Fra sjekker til GDPR – Hvordan Trusona ønsker å beskytte ID-en din

Hvordan beviser du at du er den du sier du er? Det kan virke som et enkelt spørsmål å svare på, men i en verden der din mest personlige private informasjon kan være høstet fra kredittbyrået ditt eller konto for sosiale nettverk, den lettheten er et problem. Svindlere og kriminelle kan også bevise at de er deg, ved å bruke overraskende lite informasjon.

Det er gåten Ori Eisen håper å løse med Trusona passordfri autentisering system. Det tilbyr mellommannvalideringstjenester til selskaper over hele verden, i håp om å forbedre beskyttelsen av alles digitale data. Han bruker ekspertisen til 20^th århundres svindlere som Frank Abagnale, kjent avbildet i filmen Fang meg hvis du kan, for å støtte opp om vårt moderne digitale forsvar mot klassisk sosial ingeniør-taktikk.

Digitale trender: Frank Abagnale er sannsynligvis kjent av de fleste som tema for filmen fra 2002 Fang meg hvis du kan basert på hans eskapader på 60-tallet med sjekkesvindel og etterligning. Hvordan ble dere involvert sammen?

Ori Eisen: Kortversjonen er at mens jeg jobbet for et av de største kredittkortselskapene, ble jeg spurt i tillegg til mitt internettansvar, for å lære om alt om forfalskning av kort, som jeg ikke visste noe om Om. Det er ingen bok eller universitetsgrad om det emnet, så jeg spurte, hvem kan lære meg? Navnet Frank Abagnale kom opp igjen og igjen, det er bare det at han ikke tar nye studenter.

«Pengemennene» på besøk @FairFX -med den eneste Frank Abagnale. La #Ingen passord Revolusjonen begynner. @trusona_incpic.twitter.com/soAYZ3Vn7u

— Ori Eisen (@orieisen) 7. desember 2017

Jeg tryglet ham i måneder og måneder om å møte meg og hjelpe meg fordi han gjennom meg kunne bidra til å dempe kriminalitet fordi jeg ville ta kunnskapen hans og gå og slå de slemme gutta. Til slutt gikk han med på møtet, og vi har jobbet sammen siden.

Skjønt i dag Abagnale driver et konsulentfirma, kommer ekspertisen hans fra en tid da datamaskiner var utrolig sjeldne og usammenlignbare med den digitalt forbedrede verdenen vi nyter i dag. Hvordan er hans innspill nyttig i moderne tid?

Ordet "Trusona" er en sammensmelting av True og Persona, og for å vite hvem den sanne persona er, må du gå gjennom en prosess som kalles identitetsbevis. La oss først fastslå hvem du er som person [fordi ...] det er ingen autentisering uten identitetsbevis. Hvordan kan jeg autentisere at det er deg hvis jeg ikke beviser at det er deg til å begynne med?

Frank er veldig flink til å hjelpe oss med å tenke gjennom i det øyeblikket når du utfører identitetskontroll, hvordan oppdage et falskt dokument. Hvordan en skurk ville erstatte et bilde av Frank med et bilde av Steven Spielberg. Hvordan ville du slått sertifikatet eller hvordan ville du slått det svarte blekket på dokumentet eller alt det fine mikrotrykket. Han vet virkelig mye om disse dokumentene fordi myndighetene bruker dem i den prosessen.

På reisen med å finne ut hvem den sanne persona er, i mange tilfeller der vi ville ha kommet opp med en løsning, viste han oss i utgangspunktet hvordan du kunne slå den veldig enkelt. Så det var som å spille sjakk til du kommer til det punktet hvor han ikke kunne slå det vi gjorde.

Hva slags systemer utviklet du som var beskyttet mot den typen sosiale ingeniørangrep som Frank Abagnale er så effektiv til å implementere?

Da Trusona debuterte, lanserte vi med en kurve som sier hva du prøver å beskytte, og det er servicenivået vi tilbyr. I alle av dem vil det ikke være noen form for passord.

Ulike servicenivåer krever ulike nivåer av avsløring. Vårt grunnleggende nivå, kalt "Essential", ber deg bare om å oppgi en e-postadresse som vi sender en e-post for å bekrefte at du faktisk har tilgang til den. Det er ingen dokumenter involvert, ingen bilder, ingenting sånt. Det kan knytte deg til en konto, for mediastreaming eller lignende. For det er godt nok. Den bruker fortsatt vår anti-replay-teknologi, slik at selv om skurkene hørte på den, kunne de ikke gjenbruke den.

Vårt neste nivå er «Executive». Det nivået sier «ok, du kan fortsatt være i huset ditt, men i tillegg til e-posten din, vil jeg at du skal skanne eksternt, enten et pass eller et førerkort.’ Det er ikke Trusona som ber deg gjøre det, vi fullfører bare forespørselen fra vår partnere. Så du prøver å gjøre noe med banken din eller å gjøre noe med helsevesenet ditt, og på deres vegne gjør vi det. Trusona lagrer ingen av disse dataene, fordi vi ikke ønsker å bli den neste varme poteten for en skurk.

Det tredje nivået kalles "Elite" og det ber deg om en e-post, og å skanne dokumentet ditt eksternt, og å vise deg frem personlig. Vi ber deg bare om å gjøre det én gang, for å koble deg til en veldig sterk legitimasjon. Det er ikke det hver gang du trenger å ta en selfie eller video, for det er det eneste nivået som en underwriter vil forsikre. Det er ikke for massemarkedet, det er for unike situasjoner, men det er den eneste måten å kjenne den sanne personligheten, som er hva virksomheten vår handler om.

