ความฉลาดทางข้อมูลเชิงกำเนิด

Cloud Services สามารถสนับสนุนการรักษาความปลอดภัยการเข้าสู่ระบบที่ดีขึ้นได้หรือไม่? โมเดลอุบัติเหตุของ Netflix

วันที่:

ในเดือนนี้ Netflix สะดุดล้มกับนโยบายที่อาจมี ประโยชน์ด้านความปลอดภัยที่ยั่งยืนสำหรับผู้ใช้. การเคลื่อนไหวด้านความปลอดภัยสำหรับลูกค้าโดยไม่ได้ตั้งใจอาจเป็นบทเรียนที่สำคัญสำหรับองค์กรระหว่างธุรกิจกับผู้บริโภค (B2C) อื่นๆ ที่ต้องการปรับปรุงความปลอดภัยของบัญชีลูกค้า

ยักษ์ใหญ่สตรีมมิ่งนำมันมา นโยบาย “ครัวเรือน” ใหม่ ให้กับลูกค้าในสหรัฐอเมริกาในวันที่ 23 พฤษภาคม นับจากนี้ไป บัญชีจะถูกจำกัดให้ใช้เครือข่าย Wi-Fi เดียวและอุปกรณ์มือถือที่เกี่ยวข้อง (โดยมีข้อยกเว้นบางประการ) เป็นการยิงที่แขนเพื่อรักษา หลังโควิด อาการเมาค้าง ช่วยเพิ่มการเติบโตของผู้ใช้หลังจากนั้น เดือนแห่งความเมื่อยล้า และความขี้เล่นของนักลงทุน

นโยบายนี้อาจปรับปรุงความปลอดภัยของบัญชีสตรีมเมอร์โดยบังเอิญด้วยการกำจัด แนวทางปฏิบัติทั่วไปในการแบ่งปันรหัสผ่าน.

“การแบ่งปันรหัสผ่านจะบ่อนทำลายการควบคุมผู้ที่มีสิทธิ์เข้าถึงบัญชี ซึ่งอาจนำไปสู่การใช้โดยไม่ได้รับอนุญาตและการบุกรุกบัญชี” Craig Jones รองประธานฝ่ายปฏิบัติการด้านความปลอดภัยของ Ontinue อธิบาย “เมื่อแชร์แล้ว รหัสผ่านสามารถแจกจ่ายหรือเปลี่ยนแปลงเพิ่มเติมได้ เพื่อล็อคผู้ใช้เดิม ที่แย่ไปกว่านั้นคือ หากใช้รหัสผ่านที่แชร์กับหลายบัญชี ผู้ประสงค์ร้ายจะสามารถเข้าถึงรหัสผ่านทั้งหมดได้ การแบ่งปันรหัสผ่านยังทำให้ผู้ใช้เสี่ยงต่อการโจมตีแบบฟิชชิ่งและวิศวกรรมสังคมมากขึ้น”

ด้วยนโยบายใหม่ Netflix กำลังแสดงให้เห็นว่าบริษัทต่างๆ สามารถจูงหรือบังคับผู้ใช้ให้นำแนวทางปฏิบัติในการเข้าสู่ระบบที่ดีขึ้นมาใช้โดยตั้งใจหรือไม่ก็ได้

แต่การมีอิทธิพลเชิงบวกต่อพฤติกรรมของลูกค้านั้นไม่ได้ง่ายอย่างที่คิดเสมอไป

มาตรฐานโกลด์ไบโอเมตริกซ์ ไม่มีให้บริการบนคลาวด์

มุมหนึ่งของอุตสาหกรรมเทคโนโลยีได้ค้นพบวิธีช่วยให้ผู้ใช้เข้าสู่ระบบอย่างปลอดภัย โดยไม่กระทบต่อประสบการณ์ของพวกเขามานานแล้ว นั่นก็คือ เวทีโทรศัพท์มือถือ

หลายปีที่ผ่านมา ผู้ใช้สมาร์ทโฟนเป็นเช่นนั้น การเลือกรหัสผ่านพื้นฐาน เกิดจากความเกียจคร้านหรือความหลงลืม ที่เริ่มมีการเปลี่ยนแปลงในปี 2013 เมื่อมีการนำเพจจาก แพนเทค GI100, Apple เปิดตัว TouchID สำหรับ iPhone 5S เทคโนโลยีการจดจำใบหน้า ตอนนั้นยังไม่พร้อมเลยแต่ FaceID จะทำให้ผู้ใช้สามารถเข้าสู่ระบบอย่างปลอดภัยได้ง่ายยิ่งขึ้นในเร็วๆ นี้ โดยไม่ทำให้สิ่งใดช้าลงเช่นกัน

John Gilmore หัวหน้าฝ่ายวิจัยของ DeleteMe กล่าวว่า เหมาะอย่างยิ่งสำหรับการเข้าสู่ระบบด้วยไบโอเมตริก บริษัทส่วนใหญ่ไม่มีวิธีแก้ปัญหาที่พร้อมสำหรับพวกเขา

“'การปลดล็อคด้วยใบหน้า' บน iPhone เป็นตัวอย่างหนึ่งของวิธีการนี้ในทางปฏิบัติ แต่อาจเกิดขึ้นได้ในอุปกรณ์เฉพาะ สำหรับบริการที่ต้องอาศัยผู้ใช้ในการเข้าถึงบริการบนหลายแพลตฟอร์ม ยังเป็นไปไม่ได้” เขากล่าว

ปัญหาหลักก็คือ เมื่อพูดถึงบริการ การรับรองความถูกต้องที่ปลอดภัยมักจะมาพร้อมกับต้นทุนต่อการใช้งาน

