加密的智能手機可以保護您的身份,而不僅僅是您的數據
智能手機是許多應用和服務的數字形式的ID。 愛荷華州交通部

智能手機可存儲您的電子郵件,照片和日曆。 他們可以訪問Facebook和Twitter等在線社交媒體網站,甚至是您的銀行和信用卡賬戶。 它們是更私密,更珍貴的關鍵 - 您的數字身份。

通過他們的角色 雙因素認證系統,最常用的 安全的數字身份保護方法智能手機對於識別在線和離線人員至關重要。 如果智能手機上的數據和應用程序不安全,則會對人們的身份構成威脅,可能會讓入侵者在社交網絡,電子郵件,工作場所通信和其他在線帳戶中成為他們的目標。

就像最近的2012,FBI 建議公眾保護他們的智能手機數據 通過加密它。 不過最近, 該機構電話製造商問道 提供一種方法 進入加密設備什麼警察稱之為“特殊的訪問到目前為止,辯論主要集中在數據隱私問題上,但這也忽略了智能手機加密的一個重要方面:它能夠保護人們的個人在線身份。

正如我在最近的書中所寫,“傾聽:不安全時代的網絡安全,“做FBI想做的事情 - 讓手機更容易解鎖 - 必然會降低用戶的安全性。 最近 國家科學院,工程與醫學院研究在我參與的同時,還警告說,讓手機更容易解鎖可能會削弱保護人們在線身份的關鍵要素。

內在自我訂閱圖形

收集證據或削弱安全性?

近年來,作為刑事調查的一部分,警方已經尋求獲取嫌疑人的智能手機,科技公司也拒絕接受。 這些情況中最突出的是在此之後出現的 2015聖貝納迪諾大規模射擊。 在襲擊者自己在槍戰中喪生之前,他們能夠摧毀他們的電腦和手機 - 除了一個鎖定的iPhone。 聯邦調查局 希望手機解密但擔心破解Apple安全機制失敗的企圖可能會導致手機崩潰 刪除所有數據.

該機構 將蘋果告上法庭,試圖強迫該公司編寫特殊軟件,以避免手機的內置保護。 蘋果拒絕了,他認為聯邦調查局的努力是政府的過度擴張,如果成功的話,那就是 降低所有iPhone用戶的安全性 - 並且,通過擴展,所有智能手機用戶的。

聯邦調查局解決了衝突 付了一家網絡安全公司打電話 - 並找到了 沒有任何相關性 調查。 但該局仍然堅定不移,調查人員應該擁有他們所謂的“特殊的訪問,“和其他人所說的”後門“:內置軟件允許警察解密鎖定的手機。

雙因素身份驗證的重要性

情況是這樣的 並不像FBI所說的那麼簡單。 安全手機確實為警方調查提供了障礙,但它們也是強大網絡安全的重要組成部分。 鑑於網絡攻擊的頻率和目標的多樣性,這是非常重要的。

7月2015,美國官員宣布 cyberthieves被偷了 社會安全號碼,健康和財務信息以及其他私人數據 21.5萬人 誰曾向美國人事管理辦公室申請聯邦安全許可。 12月2015,烏克蘭三家電力公司發生網絡攻擊 五十萬人在六小時內沒有電。 三月2016, 無數的電子郵件被盜了 來自 個人Gmail帳戶 約翰波德斯塔,希拉里克林頓總統競選主席。

在每種情況下,和 自那以後,全世界更多,一種糟糕的安全措施 - 僅通過密碼保護帳戶 - 讓壞人造成嚴重損害。 當登錄憑據容易破解時,入侵者會很快進入 - 而且可以 幾個月沒有被注意到.

保護在線賬戶的技術在於人們的口袋。 使用智能手機運行一個名為的軟件 雙因素(或第二因素)認證 登錄在線帳戶對於壞人來說要困難得多。 在允許用戶登錄之前,智能手機上的軟件會生成用戶必須提供的額外信息,超出用戶名和密碼。

目前,許多智能手機用戶使用短信作為第二個因素,但這還不夠好。 美國國家標準與技術研究所 警告說發短信的安全性要低得多 認證應用程序:攻擊者可以 攔截文本 甚至說服移動公司將短信轉發給另一部手機。 (它發生了 俄羅斯活動家, Black Lives Matter活動家DeRay Mckesson其他類.)

更安全的版本是一個專門的應用程序,如 谷歌的Authenticator or Authy,生成所謂的基於時間的一次性密碼。 當用戶想要登錄服務時,她提供用戶名和密碼,然後獲取應用程序代碼的提示。 打開應用程序會顯示一個六位數的代碼,每隔30秒就會更改一次。 只有在輸入時才是用戶實際登錄的。​​密歇根州的一家創業公司稱之為 雙核 使這更容易:用戶輸入用戶名和密碼後,系統會在手機上ping Duo應用程序,允許她點擊屏幕確認登錄。

但是,這些應用程序僅與手機本身一樣安全。 如果智能手機的安全性較弱,擁有它的人可以訪問一個人的數字賬戶,甚至可以鎖定所有者。 事實上,iPhone在2007首次亮相後不久, 黑客開發技術 對於 黑客入侵丟失和被盜的手機. Apple回答道 by 建立更好的安全性 為了 手機上的數據; 這些是執法部門正在尋求撤銷的同一套保護措施。

避免災難

使用手機作為身份驗證的第二個因素很方便:大多數人一直隨身攜帶手機,而且應用程序易於使用。 並且它是安全的:用戶會注意到他們的手機是否丟失,如果密碼被取消則不會。 作為第二因素身份驗證器的電話提供的安全性大大超出了用戶名和密碼。

如果人事管理辦公室一直在使用第二因素認證,那麼這些人事記錄就不會那麼容易解除。 如果烏克蘭電力公司一直使用第二因素認證來訪問控製配電的內部網絡,那麼黑客就會發現破壞電網本身要困難得多。 如果John Podesta使用第二因素身份驗證,即使使用密碼,俄羅斯黑客也無法進入他的Gmail帳戶。

FBI在這個重要問題上自相矛盾。 該機構有 建議公眾使用雙因素身份驗證需要它 當警察想要連接到 聯邦刑事司法數據庫系統 從一個不安全的地方,如咖啡店甚至警車。 但隨後該局希望讓智能手機更容易解鎖,削弱其自身系統的保護。

談話是的,難以解鎖的手機阻礙了調查。 但這錯過了一個更大的故事。 在線犯罪急劇增加,攻擊越來越複雜。 讓調查員輕鬆解鎖手機將破壞普通人保護在線賬戶的最佳方式。 FBI追求這一政策是錯誤的。

關於作者

Susan Landau,計算機科學,法律與外交和網絡安全教授, 塔夫茨大學

這篇文章最初發表於 談話。 閱讀 原創文章.

本作者的書籍

at InnerSelf 市場和亞馬遜