Hva med veksten i deepfakes og AI-drevet videomanipuleringsprogramvare som gjør det mulig å lage naturtro video og bilder av mennesker på farten? Utgjør det en trussel mot "Elite"-nivået ditt?

Selskaper som Adobe ga ut tilsvarende for Photoshop for live video. Den kan imitere stemme og ansikt […] For å gå utover det, må du begynne med personlig identitet korrektur, noe som betyr at jeg trenger å møte deg i det virkelige liv, og med dokumentene dine, for å fastslå at det er det du. Du kan ikke gjøre det eksternt. Men ikke alle brukstilfeller krever det. Det kommer virkelig an på hva du prøver å beskytte. Hvis HBO vil tillate deg å se en film, trenger de ikke det sikkerhetsnivået. Men hvis Goldman Sachs ønsker å flytte 50 millioner dollar for Steven Spielberg, kan de trenge det sikkerhetsnivået.

Har du noen gang fått Frank Abagnale til å prøve å sosialingeniør Trusona-ansatte?

For å bli verdens første autentiserte selskap – ingen andre har tatt disse trinnene, fordi det ikke er enkelt – må vi først beskytte våre egne data fra våre egne ansatte. Hva om du kidnappet en av dem og sa til oss 'Jeg slipper dem bare hvis du gir meg tilgang til nøklene?'

Helt fra starten brukte vi et år i stealth-modus og designet et system som jeg ikke kan hjelpe deg selv om du setter en pistol mot hodet mitt. Det inkluderer ingeniørsjefen vår og alle andre som bygde systemet, fordi jeg forklarte dem, for å beskytte verden fra skurkene, kan vi ikke være det svakeste leddet i kjeden, og de forstå. Det er derfor vi må ta veldig spesielle mennesker for å melde seg på dette oppdraget.

Vi oppbevarer heller ingen varme poteter. Hvis du hacket oss i dag, og vi har gjort mange pennetester med forskjellige selskaper, er alt du får én vei av data. Hvis jeg tok e-posten din, er det enveis-hash. Hvis jeg tok noe om en transaksjon, er den hashed på én måte, så du kan aldri tilbakestille den til dataene fordi vi ikke vet hva råverdien er.

Hvis vi ble hacket av en nasjonalstat, noe jeg forventer vil skje hver dag nå, ville de finne noe som var ubrukelig. Vi annonserte vår forsikring 6. mai 2016 – for to år siden. Siden den gang kommer 13 prosent av netttreffene våre fra Russland. Og vi har ikke en eneste kunde der, vi har ikke en eneste selger der. Det er mye for folk vi ikke gjør forretninger med!

Den tredje er trening. Jeg kan fortelle deg at selv hos støttepersonen vår, som tar støtteanrop […], trener vi dem til å ta telefoner fra folk som «Donald» Trump.’ Vi er veldig flinke til å forfalske telefonsamtaler og få det til å se ekte ut, for å få det til å virke som presidenten ringer du. Vi vet hvordan vi gjør det fordi vi er hackere. Det er trinnene, spørsmålene, ikke bare å si ja til alt, som gjør oss så sterke som vi kan bli. Fordi vi innser at jo mer gjennomgripende vi blir, er vi selv i ferd med å bli et mål.

Hva med legitime krav fra offentlige etater? Er Trusona-data beskyttet mot den virkelige Donald Trump?

Vi har hatt mange avtaler med tre brevbyråer, men designet er slik at jeg ikke kan gjøre det, selv om du ville at jeg skulle det. Jeg vet ikke hva dataene er. Du kan stevne meg i dag og be meg gi deg alle dataene om [en klient]. Ok, jeg får stevningen og jeg svarer hvis du kan fortelle meg hvilke av platene våre som er deres, så kan du få den, men jeg vet ikke.

Et av de mest omtalte digitale systemene de siste årene har vært blokkjedeteknologi. I dag brukes den av myndigheter og organisasjoner for å beskytte sannheten til data. Er det et effektivt verktøy for å forbedre personvern og databeskyttelse også?

Blockchain-teknologi er en av de mest fantastiske oppfinnelsene i vår tid, hard stop. Imidlertid gjør mange mennesker koblingen at hvis det er matematisk korrekt, er de uforanderlige i det virkelige liv, og det er der Frank Abagnale bare vil le av deg.

Hvis jeg lager et falskt dokument av Jon Martindale og jeg går til en bank og søker med det og de legger inn i en blokkjede, av når du vil finne ut at det ikke var deg og du vil prøve å angre det, hvordan vil du fjerne det fra blokkjede? Det er "GIGO"-prinsippet, søppel inn søppel ut.

Å lage en teknologi som er matematisk perfekt, er fantastisk. Jeg synes faktisk at alle som kjøper et hus bør ha det på en blokkjede slik at du aldri kan miste huset ditt. Det er mange gode applikasjoner for det, men å si at det vil løse kjerneidentitetsproblemet er en usannhet. Problemet handlet aldri om hvordan dataene skulle lagres, det var: Hvordan vet jeg hvem som er hvem i dyrehagen?

Med så mange store hacks og datatyverier som finner sted, er det lett for folk å føle seg maktesløse når det gjelder å beskytte dataene sine. Har du noen sikkerhetsanbefalinger for leserne våre som de kan bruke for å beskytte seg selv?

Det er et veldig enkelt tips jeg vil gi dem. Inntil vi lever i en verden uten passord, er mitt eneste råd å endre passordene dine. Det koster deg ingenting. Selv om passord ble stjålet i går, er det å bytte dem som å bytte lås på døren din. For de viktigste tingene i livet ditt, bank din helsetjeneste, legg inn en kalenderoppføring og endre passordene dine hver måned, hvert kvartal, minst en gang i året. Det faktum at vi er vaneskapninger jobber mot oss.