“บริการออนไลน์มีแนวโน้มที่จะต่อต้านการใช้โปรโตคอลความปลอดภัยที่แข็งแกร่งขึ้น เนื่องจากพวกเขาเห็นว่ามันทำให้ประสบการณ์ผู้ใช้มีความซับซ้อน หากคุณสร้างอุปสรรคหลายขั้นตอนในการเข้าใช้งาน เช่น การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ผู้คนก็จะมีโอกาสน้อยที่จะมีส่วนร่วมกับแพลตฟอร์มของคุณจริงๆ” Gilmore กล่าว

การแลกเปลี่ยนนี้จำเป็นต้องประณามผู้ให้บริการในเรื่องความไม่มั่นคงหรือความไม่ปลอดภัยหรือไม่? ไม่จำเป็นผู้เชี่ยวชาญกล่าว

วิธีรักษาความปลอดภัยของบัญชีโดยไม่มีค่าใช้จ่าย UX

ในช่วงไม่กี่ปีที่ผ่านมา ผู้ให้บริการได้ทดลองใช้วิธีใหม่ๆ ในการชี้แนะผู้ใช้ของตนให้กระจ่างแจ้ง

“การเพิ่มฟีเจอร์ความปลอดภัยที่เป็นมิตรต่อผู้ใช้ เช่น มาตรวัดความเข้มงวดของรหัสผ่าน และการแจ้งเตือนการเปลี่ยนรหัสผ่าน สามารถส่งเสริมแนวทางปฏิบัติที่ปลอดภัยยิ่งขึ้น” Jones จาก Ontinue กล่าว

และบริษัทต่างๆ ก็สามารถทำอะไรได้มากขึ้นด้วยหน้าเข้าสู่ระบบของตน เช่นเดียวกับคำเตือนบนบรรจุภัณฑ์บุหรี่ “จุดโต้ตอบโดยตรง เช่น การเข้าสู่ระบบหรือการตั้งค่าบัญชี มอบโอกาสในการให้คำแนะนำและการแจ้งเตือนด้านความปลอดภัย” เขากล่าวเสริม

สุดท้ายนี้ Jones กล่าวว่า "การสร้างแรงจูงใจให้กับพฤติกรรมที่ปลอดภัยด้วยสิทธิประโยชน์ต่างๆ เช่น ส่วนลดหรือคุณสมบัติเพิ่มเติมอาจเป็นวิธีที่มีประสิทธิภาพในการส่งเสริมแนวทางปฏิบัติที่ปลอดภัย"

วิธีสร้างแรงจูงใจให้มีแนวทางปฏิบัติด้านความปลอดภัยของบัญชีที่ดีขึ้น

สิ่งจูงใจสามารถใช้ได้กับแครอทหรือแท่งไม้

บริษัทหนึ่งที่ประสบความสำเร็จในอดีตคือ Epic Games ผู้พัฒนาเกมออนไลน์ Fortnite ตามด้วยสตริงของ ความปลอดภัย เหตุการณ์ที่เกิดขึ้น ส่งผลกระทบต่อผู้เล่นเกมหลายพันคน (ซึ่งมักจะอายุน้อย) Epic ได้สร้างสิ่งใหม่ขึ้นมา ของรางวัลในเกม สำหรับผู้เล่นที่ตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ในบัญชีของตน

ไม่เคยมีเด็กจำนวนมาก “โวยวาย” เกี่ยวกับสุขอนามัยทางไซเบอร์ที่เหมาะสมมาก่อน!

[เนื้อหาฝัง]

อารมณ์ Boogie Down ฟรีด้วย 2FA ที่มา: Epic Games

และสำหรับกรณีศึกษาที่เกี่ยวข้อง ให้พิจารณา Twitter เมื่อวันที่ 15 กุมภาพันธ์ Twitter ได้ประกาศว่าจะเป็นเช่นนั้น จำกัด 2FA ที่ใช้ SMS ให้กับสมาชิกแบบชำระเงินเท่านั้น.

ดังที่ Darren Guccione ซีอีโอและผู้ร่วมก่อตั้ง Keeper Security อธิบายว่า “การตัดสินใจเป็นไปตามนั้น อารมณ์ที่หลากหลายในชุมชนความปลอดภัยทางไซเบอร์เนื่องจากดูเหมือนว่าจะไม่สนับสนุนการใช้การรักษาความปลอดภัยชั้นที่สองที่สำคัญ อย่างไรก็ตาม ค่าเริ่มต้นใหม่ของ Twitter สำหรับบัญชีมาตรฐานได้เปลี่ยนเป็นแอปตรวจสอบสิทธิ์หรือคีย์ความปลอดภัย ซึ่งทั้งเป็นตัวเลือกที่แข็งแกร่งและปลอดภัยกว่า SMS 2FA”

สิ่งที่ชัดเจนในตัวอย่างทั้งหมดเหล่านี้ก็คือบริษัทต่างๆ มีอำนาจที่ยอดเยี่ยมในการกำหนดวิธีที่ผู้ใช้มีส่วนร่วมกับการรักษาความปลอดภัยของตนเอง

ท้ายที่สุดแล้ว Guccione สรุปว่า “ภาระผูกพันทางจริยธรรมตกเป็นหน้าที่ของผู้นำของบริษัทเหล่านี้ในการสนับสนุนและนำไปสู่การเปลี่ยนแปลงที่จะปกป้องลูกค้าของพวกเขาในระยะยาว”

จุด_img

ข่าวกรองล่าสุด

จุด_img

แชทกับเรา

สวัสดี! ฉันจะช่วยคุณได้อย่างไร?