Trusona wint Best in Show op Finovate 2018
Hoe bewijs je dat je bent wie je zegt dat je bent? Dat lijkt misschien een makkelijke vraag om te beantwoorden, maar in een wereld waar uw meest persoonlijke privé-informatie kan zijn opgehaald bij uw kredietinstelling of sociale netwerkaccount, dat gemak is een probleem. Fraudeurs en criminelen kunnen ook bewijzen dat jij het bent, met behulp van verrassend weinig informatie.
Dat is de puzzel die Ori Eisen hoopt op te lossen met de Trusona wachtwoordvrije authenticatie systeem. Het biedt tussenpersonen validatiediensten aan bedrijven over de hele wereld, in de hoop de bescherming van ieders digitale gegevens te verbeteren. Hij maakt gebruik van de expertise van 20e eeuwse fraudeurs zoals Frank Abagnale, beroemd afgebeeld in de film Vang me als je kunt, om onze moderne digitale verdediging tegen klassieke social engineering-tactieken te versterken.
Aanbevolen video's
Digitale trends: Frank Abagnale is waarschijnlijk bij de meesten bekend als het onderwerp van de film uit 2002 Vang me als je kunt gebaseerd op zijn escapades in de jaren zestig met chequefraude en nabootsing van identiteit. Hoe zijn jullie bij elkaar betrokken geraakt?
Ori Eisen: De korte versie is dat terwijl ik voor een van de grootste creditcardmaatschappijen werkte, ik daarnaast werd gevraagd aan mijn internetverantwoordelijkheden, om alles te weten te komen over het vervalsen van kaarten, waarvan ik niets wist over. Er bestaat geen boek of universitair diploma over dat onderwerp, dus ik vroeg: wie kan mij dat leren? De naam Frank Abagnale kwam keer op keer terug, alleen neemt hij geen nieuwe studenten aan.
De ‘Geldmannen’ op bezoek @FairFX -met de enige echte Frank Abagnale. Laat de #GeenWachtwoorden Revolutie begint. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7 december 2017
Ik heb hem maandenlang gesmeekt om mij te ontmoeten en te helpen, omdat hij via mij de misdaad kon helpen beteugelen, omdat ik zijn kennis zou gebruiken en de slechteriken zou gaan verslaan. Uiteindelijk stemde hij in met de ontmoeting en sindsdien werken we samen.
Hoewel vandaag Abagnale exploiteert een adviesbureau, zijn expertise komt uit een tijd waarin computers ongelooflijk zeldzaam waren en onvergelijkbaar met de digitaal verbeterde wereld waar we vandaag de dag van genieten. Hoe is zijn inbreng nuttig in de moderne tijd?
Het woord ‘Trusona’ is een samensmelting van True en Persona en om te weten wie de ware persona is, moet je een proces doorlopen dat identiteitsbewijs wordt genoemd. Laten we eerst vaststellen wie u bent als persoon [want…] er is geen authenticatie zonder identiteitsbewijs. Hoe kan ik verifiëren dat jij het bent als ik niet kan bewijzen dat jij het bent?
“Er is geen authenticatie zonder identiteitsbewijs.”
Frank is heel goed in het helpen ons na te denken over hoe je op het moment dat je een identiteitsbewijs uitvoert, een vals document kunt herkennen. Hoe een slechterik een foto van Frank zou vervangen door een foto van Steven Spielberg. Hoe zou u het certificaat verslaan, of hoe zou u de zwarte inkt op het document of alle kleine microprints verslaan? Hij weet echt veel over die documenten, omdat overheden ze in dat proces gebruiken.
Tijdens het bedenken van een manier om erachter te komen wie de ware persoonlijkheid is, in veel gevallen waarin we met een oplossing zouden zijn gekomen, liet hij ons in feite zien hoe je deze heel gemakkelijk kunt verslaan. Het was dus net als schaken totdat je op het punt kwam waarop hij niet meer kon verslaan wat wij deden.
Wat voor soort systemen heb je ontwikkeld die werden beschermd tegen het soort social engineering-aanvallen waar Frank Abagnale zo effectief in is?
Toen Trusona debuteerde, lanceerden we met een curve die aangeeft wat je probeert te beschermen, en dat is het serviceniveau dat we bieden. In al deze gevallen zal er geen enkel wachtwoord zijn.
