保护自己免受身份盗窃

我没有什么好消息告诉你。事实上,我们无能为力保护我们的数据不被网络罪犯和其他人窃取。

十年前,我可以给你各种关于使用加密的建议,不通过电子邮件发送信息,保护您的网络连接,还有很多其他的事情……但大部分都不再重要了。今天,你的敏感数据是由他人控制的,你个人也不能做任何事情来影响它的安全。

我可以给你一些建议,比如不要住在酒店(万豪酒店的违规行为)。不要得到政府的许可(人事管理办公室的黑客攻击),不要在线存储照片(Apple Break等)。不要使用电子邮件(很多,许多不同的漏洞),除了匿名的只收现金的关系Ever(Equifax违规)。但对于任何想在21世纪过正常生活的人来说,这都是荒谬的建议。

事实是你的敏感数据可能已经被偷了,多次。网络罪犯有你的信用卡信息。他们有你的社会保险号码和你母亲的婚前姓。他们有你的地址和电话号码。他们通过黑客攻击你委托的数百家公司中的任何一家来获取数据,而你对这些公司的安全实践却一无所知,当他们丢失你的数据时,你没有追索权。

考虑到这一点,你最好的选择是把你的努力转向确保你的数据不会被用来反对你。尽可能对所有重要帐户启用双因素身份验证。不要在重要的事情上重复使用密码——让密码管理器记住所有的密码。

尽最大努力禁用“秘密问题”以及公司在您忘记密码时使用的其他备份身份验证机制——这些机制总是不安全的。注意你的信用报告和银行账户是否有可疑活动。与主要的信用机构建立信用冻结。小心你从那些声称是你生意往来公司的人那里收到的电子邮件和电话。

当然,你不太可能做很多这样的事情。几乎没有人知道。那是因为它既烦人又不方便。这就是现实,虽然。与您做生意的公司没有真正的动机来保护您的数据。你保护自己的最好方法就是改变这种动机,这意味着鼓动政府监督这个空间。这包括禁止条例,更灵活的安全标准,债务,认证,许可,以及有意义的标签。一旦发生这种情况,市场将介入并为公司提供他们可以用来保护您的数据的技术。

这篇文章以前出现在罗切斯特审查,作为校友论坛的一部分,有人问:“你如何最好地保护自己免受身份盗窃?”

5月6日发布,2019年上午7:08•43条评论

评论

冬天5月6日,2019时7:43

法律上似乎有一个原则,即风险(成本)应该由能够控制风险(成本)的实体承担。

这意味着所有的成本,为了永恒,因违约而造成的损失应由丢失数据的实体支付。

这本身没有帮助,因为公司会在破产后寻求庇护。

可能有帮助的是,法律要求每个收集个人数据的公司都要为数据主体的任何违约行为投保。然后,安全措施松懈的成本将立即列入资产负债表,本季度。

詹姆斯5月6日,2019点8:40

@冬天:不幸的是,这永远不会奏效。这些公司真的很有钱,他们用这些钱来为有利于他们的政治车轮加油。“亏损”公司的管理或者直接销售客户的数据而不事先通知或同意(作为销售位置数据的四大移动运营商),应该直接入狱。事实上,所有发生的都是“哎呀,对不起,但你知道,客户的安全和隐私对我们非常重要。”

科恩5月6日,2019点8:52

冬天

此外,我认为,企业必须假定数据已被窃取。如果有人用互联网上的信息以我的名义贷款,银行来敲我的门,因为他们想要回他们的钱,我想这应该是他们的损失。毕竟,我没做错什么,但银行把信用证给了一个冒名顶替者。这不是我的错,这是他们的。

那彼得5月6日,2019年56点

有责任的地方,保险。公司将继续通过购买保险来保护自己不受数据泄露的影响,并且只做获得较低保费所需的最低限度。人们必须因为数据泄露而被判入狱——这是他们买不到保险的。

TimH5月6日,2019上午9点02分

@ Coen
每家银行…如果您访问Ross Anderson的网站https://www.lightbluetouchpaper.org网站/你会发现银行总是坚持认为,如果有人假装你有交易,然后是你。当使用备份磁条时,POS终端假装交易是安全的(Chip N Pin)的法医欺诈令人难以置信,作为一个例子。

