Perché dovresti (ancora) fidarti di Nest più che di Ring
Nido
Ieri, Ring ha annunciato che inizierà a richiedere l’autenticazione a due fattori per tutti gli account utente con effetto immediato. E anche se questo è un ottimo inizio, non è abbastanza. L’azienda può e deve fare di più. La verità è che sta raggiungendo un’altra azienda di telecamere di sicurezza: Nest. Se devi scegliere, dovresti fidarti di Nest prima di Ring, ed ecco perché.
Le telecamere di sicurezza che metti in casa sono onestamente una proposta spaventosa. Pensaci: stai mettendo un sistema di registrazione digitale nelle aree più intime della tua vita e per accedervi, tutto ciò di cui hai bisogno è il nome utente e la password corretti. Il pericolo in quel concetto è diventato fin troppo evidente di recente, poiché report dopo report hanno mostrato persone con telecamere Ring a cui i loro account erano stati compromessi.
Aggiornamento, 27/02: Dopo aver pubblicato questo articolo, un portavoce di Ring ci ha contattato con questa dichiarazione:
Ring controlla la posizione degli IP per ogni accesso e interviene quando viene rilevata un’attività sospetta. Inoltre, gli utenti Ring ricevono una notifica via e-mail di qualsiasi nuovo dispositivo client che accede a un account Ring con le credenziali corrette in modo che possano modificare la password dell’account se non riconoscono l’accesso, disconnettendosi automaticamente da tutti i dispositivi client.
Ring esegue periodicamente la scansione di varie fonti, sia su Internet che sul Dark Web, alla ricerca di credenziali che sono state compromesse nell’ambito di una violazione non correlata a Ring. Quando scopriamo credenziali compromesse che corrispondono al nome utente e alla password correnti di un cliente Ring, disattiviamo la password corrente e inviano un’e-mail al cliente per informarlo che le sue credenziali potrebbero essere state compromesse. Facciamo loro sapere che devono cambiare immediatamente la loro password per disconnettersi da tutti i dispositivi client e consigliamo di abilitare l’autenticazione a due fattori.
La frequenza di chiamata limita le richieste di accesso in modo che un volume insolito di tentativi di accesso da un singolo IP venga limitato. Se si verificano ripetuti tentativi di limitazione, banniamo e blocchiamo l’indirizzo IP.
Quando abbiamo chiesto la documentazione di Ring a cui potremmo puntare per ulteriori informazioni, Ring ha rifiutato e ci ha indicato un articolo CNET che affermava anche che Ring controlla le password per comportamenti sospetti.
Tuttavia, CNET indica anche i test di VICE che hanno suggerito che queste misure di sicurezza non erano in atto.
L’articolo originale è lasciato intatto di seguito.
Nest, invece, ha già risolto il problema. L’azienda ha implementato (o implementerà) diverse funzionalità che mancano ad Ring, come la registrazione IP, i requisiti di sicurezza della password, i controlli delle password violate e la prevenzione rapida dei tentativi di accesso.
Google sa dove sei grazie alla registrazione IP
Potresti non rendertene conto, ma i siti web sanno dove sei. Il tuo indirizzo IP rivela queste informazioni ogni volta che visiti un sito. Ciò che la maggior parte dei siti non fa è tenere traccia di dove ti trovi di solito.
Ma Google lo fa. Se accedi sempre da Washington DC ma all’improvviso salti in Florida o in Cina in mezz’ora, Google noterà e considererà sospetto quel tentativo di accesso. Ti avviserà e impedirà l’accesso finché non sarai in grado di confermare che sei tu e non qualcuno che sta tentando di accedere con una password da un database violato.
Sebbene sia un’abilità introdotta da Google per la prima volta per gli account Google (per Gmail, Google Calendar, ecc.), ha recentemente introdotto la funzionalità per gli account Nest.
Al momento, Ring non controlla la tua posizione IP per attività sospette. Ciò è evidente dal fatto che i malintenzionati sono stati in grado di accedere agli account Ring di altri utenti (a meno che per pura fortuna non fossero sempre molto vicini alla vittima).
La società non ha nemmeno menzionato la funzionalità nel suo ultimo aggiornamento relativo alle modifiche alla privacy e alla sicurezza. Ed è un peccato perché farebbe molto per affrontare il problema.
Ring ti consentirà di utilizzare qualsiasi password, non importa quanto debole
Il primo ostacolo al tuo account è la tua password ed è sorprendente vedere che Ring ti permetterà di usare qualsiasi cosa. Giusto per essere sicuro, ho creato un nuovo account oggi e mi ha permesso di usare "password" per la mia password. Questa è la password più debole del mondo e nessun sito Web, per non parlare di una società di sicurezza, dovrebbe consentirlo.
La parte peggiore è che Ring sa che è una password debole. Puoi vedere nello screenshot sopra che Ring dice che "password" è debole. Eppure mi ha permesso di usarlo lo stesso. Se vedessi qualcuno che sta per passare davanti a un camion, non diresti semplicemente "Ehi, è una cattiva idea". Gli impediresti di commettere un terribile errore. Ma Ring non ti impedisce di usare una password terribile.
