Es gibt viele anhaltende Probleme bei der Datensicherheit. Dies ist einer von ihnen.
TL; DR: Beschuldigen Sie die Kreditkartenbranche.
Die Hauptursache ist das falsche Konzept, das Sie durch die Angabe Ihrer Identität erhalten erteilen auch Ihre Autorisierung . Dies war die schreckliche Grundlage, auf der Kreditkarten aufgebaut wurden, und deshalb ist die Situation so schlecht wie heute.
Ihre Identität (Kreditkartennummer, SSN usw.) sollte niemals geheim gehalten werden müssen, da wer Sie sind, kein Geheimnis ist . Sie können vor einem Online-Händler nicht geheim bleiben, weil er Ihnen die Sachen schicken muss, die Sie kaufen. Sie können keinen Händler mit einer Kreditkarte geheim halten, da der Händler möchte, dass Ihre Bank ihm Geld gibt. Sie können es nie schaffen, vor dem Steuermann geheim zu bleiben. Und Sie möchten nicht vor Ihrem Gesundheitsdienstleister geheim bleiben, der Ihre Krankengeschichte benötigt, um Ihre Probleme zu behandeln.
Als der Kredit erfunden wurde, war dies kein großes Problem. Die Leute kannten sich und beide Seiten vertrauten sich bei der Transaktion. Aber das System war so unglaublich leicht zu missbrauchen, dass Betrug außer Kontrolle geriet.
Kreditkartentransaktionen sind äußerst profitabel. In dem verzweifelten Bestreben, die Angst der Menschen vor der Verwendung ihrer unsicheren Kreditkarten zu verhindern, hat die Payment Card Industry (PCI) die Schuld erfolgreich auf die Händler verlagert und gesagt, "sie bewahren Ihre Kreditkartennummern nicht sicher auf", während sie die Tatsache, dass die Das gesamte System wurde auf einer fehlerhaften Vertrauensvoraussetzung aufgebaut. (Ich gebe der Kreditkartenbranche die Schuld, diese Sicherheitslücke aufrechtzuerhalten, um ihre Gewinne zu erhalten.)
Die Lösung besteht darin, Ihre Identität von Ihrer Autorisierung zu trennen. Menschen müssen keine Angst haben, ihre Identität zu verlieren, wenn die Identität ohne Genehmigung wertlos ist.
Aber wie erteilen Sie eine Genehmigung, wenn die Möglichkeit eines nicht vertrauenswürdigen Mittelsmanns besteht? Es gibt einen schlechten und einen guten Weg. Der schlechte Weg ist das Passwort. Indem Sie nachweisen, dass Sie ein Geheimnis kennen, können Sie die Verwendung Ihrer Identität autorisieren. Aber einfache Passwörter sind genauso problematisch wie einfache Kreditkartennummern heute. Wenn Sie Ihr Geheimnis dem Händler mitteilen, der es dann an die Bank weitergibt, kann ein Mann in der Mitte irgendwo entlang dieser Kette Ihr Geheimnis kopieren und Ihre Autorisierung fälschen.
Der einzig gute Weg, Ihre Berechtigung sicher zu erteilen, ist die Verwendung von Challenge-Response. Dies löst das gesamte Problem, außer dass wir Menschen keine effektive Herausforderung in unseren Köpfen lösen können. Dies wurde durch die Einführung von Chipkarten und der EMV-Protokolle auf brillante Weise überwunden. Die Karte macht die ganze harte Arbeit, die Herausforderung anzunehmen und die Antwort zu generieren. Für zusätzliche Sicherheit kann die Karte so gestaltet werden, dass ohne PIN keine gültige Antwort generiert wird.
In dieser rosaroten Welt müssen Sie nicht nur die Kreditkartennummern nicht mehr schützen, sondern auch die Antwort nicht mehr schützen, da sie für die Herausforderung einzigartig ist.
Wir werden vielleicht eines Tages dort ankommen. Aber im Moment ist EMV immer noch nicht perfekt. Da nur die kleinen Goldkontakte für die Kommunikation (oder manchmal auch für Funk) verwendet werden können und Telefone und Computer nicht über die universelle Fähigkeit verfügen, mit Chipkarten zu kommunizieren, gibt es keine gute Möglichkeit, EMV zum Autorisieren einer Transaktion in einem Webbrowser oder zu verwenden über ein Telefon. (Einige europäische Banken verwenden Pocket-Chip-Lesegeräte. Bei diesen Geräten handelt es sich jedoch um umständliche Geräte, bei denen der Benutzer die zusätzlichen Schritte zum Eingeben einer Reihe von Ziffern als Herausforderung und Eingeben der Antwort ausführen muss.) Webtransaktionen sind dies derzeit immer noch unsicher auf statische CVV-Nummern angewiesen, die Passwörtern entsprechen.
Und das löst auch keine Probleme ohne Kredit. Der Zugriff auf Krankenakten, Websites und alles andere, was eine Genehmigung benötigt, hat das gleiche Problem und erfordert eine gute Lösung. Es gibt viele halbe Lösungen wie OAuth, aber wie der Verstoß von Yahoo! gezeigt hat, sind sie keine guten Lösungen. Und welche Lösungen auch immer herauskommen, sie werden in Normungsausschüssen von Unternehmen bekämpft, die alle nach einem profitablen Stück Kuchen verlangen. konkurrierende Regierungen, die den Zugang zur Hintertür kontrollieren und erhalten wollen; Technische Firmen, die die Infrastruktur usw. aufbauen möchten. Es ist eine ausgemachte Sache, dass die Kompromisse nicht sowohl sicher als auch interoperabel sind.
Sobald diese Probleme behoben sind und ähnliche Lösungen für das Gesundheitswesen im Internet angewendet werden Bei der Site-Identität usw. wird möglicherweise das Ende des maskierten Kennwortfelds angezeigt. Ich gebe es mindestens 50 Jahre bevor wir dort ankommen, wenn überhaupt.