安德森教授是我只使用信用卡的原因,我的银行卡只有自动取款机,不借记。

消费者争论“不是我,老爸,我在别的地方,是举证责任。用信用卡,银行(一般)必须证明是你。其他交易很少受到这种程度的保护,与此同时,钱也不见了。

鲍勃伊斯顿5月6日,2019上午9点03分

“……鼓动政府监督……”

真的吗?我们当中有多少人会说"好的,给我更多的规定!”政府一再向我们展示了他们是如何把他们接触到的每一件事都干掉的。谁会想要更多?!

相反,我会“激动”因为一些令人震惊的集体诉讼案件会让所有公司对松懈的安全措施保持警惕。

马特5月6日,2019上午9点08分

我很好奇,如果每个人的信息都已经公开了,为什么网络安全专业人员的薪水这么高。需求从何而来?

冬天5月6日,2019上午9:26

所有这些对监管的反对都说明了问题。但并非所有的民族国家在政治上都像美国(或英国)那样不正常。

在我的国家,荷兰,当别人非法取走我的钱时,我可以毫不费力地把钱取回来。我的邻居也是如此。

是的,要求更多更好保护的人确实要求更多更好的监管。

过去几年,银行对wrt消费者保护的责任得到了普遍的认可。

比尔5月6日,2019年32点

你能详细说明一下“安全问题”总是不安全吗?是他们不安全地存储你的答案,有人很容易找到答案,或者别的什么?我考虑过忽略这个问题,只给出一个我记住的二级通用密码。或者在密码管理器中作为附加记录存储的辅助唯一密码。这究竟是提高了安全性,还是只是浪费我的时间?

约翰5月6日,2019年41点

年前,我说过注定要失败,我们的策略是设法保守必须分享的秘密。最值得注意的是,使用不变的标识符(SSN)作为唯一的验证器(密码),还有账号和出生日期,少女的名字,邮政编码,等。

我们永远无法保守这些秘密。真正的问题是它们太容易使用,而且它们太容易使用了,因为实际上能够提供安全的各方不承担滥用它们的代价……因此他们不愿意承担安全成本,包括给用户带来的不便。

克朗5月6日,2019上午9点55分

@比尔
安全问题通常是预定义的基于知识的问题,比如“你上的是哪所高中”或者“你的第一只宠物叫什么名字”。有些问题比其他问题更好,有些地方甚至允许你自己设置问题,但它们都是基于知识的;也就是说,如果其他人也能了解你所知道的,他们也可以回答这个问题,绕过随机生成并存储在密码管理器中的32个字符的字母数字密码。
我的建议是,如果你遇到基于知识的“安全性”(又名。“我忘了密码”)不能留空的问题,只需用手指在键盘上轻轻地弹一下,就可以记住或捕捉你的“答案”。从来没有,曾经,忘记或丢失密码。

切洛维克5月6日,2019上午10:06

你说的两件事都是真的。答案储存的不安全,如果你真的回答了,太容易被人通过其他方法弄明白。它们的存储不安全,部分原因是它们不像密码那么敏感,部分原因是它们可能需要一个模糊匹配算法。“你高中的吉祥物是什么?”可以回答“信天翁”或者“信天翁”或“战斗信天翁”或者“阿尔伯特,战斗信天翁”或者用户可能不会一直拼写“albertross”或者,还是……

我按你的建议去做。我以生成真实密码的方式生成安全问题的答案,我将它们存储在密码管理器中。如果有人质疑我母亲的娘家姓是不是真的是“xC_Ld@9yEvgR?44*^9l~N”我只是告诉他们她是挪威人。