Verschillende serviceniveaus vereisen verschillende onthullingsniveaus. Ons basisniveau, genaamd ‘Essentieel’, vraagt u alleen om een e-mailadres op te geven waarnaar we een e-mail sturen om te verifiëren dat u er inderdaad toegang toe heeft. Er zijn geen documenten bij betrokken, geen foto's, niets dergelijks. Dat kan u aan een account koppelen, voor mediastreaming of iets dergelijks. Omdat het goed genoeg is. Het maakt nog steeds gebruik van onze anti-replay-technologie, zodat zelfs als slechteriken ernaar zouden luisteren, ze het niet zouden kunnen hergebruiken.
Trusona's Anti-Replay-technologie
Ons volgende niveau is ‘Executive’. Dat niveau zegt: 'Oké, je kunt nog steeds in je huis zijn, maar naast je e-mail wil ik dat je scant op afstand, een paspoort of een rijbewijs.’ Het is niet Trusona die je zegt dat je het moet doen, we voltooien alleen het verzoek van onze partners. U probeert dus iets met uw bank te doen of iets met uw gezondheidszorg te doen, en namens hen doen wij dat. Trusona bewaart deze gegevens niet, omdat we niet de volgende hete aardappel voor een slechterik willen worden.
Het derde niveau heet “Elite” en vraagt u om een e-mail, om uw document op afstand te scannen en om uzelf persoonlijk te laten zien. We vragen u dat slechts één keer te doen, om u te verbinden met een zeer sterke kwalificatie. Het is niet zo dat u elke keer een selfie of video moet maken, want dat is het enige niveau dat een verzekeraar zal verzekeren. Het is niet voor de massamarkt, het is voor unieke situaties, maar dat is de enige manier om de ware persoonlijkheid te kennen, en dat is waar het in ons bedrijf om draait.
Hoe zit het met de groei van deepfakes en AI-gestuurde videomanipulatiesoftware die het mogelijk maakt om onderweg levensechte video's en afbeeldingen van mensen te maken? Vormt dat een bedreiging voor uw “Elite”-niveau?
Bedrijven als Adobe hebben het equivalent voor Photoshop voor live video uitgebracht. Het kan stem en gezicht imiteren […] Om verder te gaan, zou je moeten beginnen met persoonlijke identiteit proefdrukken, wat betekent dat ik u in het echt moet ontmoeten, en met uw documenten, om vast te stellen dat dit zo is Jij. Je kunt het niet op afstand doen. Maar niet elke use case vereist dat. Het hangt er echt van af wat je probeert te beschermen. Als HBO je een film wil laten kijken, hebben ze dat beveiligingsniveau niet nodig. Maar als Goldman Sachs 50 miljoen dollar wil overmaken voor Steven Spielberg, hebben ze dat beveiligingsniveau misschien nodig.
Heeft u Frank Abagnale ooit geprobeerd Trusona-werknemers te social engineeren?
Om het eerste geauthenticeerde bedrijf ter wereld te worden – niemand anders heeft deze stappen gezet, omdat het niet eenvoudig is – moeten we eerst onze eigen gegevens beschermen tegen onze eigen werknemers. Wat als je een van hen zou ontvoeren en ons zou vertellen: ‘Ik laat ze alleen vrij als je me toegang geeft tot de sleutels?’
Vanaf het begin hebben we een jaar in stealth-modus doorgebracht en een systeem ontworpen waarmee ik je niet kan helpen, zelfs als je een pistool tegen mijn hoofd houdt. Dat geldt ook voor ons hoofd engineering en alle anderen die het systeem hebben gebouwd, want ik heb ze uitgelegd: Om de wereld tegen de slechteriken te beschermen, kunnen wij niet de zwakste schakel in de keten zijn, en zij ook begrijpen. Daarom moeten we heel bijzondere mensen meenemen die zich willen aanmelden voor deze missie.
“[We] hebben een systeem ontworpen waarbij ik je niet kan helpen, zelfs als je een pistool tegen mijn hoofd zet”
Ook bewaren wij geen hete aardappelen. Als je ons vandaag hebt gehackt en we veel pentests hebben gedaan met verschillende bedrijven, krijg je alleen maar een hash van gegevens. Als ik je e-mail heb aangenomen, is het eenrichtings-hash. Als ik iets over een transactie heb overgenomen, is het in één richting gehasht, dus je kunt het nooit meer terugzetten naar de gegevens, omdat we niet weten wat de ruwe waarde is.
