สมาร์ทโฟนคือ ID รูปแบบดิจิทัลสำหรับแอพและบริการมากมาย กรมขนส่งไอโอวา
สมาร์ทโฟนจะจัดเก็บอีเมล รูปภาพ และปฏิทินของคุณ พวกเขาให้การเข้าถึงไซต์โซเชียลมีเดียออนไลน์เช่น Facebook และ Twitter และแม้แต่บัญชีธนาคารและบัตรเครดิตของคุณ และสิ่งเหล่านี้คือกุญแจสู่บางสิ่งที่เป็นส่วนตัวและมีค่ายิ่งกว่า นั่นคือตัวตนดิจิทัลของคุณ
ผ่านบทบาทของพวกเขาใน ระบบการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้กันมากที่สุด วิธีการป้องกันข้อมูลประจำตัวแบบดิจิทัลที่ปลอดภัยสมาร์ทโฟนกลายเป็นสิ่งสำคัญในการระบุตัวบุคคลทั้งทางออนไลน์และออฟไลน์ หากข้อมูลและแอพบนสมาร์ทโฟนไม่ปลอดภัย นั่นเป็นภัยคุกคามต่อตัวตนของผู้คน อาจทำให้ผู้บุกรุกสามารถปลอมเป็นเป้าหมายในเครือข่ายสังคมออนไลน์ อีเมล การสื่อสารในที่ทำงาน และบัญชีออนไลน์อื่นๆ
เมื่อเร็ว ๆ นี้ในปี 2012 FBI แนะนำให้ประชาชนปกป้องข้อมูลสมาร์ทโฟนของตน โดยการเข้ารหัสมัน เมื่อไม่นานมานี้ ตัวแทน มี ถามผู้ผลิตโทรศัพท์ เพื่อเป็นแนวทางในการ เข้าไปในอุปกรณ์เข้ารหัสตำรวจเรียกว่าอะไร”การเข้าถึงพิเศษ” การอภิปรายจนถึงตอนนี้ได้เน้นไปที่ความเป็นส่วนตัวของข้อมูล แต่นั่นไม่ได้กล่าวถึงแง่มุมที่สำคัญของการเข้ารหัสสมาร์ทโฟน นั่นคือ ความสามารถในการรักษาความปลอดภัยข้อมูลประจำตัวออนไลน์ของผู้คน
ดังที่ฉันเขียนไว้ในหนังสือเล่มล่าสุดของฉันว่า “Listening In: ความปลอดภัยทางไซเบอร์ในยุคที่ไม่ปลอดภัย” การทำในสิ่งที่ FBI ต้องการ – ทำให้ปลดล็อกโทรศัพท์ได้ง่ายขึ้น – จำเป็นต้องลดความปลอดภัยของผู้ใช้ลง เมื่อเร็ว ๆ นี้ สถาบันการศึกษาวิทยาศาสตร์ วิศวกรรมศาสตร์ และการแพทย์แห่งชาติที่ฉันเข้าร่วม ยังเตือนด้วยว่าการทำให้โทรศัพท์ปลดล็อกได้ง่ายขึ้น อาจทำให้องค์ประกอบหลักในการรักษาความปลอดภัยข้อมูลประจำตัวออนไลน์ของผู้คนอ่อนแอลง
รวบรวมหลักฐานหรือลดความปลอดภัย?
ในช่วงไม่กี่ปีที่ผ่านมา ตำรวจได้พยายามเข้าถึงสมาร์ทโฟนของผู้ต้องสงสัยซึ่งเป็นส่วนหนึ่งของการสอบสวนคดีอาญา และบริษัทเทคโนโลยีก็ต่อต้าน ที่โดดเด่นที่สุดของสถานการณ์เหล่านี้เกิดขึ้นจากการปลุกของ กราดยิงซานเบอร์นาดิโน 2015. ก่อนที่ผู้โจมตีจะถูกสังหารในการยิง พวกเขาสามารถทำลายคอมพิวเตอร์และโทรศัพท์ของพวกเขาได้ ยกเว้น iPhone ที่ล็อคไว้ เอฟบีไอ ต้องการถอดรหัสโทรศัพท์แต่กังวลว่าการพยายามถอดรหัสกลไกความปลอดภัยของ Apple ไม่สำเร็จอาจทำให้โทรศัพท์เสียหายได้ ลบข้อมูลทั้งหมด.