罗伯特西西里岛舞蹈5月6日,2019年10:18我

好吧,这将是一个不受欢迎的评论。真的没有冒犯。令人惊讶的是,布鲁斯的回答并不充分。有各种各样的身份盗窃。有些可以相对预防,而另一些则不行。你的数据掌握在罪犯手中并不意味着会发生欺诈或你的身份被窃取。这只意味着罪犯拥有它,这只是一个假设。纯粹的身份盗窃是一种新的账户欺诈,可以通过信用冻结和身份盗窃保护服务来缓解。这也是你保护孩子的方法。帐户接管似乎是这篇文章的悲观之处。关于密码管理的建议是正确的。否则,对设备安全和帐户监控的勤勉是必不可少的。防止税务身份盗窃意味着填写表格14039。医疗身份盗窃是不可预防的,但风险很低。

威廉·退尔5月6日,2019上午10点25分

在不久的将来,我们需要多重身份为了生存。另一种选择是把自己用在终身的奴役中。

戴夫5月6日,2019上午11点10分

他们这样做是为了喜欢…

Facebook(和其他社交媒体)的测验增加了这些天的安全问题。有太多的人愿意回答这些问题,让他们的朋友和追随者知道他们最喜欢的老师,颜色,汽车,书,他们在这条街上长大,最喜欢的车,等。都是以测验的名义。令我震惊的是,很少有人意识到,这些测试可能是为了收集典型的安全问题回答而开发的。似乎没有人质疑开发人员收集的信息在做什么,开发人员是谁,或者他们来自哪里。同时,同样的测试通常允许应用程序访问所有可以使用的社交媒体信息。

我认为这些测验是一个非常成功的社会工程活动。

埃文5月6日,2019上午11时18分

@ Coen:

“身份盗窃”银行是为“欺诈”而发明的术语这就免除了他们的责任,把责任推到了消费者身上。他们向错误的人贷款不是他们的错;“你的”是你的错被盗的社会保险号或其他身份信息(即使它不是从你那里被盗的)。有一些简单的解决方案——其中之一是在法庭上正式将被盗身份认定为一种假设,这样银行等机构就必须有更好的证据,而不仅仅是扫描潦草的字迹和社会安全号码。

戴维5月6日,2019年将近12点

我认为部分解决办法可能是重新构建整个问题,就像罗斯·安德森在他的《安全工程》中所做的那样。

毕竟,当我们倾向于谈论“身份盗窃”,没有人会在这样的盗窃中真正失去自己的身份——他们的身份仍然属于自己,而且,没有其他人可以因为该身份被“偷走”而声称拥有使用该身份的权利。

举个例子,某人使用他人的身份从银行取钱,例如。当然,发生了一起盗窃案,银行里的钱不见了,但客户实际上没有损失任何金钱。除非客户故意或过失导致盗窃,银行仍然欠客户和以前一样多的钱。

或者考虑另一个例子,一个人在假装是别人的同时购买昂贵的物品。再一次,这样的行为构成了一种盗窃,但是没有人从使用身份的人身上偷走任何东西,他们也不欠别人什么。

在这两种情况下,身份盗窃的受害人与本案没有直接关系,既不是犯罪者也不是受害者。将其定义为“身份盗窃”使其听起来像是身份被滥用的人有道德或法律义务参与并对犯罪负责,尽管没有实际的部分。但这毫无意义——通常不仅仅是惩罚一个人的行为。

血管的小狗5月6日,2019年28点啊

@布鲁斯:“这包括禁止性规定。”
最重要的是这些法规的实际执行。
在采用这些法规时,应准备好执行机制,清晰易懂,便于实际使用。
此外,一次又一次,强制仲裁,集体行动预防,在任何银行/金融机构/隐私权中,对客户(普通Jane/Joe)的举证责任分配都应被禁止,但法律规定无效。
因为Jane/Joe没有同等的谈判能力,因此,政府应站在客户一边,建立适当的法律框架,以平衡大企业的能力,避免真正的正当程序和责任。
是啊,在我的白日梦里。

冬天。你完全正确。金融机构强有力的监管可以防止许多麻烦,包括人为的国家金融危机(如果这是美国国际层面的危机的话)。证明在加拿大没有这样的问题。
正如我在这个尊重人的博客上不止一次提到的:政府本身不是问题,政府职能失调,充斥着不专业或不道德的人。

一般观察:在2018年税单中,国税局最终取消了对纳税人电话号码的要求。这就阻止了许多来自人渣袋的欺诈电话声称他们来自国税局。
事实上,国税局从不打电话联系你。所以,一开始问电话号码的原因是什么?

