Трусона выиграла Best in Show на Finovate 2018
Как доказать, что вы тот, за кого себя выдаете? Может показаться, что на этот вопрос легко ответить, но в мире, где ваша самая личная информация может быть раскрыта получено от вашего кредитного агентства или аккаунт в социальной сети, эта легкость является проблемой. Мошенники и преступники также могут доказать, что это вы, используя на удивление мало информации.
Это загадка, которую Ори Эйзен надеется решить с помощью Аутентификация Trusona без пароля система. Он предлагает услуги проверки посредников компаниям по всему миру в надежде улучшить защиту цифровых данных каждого. Он использует опыт 20й мошенники века, такие как Фрэнк Абигнейл, знаменито изображенный в фильме Поймай меня, если сможешь, чтобы укрепить нашу современную цифровую защиту от классической тактики социальной инженерии.
Рекомендуемые видео
Цифровые тенденции: Фрэнк Абигнейл, вероятно, известен большинству как герой фильма 2002 года. Поймай меня, если сможешь основан на его выходках в 60-х годах с мошенничеством с чеками и выдачей себя за другое лицо. Как вы двое оказались вместе?
Ори Эйзен: Вкратце, когда я работал в одной из крупнейших компаний, выпускающих кредитные карты, меня дополнительно попросили к моим интернет-обязанностям, узнать все о подделках карт, о которых я ничего не знал о. По этому предмету нет ни книги, ни университетской степени, поэтому я спросил: кто меня может научить? Имя Фрэнка Абигнейла всплывало снова и снова, просто он не берет новых учеников.
«Денежники» в гостях @FairFX -с единственным и неповторимым Фрэнком Абигнейлом. Пусть #NoPasswords Начало революции. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ори Эйзен (@orieisen) 7 декабря 2017 г.
Я месяцами умолял его встретиться со мной и помочь мне, потому что через меня он мог бы помочь обуздать преступность, потому что я бы взял его знания и пошел бы бить плохих парней. В конце концов он согласился на встречу, и с тех пор мы работаем вместе.
Хотя сегодня Абигнейл управляет консалтинговой фирмой.Его опыт пришел из тех времен, когда компьютеры были невероятно редки и несравнимы с цифровым миром, которым мы наслаждаемся сегодня. Чем его вклад полезен в современную эпоху?
Слово «Трусона» представляет собой сочетание слов «Истинный» и «Персона», и чтобы узнать, кто является настоящей личностью, вам необходимо пройти процесс, называемый проверкой личности. Сначала давайте выясним, кем вы являетесь как личность, [потому что…] не существует аутентификации без подтверждения личности. Как я могу удостоверить, что это вы, если я не докажу, что это именно вы?
«Без подтверждения личности невозможна аутентификация».
Фрэнк очень хорошо помогает нам в тот момент, когда вы проводите проверку личности, продумать, как обнаружить поддельный документ. Как плохой парень заменил фотографию Фрэнка на фотографию Стивена Спилберга. Как бы вы победили сертификат или как бы вы победили черные чернила на документе или весь мелкий микропринт. Он действительно много знает об этих документах, потому что правительства используют их в этом процессе.
В процессе разработки способа узнать, кто на самом деле, во многих случаях, когда мы могли бы найти решение, он, по сути, показывал нам, как можно очень легко его победить. Так что это было похоже на игру в шахматы, пока не приходишь к моменту, когда он не может победить то, что мы делали.
Какие системы вы разработали, чтобы они были защищены от атак социальной инженерии, которые так эффективно реализует Фрэнк Абигнейл?
Когда Trusona дебютировала, мы запустили кривую, которая показывает, что вы пытаетесь защитить, и это уровень обслуживания, который мы предоставляем. Во всех них не будет никакого пароля.
Разные уровни обслуживания требуют разного уровня раскрытия информации. Наш базовый уровень, называемый «Основной», требует от вас только предоставить адрес электронной почты, на который мы отправим электронное письмо, чтобы убедиться, что у вас действительно есть к нему доступ. Никаких документов, никаких фотографий, ничего подобного. Это может привязать вас к учетной записи для потоковой передачи мультимедиа или чего-то подобного. Потому что это достаточно хорошо. Он по-прежнему использует нашу технологию предотвращения повторов, поэтому, даже если злоумышленники подслушивают его, они не смогут использовать его повторно.
Технология предотвращения повторного воспроизведения Trusona
Наш следующий уровень — «Руководитель». Этот уровень говорит: «Хорошо, вы все еще можете находиться у себя дома, но помимо электронной почты я хочу, чтобы вы отсканировали удаленно, либо паспорт, либо водительские права». Это не Трусона вам говорит, мы лишь выполняем просьбу нашего партнеры. Итак, вы пытаетесь что-то сделать со своим банком или со своим здравоохранением, и мы делаем это от их имени. Трусона не хранит никаких этих данных, потому что мы не хотим стать очередной горячей картошкой для плохого парня.
Третий уровень называется «Элитный», и он просит вас указать электронную почту, удаленно отсканировать документ и явиться лично. Мы просим вас сделать это только один раз, чтобы предоставить вам очень надежные учетные данные. Дело не в том, что каждый раз нужно делать селфи или видео, ведь это единственный уровень, который застрахует андеррайтер. Это не для массового рынка, а для уникальных ситуаций, но это единственный способ узнать истинную личность, и в этом вся суть нашего бизнеса.
А как насчет роста программное обеспечение для дипфейков и обработки видео на основе искусственного интеллекта что позволяет создавать реалистичные видео и изображения людей на лету? Представляет ли это угрозу вашему «Элитному» уровню?