หน่วยงาน นำแอปเปิ้ลขึ้นศาลพยายามบังคับให้บริษัทเขียนซอฟต์แวร์พิเศษเพื่อหลีกเลี่ยงการป้องกันในตัวของโทรศัพท์ Apple ขัดขืน โดยโต้แย้งว่าความพยายามของ FBI นั้นทำให้รัฐบาลทำเกินจริงไป หากสำเร็จก็จะ ลดความปลอดภัยของผู้ใช้ iPhone ทั้งหมด – และโดยการขยายของผู้ใช้สมาร์ทโฟนทั้งหมด
ความขัดแย้งได้รับการแก้ไขเมื่อเอฟบีไอ จ่ายเงินให้บริษัทรักษาความปลอดภัยทางไซเบอร์เพื่อเจาะโทรศัพท์ – และพบว่า ไม่มีอะไรเกี่ยวข้อง เพื่อการสอบสวน แต่สำนักฯ ยังคงแน่วแน่ว่าผู้สอบสวนควรมีสิ่งที่เรียกว่า “การเข้าถึงพิเศษ” และสิ่งที่คนอื่นเรียกว่า “ประตูหลัง”: ซอฟต์แวร์ในตัวช่วยให้ตำรวจถอดรหัสโทรศัพท์ที่ล็อคได้
ความสำคัญของการรับรองความถูกต้องด้วยสองปัจจัย
สถานการณ์คือ ไม่ง่ายอย่างที่เอฟบีไอแนะนำ. โทรศัพท์ที่ปลอดภัยเป็นอุปสรรคต่อการสืบสวนของตำรวจ แต่ก็เป็นองค์ประกอบที่ยอดเยี่ยมของการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง และด้วยความถี่ของการโจมตีทางไซเบอร์และความหลากหลายของเป้าหมาย นั่นเป็นสิ่งสำคัญอย่างยิ่ง
ในเดือนกรกฎาคม 2015 เจ้าหน้าที่สหรัฐประกาศว่า โจรไซเบอร์ได้ขโมย หมายเลขประกันสังคม ข้อมูลด้านสุขภาพและการเงิน และข้อมูลส่วนตัวอื่นๆ ของ 21.5 ล้านคน ที่ได้ยื่นขอใบรับรองความปลอดภัยของรัฐบาลกลางจากสำนักงานบริหารงานบุคคลแห่งสหรัฐอเมริกา ในเดือนธันวาคม 2015 การโจมตีทางอินเทอร์เน็ตของบริษัทไฟฟ้าสามแห่งในยูเครนถูกทิ้งร้าง หนึ่งในสี่ของล้านคนไม่มีอำนาจเป็นเวลาหกชั่วโมง. ในเดือนมีนาคม 2016 อีเมลนับไม่ถ้วนถูกขโมย จาก บัญชี Gmail ส่วนตัว ของ John Podesta ประธานแคมเปญหาเสียงของ Hillary Clinton
ในแต่ละกรณีเหล่านี้และ อีกมากมายทั่วโลกตั้งแต่แนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดี – การรักษาความปลอดภัยบัญชีโดยใช้รหัสผ่านเพียงอย่างเดียว – ปล่อยให้ผู้ร้ายสร้างความเสียหายอย่างร้ายแรง เมื่อข้อมูลรับรองการเข้าสู่ระบบง่ายต่อการถอดรหัส ผู้บุกรุกจะเข้ามาอย่างรวดเร็ว – และสามารถ หายไปเป็นเดือนๆ.