我猜这种渗透测试-分析隐私弱点,试图欺骗人们的专家,并解释其后被欺骗的人的错误可能是有用的接种。


即将到来的隐形顿悟5月6日,2019年12:53点

我们在谈什么?

“身份盗窃”一词是这个虚假时代的一种矛盾。数以百万计的英特尔员工通常都知道大多数人的身份,包括他们的生物特征、行为举止和社会历史。如果你的ID经常被跟踪、记录、扫描、研究,甚至被秘密操纵(和你一样!),那么没人能偷走你的ID。

让我们放下面纱,看看烟幕后面的许多镜子。

P.S.-谢谢:

https://consortiumnews.com/2019/04/26/assanges-impression-argutally-explaws-even-more-corruption-than-wikileaks-did/

parabarbarian5月6日,2019年下午12:56

一个问题是社会保险号码作为个人识别码的广泛使用。它太容易被发现,而且几乎不可能改变。解决这个问题的办法可能是,用一个更好设计的除社保账户以外的所有账户的国民身份证号码来取代它。这将遭到强烈抵制,因为它也可以用作选民ID,使电子验证更加可靠。我知道美国公民自由联盟每次提出任何一种国民身份证都是合适的。

就个人而言,如果利益大于风险,我还没有决定。

滴滴涕5月6日,下午2019点25分

@Bob伊斯顿:

如果政府不制定法律来作为诉讼的基础,你希望提起什么样的震惊和敬畏诉讼?有一个原因是还没有足够的成功案例来引起改变。你认为如果消费者现在有能力做任何事情,Experian还会存在吗?政府监管并不总是以某种机构的形式出现。一些法律对这些违规行为进行简单的统计,将为你想要的东西奠定坚实的基础。每泄露姓名和地址X美元,每条SSN泄露x美元等。

VRK5月6日,2019下午2点03分


谢谢布鲁斯。(建议“任何你个人不能影响其安全的事情”)。

国际海事组织,“搅拌”~=“颠覆”~=10年以上被无聊的忠诚的皇室跟踪,在一些国家。如果仁慈是丰富的。如果你听到嘶嘶声,太晚了。

而且,如果你被拖到车下,唯一有用的突破就是把连帽衫挂在传动轴上。我的鼻毛经常用一把.50口径的步枪修剪,但似乎有些事情是很重要的。主要是:所有的小孩,其他的就很少了。

再次感谢。

伯尼-科塞尔5月6日,2019下午5点59分

我认为愚蠢的安全问题是很好的,并提供合理的额外安全…只要你不如实回答,也不重复回答。我的密码管理器[pwsafe]和大多数其他人一样,可以像记住密码一样轻松地记住问题和答案。

所以我尽量随机。如果它问“你的第一只宠物是什么”我可能会回答“无尾熊或者“牛头怪”。母亲的婚前姓吗?都铎式或Gwilliger,等。

超级蜥蜴5月6日,2019年下午3:23

@几个:

再投一票颠覆“秘密问题”废话:我母亲的娘家姓可能是霸王龙……或者不是。祝你在公共信息中找到它。诸如此类。我从来没有被拒绝过无论多么荒谬。

1 & 1 ~ =嗯5月6日,2019年52点

@Bruce Schneier:

“事实上,我们无法保护我们的数据不被网络罪犯和其他人窃取。”

事实上我们可以做很多,真正的问题是,“我们会为此做些什么吗?”

