Een smartphone is een digitale vorm van ID voor veel apps en services. Iowa Department of Transportation
Smartphones slaan je e-mail, je foto's en je agenda op. Ze bieden toegang tot online sociale mediasites zoals Facebook en Twitter, en zelfs uw bank- en creditcardaccounts. En het zijn sleutels tot iets dat nog persoonlijker en kostbaarder is - uw digitale identiteit.
Door hun rol in twee-factor authenticatie systemen, de meest gebruikte beveiligde digitale identiteitsbeschermingsmethode, smartphones zijn essentieel geworden om mensen zowel online als offline te identificeren. Als gegevens en apps op smartphones niet veilig zijn, vormen ze een bedreiging voor de identiteit van mensen, waardoor indringers zich mogelijk kunnen voordoen als hun doelen op sociale netwerken, e-mail, communicatie op de werkplek en andere online accounts.
Zo kort als 2012, de FBI raadde het publiek aan om de gegevens van hun smartphones te beschermen door het te versleutelen. Meer recent echter het Agentschap heeft vroeg telefoon makers om een manier te bieden om op gecodeerde apparaten komen, wat de politie noemt "uitzonderlijke toegang. "Het debat tot dusverre was gericht op gegevensprivacy, maar dat laat een vitaal aspect van de versleuteling van smartphones weg: het vermogen om de persoonlijke online identiteit van mensen te beveiligen.
Zoals ik schreef in mijn recente boek, "Luisteren: cybersecurity in een onveilig tijdperk, "Doen wat de FBI wil - het makkelijker maken van telefoons om te ontgrendelen - vermindert noodzakelijkerwijs de veiligheid van gebruikers. Een recent Nationale Academies van Wetenschappen, Engineering en Geneeskunde studeren, waarin ik heb deelgenomen, waarschuwt ook dat het eenvoudiger kan maken om telefoons te ontgrendelen, dit belangrijke element van het beveiligen van de online identiteit van mensen mogelijk verzwakt.
Informatie verzamelen of de beveiliging verzwakken?
De afgelopen jaren heeft de politie toegang gezocht tot smartphones van verdachten als onderdeel van strafrechtelijk onderzoek, en technologische bedrijven hebben weerstand geboden. De meest prominente van deze situaties ontstond in de nasleep van de 2015 San Bernardino-massaschieten. Voordat de aanvallers zelf tijdens een vuurgevecht werden gedood, waren ze in staat om hun computers en telefoons te vernietigen - op één na, een vergrendelde iPhone. De FBI wilde dat de telefoon werd gedecodeerd, maar bang dat mislukte pogingen om de beveiligingsmechanismen van Apple te kraken ertoe kunnen leiden dat de telefoon dit doet verwijder alle gegevens.
Het Agentschap bracht Apple voor de rechter, waarbij het bedrijf wordt gedwongen speciale software te schrijven om de ingebouwde beveiligingen van de telefoon te vermijden. Apple verzette zich en beweerde dat de FBI moeite deed om de regering over te halen, als dat lukte verminder de veiligheid van alle iPhone-gebruikers - en bij uitbreiding die van alle smartphonegebruikers.
Het conflict was opgelost toen de FBI betaalde een cyberbeveiligingsbedrijf om in te bellen - en gevonden niets van relevantie naar het onderzoek. Maar het bureau bleef standvastig dat onderzoekers zouden moeten hebben wat zij noemden "uitzonderlijke toegang, "En wat anderen een"achterdeur": Ingebouwde software waarmee de politie vergrendelde telefoons kan ontsleutelen.
Het belang van two-factor authenticatie
De situatie is niet zo eenvoudig als de FBI suggereert. Veilige telefoons bieden weliswaar barrières voor politie-onderzoeken, maar ze vormen ook een uitstekend onderdeel van sterke cyberbeveiliging. En gezien de frequentie van cyberaanvallen en de diversiteit van hun doelen, is dat buitengewoon belangrijk.
In juli hebben 2015, Amerikaanse functionarissen dat aangekondigd cyberthieves hadden gestolen de sofinummers, gezondheids- en financiële informatie en andere privégegevens van 21.5 miljoen mensen die een federale veiligheidsmachtiging had aangevraagd bij het US Office of Personnel Management. In december vertrok 2015, een cyberaanval bij drie elektriciteitsbedrijven in Oekraïne een kwart miljoen mensen zonder stroom gedurende zes uur. In maart 2016, talloze e-mails werden gestolen van het persoonlijk Gmail-account van John Podesta, voorzitter van de presidentiële campagne van Hillary Clinton.
In elk van deze gevallen, en veel meer over de hele wereld sinds, een slechte beveiligingspraktijk - accounts alleen via wachtwoorden beveiligen - laat slechteriken ernstige schade aanrichten. Wanneer inloggegevens gemakkelijk te kraken zijn, komen indringers snel binnen - en kunnen maandenlang onopgemerkt blijven.
