Krypterede smartphones sikrer din identitet, ikke kun dine data

Smartphones gemmer din e-mail, dine billeder og din kalender. De giver adgang til online sociale medier som Facebook og Twitter, og endda dine bank- og kreditkortkonti. Og de er nøglerne til noget endnu mere privat og værdifuldt – din digitale identitet.

Gennem deres rolle i to-faktor autentificeringssystemer, den mest almindeligt anvendte sikre digitale identitetsbeskyttelsesmetode, smartphones er blevet afgørende for at identificere personer både online og offline. Hvis data og apps på smartphones ikke er sikre, det er en trussel mod folks identitet, potentielt tillader ubudne gæster at udgive sig som deres mål på sociale netværk, e-mail, kommunikation på arbejdspladsen og andre online konti.

Så sent som i 2012, FBI anbefalede offentligheden at beskytte deres smartphones data ved at kryptere dem. For nylig, selvom, agenturet har bedt telefonproducenter om at tilbyde en måde at komme ind i krypterede enheder, hvad politiet kalder "særlig adgang". Debatten har hidtil fokuseret på databeskyttelse, men det udelader et vigtigt aspekt af smartphone-kryptering:dens evne til at sikre folks personlige online-identiteter.

Som jeg skrev i min seneste bog, "Lytte med:Cybersikkerhed i en usikker tidsalder, "at gøre, hvad FBI ønsker - at gøre telefoner nemmere at låse op - nedsætter nødvendigvis brugernes sikkerhed. Et nyligt National Academies of Sciences, Ingeniør- og medicinstudie, hvor jeg deltog, advarer også om, at det at gøre telefoner nemmere at låse op potentielt svækker dette nøgleelement i at sikre folks online identiteter.

Indsamling af beviser eller svækkelse af sikkerheden?

I de seneste år, politiet har søgt adgang til mistænktes smartphones som led i kriminalefterforskningen, og teknologivirksomheder har gjort modstand. Den mest fremtrædende af disse situationer opstod i kølvandet på masseskyderiet i San Bernardino i 2015. Før angriberne selv blev dræbt i en skudveksling, de var i stand til at ødelægge deres computere og telefoner – undtagen én, en låst iPhone. FBI ville have telefonen dekrypteret, men bekymret for, at mislykkede forsøg på at knække Apples sikkerhedsmekanismer kunne få telefonen til at slette alle dens data.

Agenturet tog Apple i retten, søger at tvinge virksomheden til at skrive speciel software for at undgå telefonens indbyggede beskyttelser. Apple gjorde modstand, argumenterer for, at FBI's indsats var regeringens overskridelse, hvis det lykkes, ville mindske alle iPhone-brugeres sikkerhed – og, i forlængelse heraf, det for alle smartphone-brugere.

Konflikten blev løst, da FBI betalte et cybersikkerhedsfirma for at bryde ind i telefonen - og fandt intet af relevans for efterforskningen. Men bureauet holdt fast ved, at efterforskere skulle have, hvad de kaldte "ekstraordinær adgang, " og hvad andre kaldte en "bagdør":indbygget software, der tillader politiet at dekryptere låste telefoner.

Vigtigheden af ​​to-faktor autentificering

Situationen er ikke så enkel, som FBI antyder. Sikre telefoner giver barrierer for politiets efterforskning, men de er også en fremragende komponent i stærk cybersikkerhed. Og i betragtning af hyppigheden af ​​cyberangreb og mangfoldigheden af ​​deres mål, det er ekstremt vigtigt.

I juli 2015 Amerikanske embedsmænd meddelte, at cybertyve havde stjålet CPR-numrene, sundheds- og finansoplysninger og andre private data om 21,5 millioner mennesker, der havde ansøgt om føderale sikkerhedsgodkendelser fra det amerikanske kontor for personaleledelse. I december 2015 et cyberangreb på tre elselskaber i Ukraine efterlod en kvart million mennesker uden strøm i seks timer. I marts 2016 utallige e-mails blev stjålet fra John Podestas personlige Gmail-konto, formand for Hillary Clintons præsidentvalgkamp.