Nest, d’altra parte, controlla le tue password per i requisiti di base e non ti consente di utilizzare password predefinite facili da indovinare. Sembra quasi sciocco elogiare Nest per questo fatto perché è il minimo indispensabile che qualsiasi azienda di sicurezza dovrebbe fare, ma Nest lo fa e Ring no, quindi eccoci qui.
Nest verifica la presenza di password violate
Finché ti stiamo lanciando bombe della verità, eccone un’altra: qualcuno ha già compromesso quella singola password che usi per la tua e-mail, Adobe, Disqus, Dropbox, Tumbler e xkcd. Parecchie volte. Se stai usando la stessa password ovunque, dovresti smettere. Si prega di procurarsi un gestore di password.
Ma possiamo ripetere questo fatto fino alla fine dei tempi, e le persone continueranno a riutilizzare le password. Quindi la cosa migliore da fare è proteggere le persone da se stesse. Nest controlla il tuo nome utente e la tua password correnti contro le violazioni note del database. Se trova una corrispondenza, te lo avviserà e ti chiederà di cambiare la password.
Ciò impedisce agli hacker di accedere al tuo account utilizzando le credenziali che hanno trovato a causa della cattiva sicurezza di qualche altro sito. Sfortunatamente, Ring non controlla le tue password contro le violazioni del database. Se stai utilizzando una combinazione di nome utente e password compromessa, sta a te scoprirlo e correggere il problema. Ti consigliamo di controllare HaveIBeenPwned se non l’hai già fatto.
Nest utilizza reCAPTCHA per prevenire tentativi di accesso rapidi
Se un hacker non conosce la tua password, può provare a indovinarla. Un modo è utilizzare un bot per inviare centinaia o migliaia di password nella speranza di ottenere un successo. Ma non funzionerà con gli account Nest (o Google).
Nest ha già implementato reCAPTCHA nella sua pagina di accesso. Probabilmente l’hai già incontrato prima. Se hai mai dovuto scegliere "tutti i passaggi pedonali" o "tutti gli idranti antincendio" da una griglia di immagini, questo è reCAPTCHA. L’idea di base è che è un test che "solo un essere umano" può risolvere. Rallenta anche i tentativi di accesso anche se un bot in qualche modo supera il test.
In teoria, ciò dovrebbe impedire ai tentativi di accesso di massa di indovinare la tua password. Sfortunatamente, Ring non ha protezioni del genere in atto. Quindi i cattivi attori sono liberi di indovinare fino a quando non hanno capito bene (soprattutto se hai una password debole, che Ring consente).
Entrambi offrono l’autenticazione a due fattori, ma stai meglio con Google
Squillo
A partire da ieri, Ring richiede l’autenticazione a due fattori. A partire dalla primavera, Nest lo richiederà anche per i suoi account. Ciò pone Ring leggermente più avanti di Nest, ma non è tutta la storia.
In entrambi i casi, dovrai inserire un PIN monouso per accedere al tuo account. Per Ring, lo riceverai via e-mail o SMS. Per Nest, l’e-mail è l’unica opzione. I codici monouso inviati tramite e-mail o SMS sono meglio di niente, ma non è la versione più sicura dell’autenticazione a due fattori.
Se desideri maggiore sicurezza, dovresti utilizzare un’app di autenticazione collegata al tuo telefono. Con i codici inviati via SMS o e-mail, i cattivi acquisti devono solo compromettere i tuoi account. Ma con un’app di autenticazione, dovrebbero rubare il tuo dispositivo (e a quel punto, le telecamere di sicurezza sono l’ultimo dei tuoi problemi).
Questo è importante, perché se esegui la migrazione del tuo account Nest a un account Google, non solo ottieni più sicurezza di quella attualmente offerta da Nest (che è più di Ring), puoi proteggere il tuo account Google con un’app di autenticazione.
Google pensa che i suoi account siano così sicuri che non richiederà l’autenticazione a due fattori, a differenza di Nest, ma pensiamo che dovresti attivarlo se hai telecamere di sicurezza.
È una questione di cuore
Non abbiamo nemmeno parlato della differenza tra i prodotti, ma se vuoi la nostra opinione, pensiamo che anche le videocamere Nest siano migliori delle videocamere Ring. L’integrazione con altri prodotti Nest (come Nest Hub) è molto più stretta dell’integrazione tra i prodotti Ring e Amazon Echo.
Ma anche se le videocamere Nest e Ring fossero esattamente le stesse in termini di qualità, è chiaro che dovresti comunque utilizzare Nest.
Mentre Ring si affretta a incolpare i propri clienti per problemi di sicurezza e ad implementare le soluzioni lente, Nest (e Google) sono stati veloci nell’implementare le soluzioni e lenti nell’incolpare i clienti.
Nelle rare occasioni in cui accadeva qualcosa, come una cattiva integrazione tra Wink e Nest, l’azienda si assumeva la responsabilità e lavorava rapidamente per risolvere il problema. Questo è esattamente il comportamento che desideri dal produttore della tua videocamera di sicurezza.
Le azioni di Nest dimostrano che sta lavorando sodo per guadagnare la tua fiducia e proteggere i tuoi account. E le azioni di Ring sembrano il minimo indispensabile. Quindi la scelta è chiara, scegli Nest before Ring per le tue telecamere di sicurezza.