伙伴
- 密码
- 密码
- 员工
- 钓鱼
- 网络钓鱼攻击
- 件
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 发布
- 潜力
- 可能
- 做法
- 车资
- 小学
- 原则
- 问题
- 过程
- 生产率
- 简介
- 保护
- 提供
- 提供
- 国家
- 提高
- 宁
- RE
- 阅读
- 减少
- 有关
- 关系
- 相对
- 亲属
- 遗迹
- 必须
- 右
- 上升
- 风险
- 冒险的
- 轧制
- s
- SaaS的
- 实现安全
- 同
- 保存
- 精明
- 脚本
- 安全
- 保安
- 看到
- 看到
- 会议
- Share
- 共用的,
- 共享
- 短缺
- 应该
- 简易
- 单
- 松弛
- 小
- So
- 社会
- 社会工程学
- 一些
- 赞助商
- 惊人的
- 钉书针
- 步
- Stop 停止
- 存储
- 结构
- 成功
- 这样
- SUPPORT
- 系统
- 采取
- 天才
- 瞄准
- 队
- 测试
- 比
- 这
- 未来
- 世界
- 其
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 威胁
- 三
- 售票处
- 至
- 今晚
- 象征
- 树
- true
- 真正
- 真相
- 下
- 不幸
- 独特
- 独特性
- 不像
- 不会
- 直到
- 可用性
- 使用
- 用过的
- 有用
- 用户
- 用户体验
- 用户
- ux
- 折扣值
- 车辆
- 等待
- we
- 较弱
- 卷筒纸
- 井
- 为
- 什么是
- ,尤其是
- 这
- 而
- WHO
- 广泛
- 将
- 世界
- 年
- 产量
- 完全
- 和风网