I nomi utente e le password stanno diventando obsoleti?

Nuove regole di sicurezza informatica potrebbero sostituire la semplice identificazione con nome utente e password in gran parte delle industrie bancarie e assicurative del sistema finanziario americano.

Le opzioni per le nuove norme di sicurezza includono l'invio di un numero di conferma al cellulare di un individuo, l'utilizzo di un'impronta digitale o altra autenticazione biometrica, l'utilizzo di una fonte di identificazione separata, come una carta magnetica o nuovi requisiti per i fornitori di terze parti che hanno accesso ai database delle compagnie assicurative . Queste modifiche potrebbero riguardare dipendenti, fornitori di terze parti e potenzialmente anche consumatori.

Recentemente, sono state segnalate intrusioni informatiche di alto profilo presso Anthem e JP Morgan Chase, rispettivamente una compagnia di assicurazioni sanitarie e un istituto bancario.

I funzionari delle forze dell'ordine, che indagano sul caso Anthem, ritengono che gli hacker stranieri abbiano utilizzato il nome utente e la password di un dirigente per accedere ai dati personali di 80 milioni di clienti, inclusi nomi, indirizzi e numeri di previdenza sociale. Funzionari, riferire a ORARIO, suggeriscono che il furto "avrebbe potuto essere evitato se la società avesse adottato metodi più severi per verificare l'identità di coloro che tentano di accedere ai suoi sistemi".

Nella recente violazione di JP Morgan Chase sono stati compromessi i record di 76 milioni di famiglie e sette milioni di imprese. Un altro incidente ben pubblicizzato si è verificato presso il rivenditore Target, la cui violazione ha colpito 110 milioni di titolari di carta.

L'annuncio di nuove regole di sicurezza informatica arriva dopo lo Stato di New York Dipartimento dei servizi finanziari (DFS) ha condotto uno studio sulla sicurezza informatica di 43 compagnie assicurative regolamentate.

Il DFS ha concluso che "sebbene ci si possa aspettare che gli assicuratori più grandi dispongano delle difese informatiche più robuste e sofisticate", lo studio ha concluso che non è necessariamente così. I risultati riflettono l'eccessiva fiducia tra i funzionari del settore assicurativo, con il 95% delle aziende intervistate che ritiene di "disporre di livelli di personale adeguati per la sicurezza delle informazioni". Inoltre, lo studio DFS afferma che solo il 14% degli amministratori delegati riceve briefing mensili sulla sicurezza delle informazioni.

Secondo Benjamin Lawsky, il sovrintendente del DFS, c'è "un'enorme potenziale vulnerabilità qui" e che "il sistema di password avrebbe dovuto essere sepolto molto tempo fa". Lui e il DFS raccomandano che "le autorità di regolamentazione e le aziende del settore privato debbano raddoppiare i loro sforzi e muoversi in modo aggressivo per aiutare a salvaguardare i dati dei consumatori". Inoltre, "le recenti violazioni della sicurezza informatica dovrebbero servire da severo campanello d'allarme per gli assicuratori e altre istituzioni finanziarie per rafforzare le loro difese informatiche".

Il rapporto completo, trovato qui, sottolinea che "mentre molti grandi assicuratori della salute, della vita e della proprietà vantano robuste difese informatiche, tra cui la crittografia per i trasferimenti di dati, firewall e software antivirus, molti si affidano ancora a metodi di verifica relativamente deboli per dipendenti e consumatori e hanno controlli permissivi rispetto a fornitori terzi che hanno accesso ai loro sistemi e ai dati personali ivi contenuti”.

Alla fine dell'anno scorso, una revisione del settore bancario trovato risultati simili.

Il banchiere americano rapporti che “la maggior parte delle violazioni della sicurezza che si verificano oggi nel settore bancario utilizza credenziali compromesse. [Nel 2014,] più di 900 milioni di record dei consumatori sono stati rubati da soli, secondo Risk Based Security; Il 66.3% includeva password e il 56.9% includeva nomi utente.

Come saranno interessati i consumatori?

L'inadeguatezza di username e password non è una novità; i dibattiti si sono protratti per più di un decennio. Il Consiglio d'esame delle istituzioni finanziarie federali, nel 2005, ha riconosciuto che "i semplici sistemi di nome utente e password erano inadeguati per le transazioni che comportano l'accesso alle informazioni sui clienti o i movimenti di fondi verso altre parti". Non sono state raccomandate o effettuate misurazioni più strette.

Le vulnerabilità informatiche di banche e assicurazioni sono una preoccupazione non solo per le aziende stesse, ma anche per gli individui.

Nuove tecniche di hacking stanno emergendo a un ritmo allarmante, rendendo ora molto più facile l'accesso a nomi utente e password.

I criminali informatici possono facilmente rubare identità attraverso metodi come "honey potting", in cui le persone digitano il proprio nome utente e password in siti Web affermando di verificare se il loro nome è stato compromesso, "distribuendo messaggi di phishing con il pretesto di offrire aiuto".

Gli utenti di Gmail nel settembre 2014 hanno subito un simile incidente. Secondo il International Business Times, 5 milioni di nomi utente e password Gmail sono stati pubblicati su un forum di bit coin russo; circa il 60% erano conti attivi. Poco prima, sono stati violati illegalmente anche 4.6 milioni di account Mail.ru e 1.25 milioni di account di posta elettronica Yandex.

Gli account di gioco, inoltre, sono suscettibili agli hacker. A gennaio, I miei nomi utente e password degli account artigianali sono trapelati online.

Tali casi illuminano semplicemente il fatto già noto che l'hacking colpisce più vicino a casa, potenzialmente nostro le case. Il vero pericolo, come The Hacker News sottolinea, sono quegli "utenti interessati che utilizzano la stessa combinazione di nome utente e password per molti servizi online, come siti di shopping, servizi bancari, servizi di posta elettronica e qualsiasi social network". Il più delle volte, nomi utente e password sono coerenti in tutti i servizi online.