正如业内其他人士所指出的,当我们希望处理数据时,我们需要四件事:

1,数据。
2,软件。
三,存储硬件。
4,处理硬件。

前两个都是“信息”并且可以存储在任何地方的存储硬件上,处理硬件也可以存储在任何地方。

身份盗窃只会成为可能,因为第二,第三方或更多方可以看到私有数据从存储移动到处理。

为了最大限度地降低身份盗窃的风险,个人隐私数据不应该从个人隐私存储硬件转移到个人隐私处理硬件以外的任何地方。

软件可以从其他存储器传输到您的个人专用处理硬件。如果它被正确设计,那么它将不会泄露任何信息,除了你所知道的。

几十年前,苹果公司就尝试过用“粉色项目”来实现这一目标。从那时起,几乎所有其他人都尝试过,主要是成功地迫使我们披露更多的私人信息。不仅仅是通过网络,但是云和应用程序。

如果我们想要减少网络犯罪,那么我们需要改变周围的事物,比如软件来处理我们在硬件上的数据,我们停止向他们处理和存储硬件上的软件发送数据。

这是我们需要做的事情,试图避免生态灾难。我们都应该听说比特币矿业的耗电量与欧洲国家相当。好吧,比特币开采只是数据中心、云服务中心和其他大型硅谷数据“窃取”中心所消耗电力的一小部分。

简单的事实是,尽管硅谷的电力消耗在不断增加,大多数个人存储和处理硬件的功耗都显著下降。

因此,如果我们改变了必须向数据窃取者发送个人和私人数据的想法,为了让他们给我们发送有限的功能小程序,我们不仅可以减少网络犯罪,我们还将减少化石燃料和不可再生能源的消耗。

哦,我们也会让其他个人和私人数据窃取者挨饿,这些窃取者是政府机构,包括但不限于LEA和IC实体。

因此,如果我们能够将交流的信息类型从个人和私人数据交换到标准化的、经过适当验证的安全软件,就有三个可取的胜利。

乔恩5月6日,2019下午6点19分

威廉告诉

你碰到了一条路。

当信用卡号码(和CVV)被泄露时,银行和你自己注销信用卡,CVV和其他所有的事情。

所以你需要做的是建立几个虚构的商业实体(公司是一种,但不是唯一的一种)做生意。当一个人受到威胁时,你只需丢弃它并开始另一个。

管理费用——合并成本从500美元开始,然后在匆忙中从那里增加——但是对于一些人来说,它是值得的。

J。

吉姆W5月6日,2019年的6点

受到侵害的公司不是受害者吗?他们犯下的罪行怎么能受到惩罚?我肯定我很天真,但这是我最好的品质之一。

先生。天真的5月6日,下午2019点57分

@吉姆W
我不是专家,但如果我理解正确,
大多数(全部?)盗窃都是成功的,因为客户信息没有加密。这些公司也是受害者,但因为他们自己的愚蠢。不想为了适当的安全而花钱。
如果我错了,这里有人会揍我的!

丹顿划痕5月7日2019点6:57

@布鲁斯
“但对于任何想在21世纪过正常生活的人来说,这都是荒谬的建议。”

赖利?

我只用手机发短信;如果我想和远方的人交谈,我用的是固定电话。我知道他们的手机可能会受到元数据监控;我不太在乎,因为我很少使用手机进行犯罪或恐怖活动。

“不要使用电子邮件”
我广泛使用电子邮件——它是我的主要沟通渠道。我操作自己的邮件服务器——我从2000年开始运行它。我必须处理大量的垃圾邮件——它是自动处理的。我每天也会被钓鱼几次(也可以被归类为垃圾邮件)。我不喜欢吃海鲜,网络钓鱼从来没有对我起作用。

电子邮件与一个良好的VPN和GPG相结合,对我来说似乎相当不错。VPN应该保护元数据(谁在和谁交谈);GPG应该保护内容。当然,你必须自己弄清楚你所使用的系统是否真的可靠;这意味着你必须考虑一下,对电子邮件安全有一定的了解。所以并不是每个人都适合。但是,通信安全不适合每个人-大多数人都会失败,即使使用诸如电报或WhatsApp等强加密系统。

我知道大型信用机构都知道我的一切,比如我母亲的娘家姓,等等。我在这些事情上撒谎;例如,我可能会说我最喜欢的颜色是“rutabaga”,或者我母亲娘家姓“黑山”。但我知道他们(相信)知道真相。我希望看到这些机构被解散。他们持有的信息被偷了;我和他们没有关系商业或其他方面,他们无权存储和使用这种数据。