เทคโนโลยีในการรักษาความปลอดภัยบัญชีออนไลน์อยู่ในกระเป๋าของผู้คน การใช้สมาร์ทโฟนเพื่อเรียกใช้ซอฟต์แวร์ที่เรียกว่า การรับรองความถูกต้องด้วยสองปัจจัย (หรือปัจจัยที่สอง) ทำให้การเข้าสู่ระบบบัญชีออนไลน์ยากขึ้นสำหรับผู้ร้าย ซอฟต์แวร์บนสมาร์ทโฟนจะสร้างข้อมูลเพิ่มเติมที่ผู้ใช้ต้องระบุ นอกเหนือจากชื่อผู้ใช้และรหัสผ่าน ก่อนที่จะได้รับอนุญาตให้เข้าสู่ระบบ
ปัจจุบันเจ้าของสมาร์ทโฟนจำนวนมากใช้ข้อความเป็นปัจจัยที่สอง แต่ก็ยังไม่ดีพอ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา เตือนว่าการส่งข้อความมีความปลอดภัยน้อยกว่ามาก กว่าแอปตรวจสอบสิทธิ์: ผู้โจมตีสามารถ สกัดกั้นข้อความ หรือแม้แต่โน้มน้าวบริษัทมือถือให้ส่งต่อข้อความ SMS ไปยังโทรศัพท์เครื่องอื่น (มันเกิดขึ้นกับ นักเคลื่อนไหวชาวรัสเซีย, DeRay Mckesson นักเคลื่อนไหว Black Lives Matterและ คนอื่น ๆ.)
เวอร์ชันที่ปลอดภัยกว่าคือแอปเฉพาะทาง เช่น Google Authenticator ให้ or Authyซึ่งสร้างสิ่งที่เรียกว่ารหัสผ่านแบบใช้ครั้งเดียวตามเวลา เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการ เธอจะระบุชื่อผู้ใช้และรหัสผ่าน จากนั้นจะได้รับข้อความแจ้งสำหรับรหัสของแอป การเปิดแอปจะแสดงรหัสหกหลักที่เปลี่ยนทุกๆ 30 วินาที เฉพาะเมื่อพิมพ์ว่าผู้ใช้เข้าสู่ระบบจริงเท่านั้น การเริ่มต้นของมิชิแกนที่เรียกว่า Duo ทำให้ง่ายยิ่งขึ้น: หลังจากที่ผู้ใช้พิมพ์ชื่อผู้ใช้และรหัสผ่าน ระบบจะส่งคำสั่ง ping แอป Duo บนโทรศัพท์ของเธอ ทำให้เธอสามารถแตะหน้าจอเพื่อยืนยันการเข้าสู่ระบบได้
อย่างไรก็ตาม แอปเหล่านี้มีความปลอดภัยเท่ากับตัวโทรศัพท์เท่านั้น หากสมาร์ทโฟนมีความปลอดภัยต่ำ ผู้ที่ครอบครองสมาร์ทโฟนนั้นสามารถเข้าถึงบัญชีดิจิทัลของบุคคลได้ แม้กระทั่งการล็อคเจ้าของออก อันที่จริง ไม่นานหลังจากที่ iPhone เปิดตัวในปี 2007 แฮกเกอร์พัฒนาเทคนิค for แฮ็คเข้าไปในโทรศัพท์ที่สูญหายและถูกขโมย. Apple ได้ตอบกลับ by การสร้างความปลอดภัยที่ดีขึ้น สำหรับ ข้อมูลบนโทรศัพท์; สิ่งเหล่านี้เป็นการคุ้มครองชุดเดียวกันกับที่หน่วยงานบังคับใช้กฎหมายกำลังพยายามยกเลิก
พ้นภัย