De technologie om online accounts te beveiligen ligt in de zakken van mensen. Een smartphone gebruiken om een stukje software uit te voeren twee-factor (of tweede factor) authenticatie maakt inloggen op online accounts veel moeilijker voor de slechteriken. Software op de smartphone genereert een extra stuk informatie dat een gebruiker moet verstrekken, naast een gebruikersnaam en wachtwoord, voordat hij mag inloggen.
Op dit moment gebruiken veel eigenaren van smartphones tekstberichten als een tweede factor, maar dat is niet goed genoeg. Het Amerikaanse National Institute of Standards and Technology waarschuwt dat sms'en veel minder veilig is dan authenticatie-apps: aanvallers kunnen dat onderschep teksten of zelfs een mobiel bedrijf ervan overtuigen het sms-bericht door te sturen naar een andere telefoon. (Het is gebeurd Russische activisten, Black Lives Matter activist DeRay Mckesson en anderen.)
Een veiliger versie is een gespecialiseerde app, zoals Google Authenticator or Authy, die zogenaamde op tijd gebaseerde eenmalige wachtwoorden genereert. Wanneer een gebruiker zich wil aanmelden bij een service, geeft deze een gebruikersnaam en wachtwoord en vraagt vervolgens om de code van de app. Het openen van de app onthult een zescijferige code die elke 30-seconden verandert. Alleen bij het typen van dat is de gebruiker daadwerkelijk ingelogd. Een startup van Michigan genaamd Duo maakt dit nog eenvoudiger: nadat een gebruiker een gebruikersnaam en wachtwoord heeft ingevoerd, pingt het systeem de Duo-app op haar telefoon, zodat ze op het scherm tikt om de aanmelding te bevestigen.
Deze apps zijn echter alleen zo veilig als de telefoon zelf is. Als een smartphone een zwakke beveiliging heeft, kan iemand die deze in bezit heeft, toegang krijgen tot iemands digitale accounts en zelfs de eigenaar blokkeren. Inderdaad, niet lang nadat de iPhone debuteerde in 2007, hackers ontwikkelden technieken For hacking in verloren en gestolen telefoons. Apple antwoordde by bouwen aan betere beveiliging voor de gegevens op zijn telefoons; dit zijn dezelfde set beveiligingen die de politie nu probeert ongedaan te maken.
Ramp vermijden
Het gebruik van een telefoon als tweede factor bij authenticatie is handig: de meeste mensen dragen hun telefoons de hele tijd, en de apps zijn gemakkelijk te gebruiken. En het is veilig: gebruikers merken op dat hun telefoon ontbreekt, wat ze niet doen als een wachtwoord wordt opgeheven. Telefoons als verificatoren met een tweede factor bieden een enorme toename in beveiliging die verder gaat dan alleen gebruikersnamen en wachtwoorden.
Als het Office of Personnel Management gebruik had gemaakt van authenticatie met een tweede factor, dan waren die personeelsdossiers niet zo gemakkelijk op te heffen. Hadden de Oekraïense energiebedrijven gebruikgemaakt van second-factor authenticatie voor toegang tot de interne netwerken die de stroomverdeling regelen, dan hadden de hackers het veel moeilijker gevonden om het elektriciteitsnet zelf te verstoren. En als John Podesta authenticatie met een tweede factor had gebruikt, zouden Russische hackers niet in zijn Gmail-account kunnen komen, zelfs niet met zijn wachtwoord.
De FBI spreekt zichzelf tegen dit belangrijke onderwerp tegen. Het bureau heeft stelde voor het publiek gebruik te maken van tweefactorauthenticatie en vereist het wanneer politieagenten verbinding willen maken federale databanken voor strafrechtszaken van een onzekere locatie zoals een koffiebar of zelfs een politieauto. Maar dan wil het bureau smartphones gemakkelijker ontgrendelen en de bescherming van zijn eigen systeem verzwakken.
Ja, telefoons die moeilijk te ontgrendelen zijn, belemmeren onderzoeken. Maar dat mist een groter verhaal. Online criminaliteit neemt sterk toe en aanvallen worden steeds geavanceerder. Door telefoons gemakkelijk te maken voor onderzoekers om te ontgrendelen, wordt de beste manier ondermijnd die gewone mensen hebben om hun online accounts te beveiligen. Het is een vergissing voor de FBI om dit beleid na te streven.
Ja, telefoons die moeilijk te ontgrendelen zijn, belemmeren onderzoeken. Maar dat mist een groter verhaal. Online criminaliteit neemt sterk toe en aanvallen worden steeds geavanceerder. Door telefoons gemakkelijk te maken voor onderzoekers om te ontgrendelen, wordt de beste manier ondermijnd die gewone mensen hebben om hun online accounts te beveiligen. Het is een vergissing voor de FBI om dit beleid na te streven.Over de auteur
Susan Landau, hoogleraar computerwetenschappen, recht en diplomatie en cybersecurity, Tufts University
Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees de originele artikel.
Boeken van deze auteur
at InnerSelf Market en Amazon