瑞秋厄尔5月7日2019下午3点08分

我还没有看到

买一部非智能手机。仅用于SMS身份验证

SIM卡应专门用于此目的。不要上网
向“provider”提供新号码,银行不管是谁。

让SIM卡不以您的名义注册,这样做会更好一点,提供
可以合法获得,例如你的配偶

使用新的,每个帐户的唯一电子邮件地址。更可取地,一个不那么不安全的,比如Protonmail

* *

上面讨论的一些问题似乎是我们所特有的。例如,我在美国以外的地方观察过,事实上,借记卡受到信用卡、VISA或万事达(MASTERCARD)品牌所提供的全面欺诈保护

迈克5月8日,2019时5分44分

@1+1~=umm写的,

“如果我们想减少网络犯罪,那么我们需要改变一些事情,让软件来帮助我们在硬件上处理数据,我们停止向他们处理和存储硬件上的软件发送数据。”

我们的大兄弟会喜欢的,不是吗?至少要把加工成本的负担从他们身上卸下来,使之成为真正的“人民的负担”。监视装置。迟到的症结似乎在于谁负责。

另一个缺失点是,当我们在理论上受到保护的时候,如何保护系统不受用户伤害?发送“软件”对终端用户来说,很容易在客户端发生更改。我没有受过足够的教育来详细说明如何减轻这种情况。

文尼格5月9日,下午2019点42分

@伯尼·科塞尔:虚构的答案-我同意。我把答案(没有问题背景)放在“附加信息”中。在PWSafe。我通常会构建一个既(相对地)不可回答又能激起我幽默感的答案。例如(我可以透露这一点,因为我不再是银行的客户,在一个网站上,问题是“你小时候最喜欢的地方”我的答案是那家酒吧的名字(很久以前就关门了),在那里,我第一次以未成年顾客的身份喝酒……

小胡子5月9日,2019下午11点43分

为什么每家酒店都需要身份证?他们没有足够的能力保密这些信息。

虽然我不想把事情复杂化,为什么我不能从“代管身份公司”给他们一个64个字符的一次性代码呢?他们只需要给我们签个名,然后付钱就行了吗?

我讨厌贝宝。但有些事情他们做得对。就像把我的信用卡号码放在网上不合适的地方。

这些天,我很少在网上使用信用卡。愿意付现金,但贝宝作为代管是可以接受的。第三方执行规则……

5月11日,2019下午3点39分

现代(和历史)身份盗窃的另一组明显(?)含义,有或没有花哨的技术:

1)盗窃概念的证明
2)骗子技术概念的证明
3)宣传技术概念验证

这个迪耶视频(有声音或没有声音)显示了“我们”的位置(谁是谁?你是谁?在过去的几年里。

我希望这是有教育意义的。

胸膜5月11日,2019下午3点41分

上一篇文章缺少视频链接:https://www.youtube.com/watch?V= OHMAJJTCPNK

现代(和历史)身份盗窃的另一组明显(?)含义,有或没有花哨的技术:

1)盗窃概念的证明
2)骗子技术概念的证明
3)宣传技术概念验证

这个迪耶视频(有声音或没有声音)显示了“我们”的位置(谁是谁?你是谁?在过去的几年里。

https://www.youtube.com/watch?V= OHMAJJTCPNK

我希望这是有教育意义的。

查克佩吉尔5月12日2019年十二12点

密码管理器听起来是同时丢失所有密码的好方法。
你有多少账户是真正需要安全的?那些需要符合16种不同要求的密码才能进入论坛讨论玻利维亚豆子价格的Nimrood是谁?

如果你有那么多重要的账户,你记不起密码,也许你的账户太多了。

亨利5月12日下午2019点42分

@ Bruce Schneier

布鲁斯我很失望。你真的认为除了一些双因素认证和推动更多的政府监管之外,我们什么都做不了吗?

据我们所知,你带着一个单独的iPhone旅行,正确的?为什么你在旅行时不使用和在家时一样的iPhone?

留下你的评论

允许的HTML:

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM弹性