การใช้โทรศัพท์เป็นปัจจัยที่สองในการรับรองความถูกต้องนั้นสะดวก: คนส่วนใหญ่พกโทรศัพท์ตลอดเวลา และแอพก็ใช้งานง่าย และปลอดภัย: ผู้ใช้จะสังเกตเห็นว่าโทรศัพท์ของตนหายไปหรือไม่ หากมีการลืมรหัสผ่าน โทรศัพท์ที่เป็นตัวตรวจสอบสิทธิ์ปัจจัยที่สองช่วยเพิ่มความปลอดภัยได้มากกว่าแค่ชื่อผู้ใช้และรหัสผ่าน
หากสำนักงานบริหารงานบุคคลใช้การรับรองความถูกต้องด้วยปัจจัยที่สอง บันทึกบุคลากรเหล่านั้นคงไม่ง่ายนักที่จะยกขึ้น หากบริษัทพลังงานของยูเครนใช้การรับรองความถูกต้องด้วยปัจจัยที่สองในการเข้าถึงเครือข่ายภายในที่ควบคุมการจ่ายพลังงาน แฮกเกอร์จะพบว่าการขัดขวางโครงข่ายไฟฟ้านั้นยากกว่ามาก และหาก John Podesta ใช้การตรวจสอบสิทธิ์ด้วยปัจจัยที่สอง แฮ็กเกอร์ชาวรัสเซียจะไม่สามารถเข้าสู่บัญชี Gmail ของเขาได้ แม้จะใช้รหัสผ่านก็ตาม
เอฟบีไอขัดแย้งในประเด็นสำคัญนี้ หน่วยงานมี แนะนำให้ประชาชนใช้การตรวจสอบสิทธิ์แบบสองปัจจัย และ ต้องการมัน เมื่อเจ้าหน้าที่ตำรวจต้องการเชื่อมต่อกับ ระบบฐานข้อมูลความยุติธรรมทางอาญาของรัฐบาลกลาง จากสถานที่ที่ไม่ปลอดภัย เช่น ร้านกาแฟ หรือแม้แต่รถตำรวจ แต่สำนักงานต้องการทำให้สมาร์ทโฟนปลดล็อกได้ง่ายขึ้น ทำให้การป้องกันระบบของตัวเองอ่อนแอลง
ใช่ โทรศัพท์ที่ปลดล็อกได้ยากจะเป็นอุปสรรคต่อการสืบสวน แต่นั่นพลาดเรื่องราวที่ใหญ่กว่า อาชญากรรมออนไลน์เพิ่มขึ้นอย่างรวดเร็ว และการโจมตีมีความซับซ้อนมากขึ้น การทำให้โทรศัพท์ง่ายสำหรับผู้สืบสวนในการปลดล็อกจะบ่อนทำลายวิธีที่ดีที่สุดสำหรับคนทั่วไปในการรักษาความปลอดภัยบัญชีออนไลน์ของตน ถือเป็นความผิดพลาดที่ FBI จะดำเนินการตามนโยบายนี้
ใช่ โทรศัพท์ที่ปลดล็อกได้ยากจะเป็นอุปสรรคต่อการสืบสวน แต่นั่นพลาดเรื่องราวที่ใหญ่กว่า อาชญากรรมออนไลน์เพิ่มขึ้นอย่างรวดเร็ว และการโจมตีมีความซับซ้อนมากขึ้น การทำให้โทรศัพท์ง่ายสำหรับผู้สืบสวนในการปลดล็อกจะบ่อนทำลายวิธีที่ดีที่สุดสำหรับคนทั่วไปในการรักษาความปลอดภัยบัญชีออนไลน์ของตน ถือเป็นความผิดพลาดที่ FBI จะดำเนินการตามนโยบายนี้เกี่ยวกับผู้เขียน
Susan Landau ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ กฎหมายและการทูต และความปลอดภัยทางไซเบอร์ มหาวิทยาลัยทัฟส์
บทความนี้ถูกเผยแพร่เมื่อวันที่ สนทนา. อ่าน บทความต้นฉบับ.
หนังสือโดยผู้เขียนคนนี้
at ตลาดภายในและอเมซอน
