認証|シンプルなこと|ウーバーと情報漏えいの黙示録の騎手たち
ブルームバーグの報道とウーバーからの初期の開示によると、根本的な原因は再びクレデンシャルの漏洩(開発者が使用するクラウドベースのストレージシステムから盗まれたログイン認証情報)であった。この攻撃により、セキュリティにおける小さな過失が、ブランドとビジネスにとって巨大な責任へとスパイラルすることになった。
ウーバーの不運をほくそ笑む人がいるかもしれないが、悲しいことに、これは業界では当然のことなのだ。盗まれたり、フィッシングされたり、中間者(man-in-the-middle)によって攻撃されたりする可能性のあるクレデンシャル(パスワード、レガシーOTP)の使用が横行している。このような怠慢は、取締役会レベルの注意喚起にまで至っていない。あるいは、このような攻撃から保護するためにクレデンシャル・システムを近代化することを急ぐだろう。
神経科学の研究において、個人がリスクを評価するのが非常に苦手であることは、よく知られた事実である。 家具に押しつぶされる可能性のほうがはるかに高いのに、テロ事件を心配する。 ちょっと散歩するだけで寿命が延びるのに、怪しげな薬に何百万ドルも費やす。 自動販売機に襲われる確率はサメの2倍だが、"ジョーズ "という言葉は人間よりもサメを連想させる。
企業も同じだ。 脆弱な認証情報のような脅威が、顧客に損害を与え、ブランド価値を低下させ、事業の存続を危うくするような時代において、彼らは、最新の強力な認証慣行を優先させるような単純な対策を講じることで、事業に直面する脅威の多くを排除できるにもかかわらず、非合理的な行動や投資に固執している。
ブリーチ黙示録の第一騎手脆弱なクレデンシャル
脆弱なクレデンシャルは、破滅の黙示録の第一の騎手を構成しており、彼は容赦なく、それを使い続けるリーダーや企業を切り捨て続けるだろう。
今日の業界の大半は、パスワード管理、対称的な共有秘密であるレガシーOTPシステムに基づく、恥ずべきほど脆弱で安全でない認証慣行に縛られている。このような慣行は、フィッシングやマルウェアに対して脆弱であり、より有害な用途のために認証情報を採取できるスケーラブルな攻撃につながる。 ベライゾンの2017年データ漏洩調査報告書によると、データ漏洩の81%に漏洩した認証情報が関与している。
さらに、これらの企業は、強力な標準ベースの最新の多要素認証に投資する前に、ファイアウォール/侵入検知/APTシステム、自家製または独自の認証システムに不合理にも何百万ドルも注ぎ込んでいる。
FIDOアライアンスのような、広く展開され、市場でテストされ、普遍的に承認された標準は、フィッシングやMitMに耐性のある強力な、多要素、パスワード不要の認証を提供することができ、ユーザー、開発者、ITスタッフが管理しやすい。
確かに、他にもホースメンは存在する(パッチ、暗号化、その他)し、現代のコネクテッド・ワールドに生きる性質上、リスクはつきものだ。 ホースメンを撃退し、攻撃者があなたのブランドや顧客に与えるダメージを抑えるためには、シンプルなことを実行するのがコツだ。 そして、自動販売機を避け、街を散歩することだ。