Als we zouden worden gehackt door een natiestaat, wat naar mijn verwachting elke dag zal gebeuren, zouden ze iets vinden dat nutteloos was. Op 6 mei 2016 – twee jaar geleden – hebben wij onze verzekering aangekondigd. Sindsdien komt 13 procent van onze webhits uit Rusland. En we hebben daar geen enkele klant, we hebben daar geen enkele verkoper. Dat is veel voor mensen met wie we geen zaken doen!
De derde is trainen. Ik kan je vertellen dat zelfs bij onze ondersteuningsman, die ondersteuningsoproepen aanneemt […] we ze trainen om oproepen aan te nemen van mensen als ‘Donald Trump.’ We zijn erg bedreven in het nabootsen van telefoontjes en het echt legitiem laten lijken, zodat het lijkt alsof de president belt Jij. Wij weten hoe we dat moeten doen, omdat we hackers zijn. Het zijn de stappen, de vragen, en niet alleen maar ‘ja’ zeggen op alles, die ons zo sterk maken als we maar kunnen zijn. Omdat we ons realiseren dat hoe alomtegenwoordiger we worden, we zelf een doelwit worden.
Hoe zit het met legitieme eisen van overheidsinstanties? Zijn Trusona-gegevens beschermd tegen de echte Donald Trump?
We hebben veel te maken gehad met drieletterbureaus, maar het ontwerp is zodanig dat ik het niet kan doen, ook al zou je dat willen. Ik weet niet wat de gegevens zijn. U kunt mij vandaag dagvaarden en zeggen dat ik u alle gegevens over [een cliënt] moet geven. Oké, ik krijg de dagvaarding en ik zal antwoorden als je me kunt vertellen welke van onze documenten van hen zijn, dan kun je die krijgen, maar ik weet het niet.
Een van de meest besproken digitale systemen van de afgelopen jaren is dat wel blockchain-technologie. Tegenwoordig wordt het door overheden en organisaties gebruikt om de waarheidsgetrouwheid van gegevens te beschermen. Is het ook een effectief instrument om de privacy en gegevensbescherming te verbeteren?
Blockchain-technologie is een van de meest verbazingwekkende uitvindingen van onze tijd, harde stop. Veel mensen leggen echter de link dat als het wiskundig correct is, ze in het echte leven onveranderlijk zijn en dat is waar Frank Abagnale je alleen maar zal uitlachen.
Als ik een nepdocument van Jon Martindale maak en ik ga naar een bank en solliciteer ermee en zij plaatsen het in een blockchain, door De tijd dat je erachter komt dat jij het niet was en je probeert het ongedaan te maken, hoe ga je het dan uit de wereld verwijderen? blockchain? Het is het ‘GIGO’-principe: afval in afval eruit.
Het is geweldig om een technologie te maken die wiskundig perfect is. Ik vind eigenlijk dat iedereen die een huis koopt het op een blockchain moet hebben staan, zodat je je huis nooit kwijt kunt raken. Daar zijn veel goede toepassingen voor, maar om te zeggen dat dit het kernidentiteitsprobleem zal oplossen, is een leugen. Het probleem ging nooit over de manier waarop de gegevens moesten worden opgeslagen, maar over de vraag: hoe weet ik wie wie is in de dierentuin?
Nu er zoveel grote hacks en gegevensdiefstallen plaatsvinden, kunnen mensen zich gemakkelijk machteloos voelen bij het beschermen van hun gegevens. Heeft u beveiligingsaanbevelingen voor onze lezers die ze kunnen gebruiken om zichzelf te beschermen?
Er is een heel eenvoudige tip die ik ze zal geven. Totdat we in een wereld zonder wachtwoorden leven, is mijn enige advies: verander je wachtwoorden. Het kost u niets. Zelfs als wachtwoorden gisteren zijn gestolen, is het wijzigen ervan hetzelfde als het vervangen van het slot van uw deur. Voor de belangrijkste zaken in uw leven, uw bank, uw gezondheidszorg, zet u een agenda-item in en wijzigt u elke maand, elk kwartaal, minimaal één keer per jaar, uw wachtwoorden. Het feit dat we gewoontedieren zijn, werkt tegen ons.