Такие компании, как Adobe, выпустили эквивалент Photoshop для живого видео. Он может имитировать голос и лицо […] Чтобы выйти за рамки этого, вам придется начать с личной идентичности. доказательство, то есть мне нужно встретиться с вами в реальной жизни и с вашими документами, чтобы установить, что это ты. Вы не сможете сделать это удаленно. Но не каждый вариант использования требует этого. Это действительно зависит от того, что вы пытаетесь защитить. Если HBO хочет позволить вам смотреть фильм, им не нужен такой уровень безопасности. Но если Goldman Sachs захочет перевести 50 миллионов долларов для Стивена Спилберга, им может понадобиться такой уровень безопасности.
Вы когда-нибудь видели, чтобы Фрэнк Абигнейл пытался подвергнуть социальной инженерии сотрудников Трусоны?
Чтобы стать первой в мире компанией, прошедшей аутентификацию (никто больше не предпринял таких шагов, потому что это непросто), мы должны сначала защитить наши собственные данные от наших собственных сотрудников. Что, если бы вы похитили одного из них и сказали нам: «Я отпущу их только в том случае, если вы дадите мне доступ к ключам?»
С самого начала мы провели год в скрытном режиме и разработали систему, в которой, даже если вы приставите пистолет к моей голове, я не смогу вам помочь. В их число входит наш руководитель инженерного отдела и все остальные, кто создавал систему, потому что я им объяснил: чтобы защитить мир от плохих парней, мы не можем быть самым слабым звеном в цепи, и они понимать. Вот почему нам приходится брать на эту миссию очень особенных людей.
«[Мы] разработали систему, в которой, даже если вы приставите пистолет к моей голове, я не смогу вам помочь»
Мы также не храним горячий картофель. Если вы взломали нас сегодня, и мы провели множество пен-тестов с разными компаниями, все, что вы получите, — это односторонний хэш данных. Если я взял вашу электронную почту, это односторонний хэш. Если я взял что-нибудь о транзакции, то это одностороннее хеширование, поэтому вы никогда не сможете вернуть это обратно в данные, потому что мы не знаем, каково необработанное значение.
Если бы нас взломало национальное государство, что, я ожидаю, произойдет в любой момент, они нашли бы что-то бесполезное. Мы объявили о нашей страховке 6 мая 2016 года – два года назад. С тех пор 13 процентов наших веб-посещений приходят из России. И у нас там нет ни одного покупателя, ни одного продавца. Это очень много для людей, с которыми мы не ведем дела!
Третье – обучение. Я могу вам сказать, что даже в нашей службе поддержки, которая принимает звонки в службу поддержки […], мы обучаем их принимать звонки от таких людей, как «Дональд Трамп». Мы очень искусны в фальсификации телефонных звонков и создании того, чтобы они выглядели действительно законно, чтобы казалось, что звонит президент. ты. Мы знаем, как это сделать, потому что мы хакеры. Именно шаги и вопросы, а не просто говорить «да» всему, делают нас настолько сильными, насколько мы можем быть. Потому что мы понимаем, что чем более распространенными мы становимся, тем больше мы сами становимся мишенью.
А как насчет законных требований государственных органов? Защищены ли данные Трусоны от настоящего Дональда Трампа?
У нас было много дел с трехбуквенными агентствами, но конструкция такова, что я не могу этого сделать, даже если бы вы этого хотели. Я не знаю, что это за данные. Вы можете вызвать меня в суд сегодня и попросить предоставить вам все данные о [клиенте]. Хорошо, я получу повестку в суд и отвечу: если вы скажете мне, какие из наших записей принадлежат им, вы можете ее получить, но я не знаю.
Одной из наиболее обсуждаемых цифровых систем в последние годы стала технология блокчейна. Сегодня он используется правительствами и организациями для защиты достоверности данных. Является ли это эффективным инструментом для улучшения конфиденциальности и защиты данных?
Технология блокчейн — одно из самых удивительных изобретений нашего времени, хард-стоп. Однако многие люди считают, что, если это математически правильно, они неизменны в реальной жизни, и именно здесь Фрэнк Абигнейл просто посмеется над вами.
Если я сделаю поддельный документ Джона Мартиндейла и пойду в банк и подам заявку с ним, и они введут его в блокчейн, когда-нибудь ты поймешь, что это был не ты, и попытаешься это исправить, как ты это вычеркнешь из блокчейн? Это принцип «GIGO»: мусор в мусоре.
Создать математически совершенную технологию — это замечательно. На самом деле я считаю, что каждый, кто покупает дом, должен зарегистрировать его на блокчейне, чтобы вы никогда не могли потерять свой дом. Для этого есть много хороших применений, но сказать, что это решит основную проблему идентичности, — ложь. Проблема заключалась не в том, как хранить данные, а в том, как узнать, кто есть кто в зоопарке?
Из-за такого большого количества крупных взломов и краж данных люди легко чувствуют себя бессильными в защите своих данных. Есть ли у вас какие-либо рекомендации по безопасности для наших читателей, которыми они могут воспользоваться, чтобы защитить себя?
Я дам им очень простой совет. Пока мы не живем в мире без паролей, мой единственный совет — смените пароли. Это вам ничего не будет стоить. Даже если вчера пароли были украдены, сменить их — все равно, что сменить замок на двери. Для самых важных вещей в вашей жизни, вашего банка, вашего здравоохранения, сделайте запись в календаре и каждый месяц, каждый квартал, минимум раз в год, меняйте свои пароли. Тот факт, что мы являемся существами привычек, работает против нас.