I hvert af disse tilfælde, og mange flere rundt om i verden siden, en dårlig sikkerhedspraksis – sikring af konti udelukkende gennem adgangskoder – lader skurke gøre alvorlig skade. Når login-legitimationsoplysninger er nemme at knække, ubudne gæster kommer hurtigt ind – og kan gå ubemærket hen i månedsvis.

Teknologien til at sikre online konti ligger i folks lommer. At bruge en smartphone til at køre et stykke software kaldet to-faktor (eller anden-faktor) autentificering gør det langt sværere for de onde at logge ind på onlinekonti. Software på smartphonen genererer en ekstra information, som en bruger skal levere, ud over et brugernavn og adgangskode, før du får lov til at logge ind.

På nuværende tidspunkt mange smartphone-ejere bruger tekstbeskeder som en anden faktor, men det er ikke godt nok. U.S. National Institute of Standards and Technology advarer om, at sms-beskeder er langt mindre sikker end autentificeringsapps:Angribere kan opsnappe tekster eller endda overbevise et mobilselskab om at videresende sms-beskeden til en anden telefon. (Det er sket for russiske aktivister, Black Lives Matter-aktivisten DeRay Mckesson, og andre.)

En mere sikker version er en specialiseret app, som Google Authenticator eller Authy, som genererer det, der kaldes tidsbaserede engangskodeord. Når en bruger ønsker at logge ind på en tjeneste, hun giver et brugernavn og adgangskode, og får derefter en prompt om appens kode. Åbning af appen afslører en sekscifret kode, der ændres hvert 30. sekund. Først efter at have indtastet det, er brugeren faktisk logget ind. En Michigan-startup kaldet Duo gør dette endnu nemmere:Efter en bruger har indtastet et brugernavn og en adgangskode, systemet pinger Duo-appen på hendes telefon, giver hende mulighed for at trykke på skærmen for at bekræfte login.

Imidlertid, disse apps er kun så sikre, som selve telefonen er. Hvis en smartphone har svag sikkerhed, en person, der er i besiddelse af det, kan få adgang til en persons digitale konti, endda låse ejeren ude. Ja, ikke længe efter iPhone debuterede i 2007, hackere udviklede teknikker til at hacke sig ind i mistede og stjålne telefoner. Apple reagerede ved at opbygge bedre sikkerhed for dataene på sine telefoner; det er det samme sæt af beskyttelser, som retshåndhævelsen nu søger at ophæve.

Undgå katastrofe

Det er praktisk at bruge en telefon som en anden faktor i godkendelse:De fleste mennesker bærer deres telefoner hele tiden, og apps er nemme at bruge. Og det er sikkert:Brugere bemærker, om deres telefon mangler, hvilket de ikke gør, hvis en adgangskode løftes. Telefoner som anden faktor autentificering tilbyder en enorm stigning i sikkerhed ud over blot brugernavne og adgangskoder.

Havde kontoret for personaleledelse brugt anden-faktor-autentificering, de personalerekorder ville ikke have været så lette at løfte. Havde de ukrainske elselskaber brugt anden-faktor-autentificering til adgang til de interne netværk, der kontrollerer strømfordelingen, hackerne ville have haft meget sværere ved at afbryde selve elnettet. Og havde John Podesta brugt anden-faktor-autentificering, Russiske hackere ville ikke have været i stand til at komme ind på hans Gmail-konto, selv med sit password.

FBI modsiger sig selv i dette vigtige spørgsmål. Agenturet har foreslået offentligheden at bruge to-faktor autentificering og kræver det, når politibetjente ønsker at oprette forbindelse til føderale strafferetlige databasesystemer fra et usikkert sted, såsom en café eller endda en politibil. Men så vil bureauet gøre smartphones nemmere at låse op, svækkelse af sit eget systems beskyttelse.

Ja, telefoner, der er svære at låse op, hindrer undersøgelser. Men det savner en større historie. Kriminalitet på nettet er stærkt stigende, og angreb bliver mere sofistikerede. At gøre telefoner nemme for efterforskere at låse op, vil underminere den bedste måde, der er for almindelige mennesker at sikre deres onlinekonti. Det er en fejl af FBI at føre denne politik.

Denne artikel blev oprindeligt publiceret på The Conversation. Læs den originale artikel.